Por Jorge Luis Ojeda — «Gio Gurú» · @jlojeda_2000 · Director General y Fundador de RealNet · 6 de mayo de 2026 · 9 min de lectura
El lunes a las 7:30 a.m., Juan, director general de una empresa mediana de manufactura en el Estado de México, recibió la llamada que ningún empresario quiere recibir. Tres servidores y diez equipos de cómputo amanecieron con un mensaje en pantalla: su información había sido secuestrada. La planta no podía facturar. El ERP estaba caído. Los pedidos del día estaban detenidos. Y la pregunta más urgente no era cuánto pedían los atacantes; la pregunta era: ¿el respaldo va a funcionar?
Esa llamada nos llega cada vez con más frecuencia. En RealNet llevamos más de tres décadas en consultoría de redes y telecomunicaciones; específicamente en seguridad de la información trabajamos desde 1997, y hemos atendido casos de ransomware en empresas mexicanas desde 2008, cuando los primeros incidentes empezaron a aparecer en el país. En el campo de respaldos como servicio administrado llevamos más de 15 años. En ese tiempo hemos visto evolucionar el respaldo desde cintas DAT hasta nubes inmutables, pero el patrón humano se repite: el director descubre el día del incidente que el respaldo en el que confiaba no era lo que creía que era. Este artículo es la versión condensada de lo que aprendimos atendiendo cientos de estos casos, contrastado con los datos más recientes de Veeam, Acronis y Sophos sobre lo que realmente está pasando en empresas mexicanas.
Para quien tiene 90 segundos
- El 74% de las empresas mexicanas sufrió un ataque de ransomware en 2025; el costo promedio de recuperación fue de USD $1.35 millones.
- Solo el 10% de las víctimas globales recuperó más del 90% de su información.
- El 89% de las empresas reportó que el atacante intentó destruir o cifrar el respaldo antes que la producción. Solo el 32% tenía respaldos inmutables.
- Los 5 puntos clave que separan a quien recupera operación en minutos de quien tarda semanas: política con regla 3-2-1-1-0, respaldos inmutables, pruebas de restauración periódicas, monitoreo 24/7 y RTO documentado por servidor crítico.
Lo que cambió en estos años (y lo que no)
Cuando fundé RealNet en 1993, lo hicimos como una firma de consultoría y diagnósticos en redes de cómputo y telecomunicaciones complejas. En 1997, después de regresar de mi maestría en Rennes, Bretaña, Francia, incorporamos formalmente la práctica de seguridad de la información — un campo que entonces apenas empezaba a tomar forma en México. En 2011 amplié esa visión con estudios en Redes Globales del Conocimiento en la India, donde la ciberseguridad ya se discutía como un tema sistémico de país, no solo técnico. Cuando empezamos a operar respaldos como servicio administrado, hace más de 15 años, los discos duros y las primeras nubes ya estaban reemplazando a las cintas. Cuando atendimos los primeros casos de ransomware en 2008, el problema dejó de ser únicamente técnico y se volvió estratégico. Pero el problema operativo es exactamente el mismo en todas las épocas: la mayoría de los respaldos no se reclaman el día que se contratan; se reclaman el día que el servidor cae a las 4 de la mañana y la planta no puede facturar.
Lo que sí cambió en los últimos años es la naturaleza de los ataques. El ransomware moderno no se conforma con cifrar la producción: primero busca y destruye sus respaldos. Y según el reporte 2025 de Veeam, casi 9 de cada 10 organizaciones atacadas reportaron que el atacante intentó comprometer sus respaldos antes que la producción. La conversación dejó de ser «tengo respaldo» para volverse «mi respaldo está vivo o muerto cuando lo necesite».
Tres datos que todo director debería tener en su próxima reunión de TI
de las empresas mexicanas sufrió un ataque de ransomware en 2025.
Sophos · State of Ransomware México 2025
costo promedio de recuperación por incidente en México (excluye rescate).
Sophos · State of Ransomware México 2025
de las víctimas globales logró recuperar más del 90% de sus datos.
Veeam · 2025 Ransomware Trends
Cuando comparto estas cifras en juntas de dirección, la reacción típica recorre tres etapas en menos de un minuto: primero incredulidad («a nosotros no nos va a pasar»), luego cálculo mental («¿cuánto representa 1.35 millones de dólares en mi facturación anual?») y por último la pregunta real: «¿qué tendría que estar haciendo bien para no estar en esa estadística?» Esa última pregunta es la que vamos a responder.
Los 5 puntos clave para evitar perder información
No son los únicos cinco. Son los cinco que, cuando los ocho faltan al mismo tiempo, explican prácticamente todos los casos catastróficos que hemos atendido. Si su empresa cumple estos cinco con disciplina, queda en el grupo del 64% de empresas mexicanas que se recupera completamente en menos de una semana. Si falla en dos o más, está en el grupo donde la pérdida se mide en días, semanas y, ocasionalmente, en el cierre del negocio.
Política de respaldo bajo la regla 3-2-1-1-0 (no la 3-2-1)
La regla clásica era 3-2-1: tres copias de la información, en dos medios distintos, con al menos una fuera del centro de datos primario. En 2026 eso ya no es suficiente. La regla actual es 3-2-1-1-0: las dos extensiones añadidas son al menos una copia inmutable o «air-gapped» (físicamente desconectada o protegida contra modificación) y cero errores en las pruebas de recuperación.
El «1» extra es la respuesta directa al ransomware moderno. Si su único respaldo está conectado a la misma red que sus servidores productivos, está a un movimiento lateral del atacante de quedarse sin nada. Y el «0» es la respuesta a un fenómeno que vemos cada mes: empresas con respaldos que existen, pero que nadie ha intentado restaurar nunca.
Fuente: Veeam 2025 Ransomware Trends Report · regla 3-2-1-1-0.
Respaldos inmutables: el muro que el atacante no puede cruzar
Un respaldo inmutable es una copia que no puede ser modificada, cifrada ni eliminada por nadie —ni por el administrador con privilegios, ni por una aplicación, ni por un atacante que tomó control del entorno— durante un periodo definido. Es el equivalente digital de meter el respaldo en una caja fuerte cuya combinación nadie en la empresa conoce.
Aquí está el dato incómodo: según Veeam, solo el 32% de las organizaciones encuestadas usa repositorios inmutables, a pesar de que el 89% reportó que sus respaldos fueron objetivo del atacante. Es decir: dos de cada tres empresas dejan la caja fuerte abierta sabiendo que el ladrón va a llegar.
Para una empresa mediana o grande en manufactura, salud, comercio o educación, contratar respaldos inmutables ya no es una decisión técnica avanzada. Es una decisión básica de continuidad de negocio.
Fuente: Veeam 2025 Ransomware Trends · 89% de respaldos atacados, 32% con inmutabilidad.
Pruebas de restauración cada trimestre, no cada año
Esta es la diferencia entre un respaldo y una recuperación. Tener archivos guardados no le sirve a su empresa; tener archivos que se pueden volver a operar en un servidor real, en menos de X minutos, sí.
El reporte de Acronis 2025 lo dice sin rodeos: la única forma de confiar en un respaldo es probar la restauración con regularidad. Lo que hemos visto en RealNet a lo largo de más de 15 años atendiendo respaldos empresariales es que las empresas que prueban su recuperación cada trimestre prácticamente nunca tienen sorpresas el día del incidente; las que lo prueban una vez al año, casi siempre las tienen.
La prueba debe responder tres preguntas, por escrito y firmada por el responsable de TI: ¿la imagen del respaldo abre?, ¿la aplicación arranca correctamente sobre la imagen restaurada?, ¿en cuánto tiempo se completó el ejercicio? El tercer dato es su RTO real (Recovery Time Objective), no el que viene en el contrato.
Fuentes: Acronis Cyberthreats Report H1 2025 · regular testing of restoration processes.
Monitoreo 24/7 con reporte ejecutivo, no «yo creo que está corriendo»
Una de las preguntas que más nos hacen al diagnosticar empresas que ya sufrieron un evento es: «¿hace cuánto que su respaldo dejó de ejecutarse correctamente?». La respuesta más común es «no sé», seguida de «creo que como tres meses», seguida de «resulta que el chico de sistemas lo configuró pero ya no trabaja con nosotros».
El monitoreo 24/7 no es un lujo. Es la parte del servicio que detecta —y alerta al director, no solo al técnico— cuando un respaldo no se completó, cuando el almacenamiento se llenó, cuando la ventana de respaldo se desplazó, cuando una validación automatizada falló. La diferencia entre un respaldo «que cree que existe» y un respaldo «que sabemos que existe» se mide en estos reportes.
En lo que llevamos atendiendo este año, podemos decir con honestidad que la mitad de las llamadas de emergencia que recibimos pudieron haberse evitado si el director general hubiera tenido un reporte ejecutivo de respaldos en su correo cada lunes. No técnico. Ejecutivo: verde, amarillo o rojo, con tendencia.
RTO publicado y documentado por servidor crítico
Este es el punto que más sorprende a los directores cuando lo introducimos en el diagnóstico. La pregunta es directa: «¿en cuántos minutos puede su empresa volver a operar después de que el servidor X se caiga?». Y la respuesta debería ser un número, no una conversación filosófica.
El RTO (Recovery Time Objective) es el tiempo máximo aceptable que su negocio puede estar sin un sistema crítico antes de que las pérdidas se vuelvan inaceptables. Para un servidor de ERP en manufactura puede ser menos de 30 minutos; para un sistema de expediente clínico puede ser menos de 10; para un POS en comercio durante temporada puede ser menos de 5. Cada giro tiene su umbral.
Lo que muchas empresas descubren tarde es que su infraestructura actual no soporta el RTO que el negocio requiere. Y esa conversación es mucho más constructiva antes del incidente que durante. En BackupGurú trabajamos con un RTO objetivo de menos de 20 minutos para servidores de hasta 500 GB recuperados en la nube; el mejor caso documentado que hemos completado fue de 4.5 minutos. Pero eso solo es relevante si está documentado por escrito en su contrato y validado en pruebas trimestrales.
El caso de «Juan», actualizado a 2026
Volvamos a Juan, el director de manufactura del inicio. Lo atendimos hace algunos años cuando el incidente todavía era inusual; hoy su historia se repite literalmente todas las semanas en alguna empresa de México y LATAM. Lo que cambió en su caso, después de trabajar con BackupGurú, es esto:
- Pasó de tener respaldos esporádicos en disco USB a una política 3-2-1-1-0 documentada, con copia inmutable fuera de su red.
- Sus tres servidores críticos —ERP, base de datos de producción y servidor de archivos— tienen RTO publicado de menos de 20 minutos.
- Cada trimestre se ejecuta una prueba de restauración auditada por su equipo de TI y por nuestro equipo. La última se completó en 6 minutos.
- El director de la empresa recibe un reporte ejecutivo cada lunes: verde, amarillo o rojo. No abre archivos técnicos.
- El día que un empleado abrió un correo de phishing sofisticado y el atacante intentó cifrar la red, los respaldos inmutables no pudieron ser tocados. La operación se restauró en menos de 12 minutos. Sin pagar rescate.
No es un caso excepcional. Es el resultado predecible de aplicar los cinco puntos con disciplina.
Auto-evaluación rápida: ¿cómo está su empresa hoy?
Responda mentalmente cada pregunta con sí, no o «no estoy seguro». Tres o más respuestas que no sean un sí claro indican que vale la pena un diagnóstico ejecutivo.
- ¿Sabe con certeza que existen al menos tres copias de su información crítica, en dos medios diferentes, con una fuera de su red?
- ¿Al menos una de esas copias es inmutable, es decir, no puede ser modificada ni borrada por nadie aunque el atacante tome control del entorno?
- ¿Su empresa probó —realmente probó, no en teoría— una restauración completa de un servidor crítico en los últimos 90 días?
- ¿Recibe usted, como director, un reporte ejecutivo del estado de los respaldos al menos una vez por semana?
- ¿Tiene documentado por escrito el RTO esperado para cada servidor crítico, y está validado por una prueba reciente?
- ¿Sabría hoy mismo a quién llamar si a las 4 de la mañana descubriera que sus servidores fueron cifrados?
¿Quiere saber dónde está parado hoy?
El diagnóstico ejecutivo de BackupGurú es gratuito y sin compromiso. Mapeamos sus servidores críticos, brechas de respaldo y ruta recomendada de recuperación, y le entregamos el resultado por escrito en menos de 48 horas.
Lo que un director general puede pedir esta semana
Si después de leer hasta aquí prefiere actuar antes que delegar, hay tres cosas concretas que puede pedirle a su responsable de TI mañana mismo, sin necesidad de contratar a nadie:
- Una hoja con el inventario de servidores críticos, su RTO esperado y la fecha de la última prueba de restauración exitosa.
- Una captura del último reporte de respaldos: cuántos completaron, cuántos fallaron, hace cuánto tiempo se ejecutó la última prueba real de recuperación.
- Una respuesta clara, en una sola frase, a la pregunta: «si mañana entra ransomware a la red, ¿en cuántos minutos volveríamos a operar y con cuánta pérdida de información?».
Esas tres respuestas le dirán, sin necesidad de auditoría externa, en qué grupo está su empresa: en el 64% que se recupera en una semana o en el 36% que aprende —de la forma cara— por qué la disciplina operativa siempre cuesta menos que la improvisación.
Lo que en RealNet sigue siendo cierto, año tras año
No he visto una empresa que se haya hecho pobre invirtiendo en ciberseguridad y respaldos. He visto, en cambio, varias que dejaron de existir por no haber invertido lo mínimo. La diferencia entre una y otra rara vez es presupuestal; casi siempre es de disciplina operativa. Y la disciplina, a diferencia de la tecnología, no se compra; se contrata como servicio o se construye internamente con paciencia.
Si su empresa está en el grupo de las que ya pasaron por un evento de pérdida y no quieren que se repita, sabe exactamente de qué estoy hablando. Si está en el grupo de las que todavía no, tiene una ventaja que la mayoría desperdicia: el privilegio de prepararse antes.
Preguntas frecuentes
¿Cuál es la diferencia entre la regla 3-2-1 y la regla 3-2-1-1-0?
La regla 3-2-1 clásica indica tener tres copias de la información, en dos medios distintos, con al menos una fuera del sitio principal. La regla 3-2-1-1-0, recomendada actualmente por Veeam y la mayoría de proveedores serios, añade un «1» más: al menos una copia inmutable o air-gapped, y un «0»: cero errores en las pruebas de recuperación. Es la respuesta operativa al ransomware moderno, que ataca primero los respaldos.
¿Qué porcentaje de empresas mexicanas sufrió ransomware en 2025?
Según el reporte Sophos State of Ransomware 2025, basado en respuestas de 111 organizaciones mexicanas, el 74% de las empresas mexicanas encuestadas sufrió un ataque de ransomware en los últimos 12 meses. El costo promedio de recuperación, excluyendo rescate, fue de USD $1.35 millones; el 70% de las demandas de rescate exigieron al menos USD $1 millón.
¿Por qué los respaldos inmutables son tan importantes contra ransomware?
Porque el ransomware moderno busca y compromete los respaldos antes de cifrar la producción. Veeam reporta que el 89% de las víctimas tuvo respaldos atacados. Un respaldo inmutable no puede ser modificado, cifrado ni eliminado por nadie durante un periodo definido, ni siquiera por administradores con privilegios. Es la garantía técnica de que existe un punto limpio desde el cual recuperar.
¿Cada cuánto debo probar la restauración de mis respaldos?
Como mínimo, una vez por trimestre para los servidores críticos. La prueba debe documentar tres datos: si la imagen restaurada abre, si la aplicación arranca correctamente sobre ella, y cuánto tardó el ejercicio. Ese tercer número es su RTO real, no el que viene en el contrato.
¿Qué es el RTO y por qué un director general debe conocerlo?
RTO significa Recovery Time Objective: el tiempo máximo aceptable que su negocio puede estar sin un sistema crítico antes de que las pérdidas operativas se vuelvan inaceptables. Es una decisión de negocio, no una decisión técnica. Cada servidor crítico debería tener un RTO documentado, validado por pruebas reales. BackupGurú trabaja con un RTO objetivo de menos de 20 minutos para servidores de hasta 500 GB recuperados en la nube.
¿BackupGurú reemplaza a mi área de TI interna?
No. BackupGurú complementa al área de TI: opera la disciplina de respaldo y recuperación bajo SLA documentado, libera al equipo interno para tareas estratégicas y entrega reportes ejecutivos directamente al director general. Las áreas de TI mejor manejadas son las primeras en pedir un servicio administrado de respaldos, porque saben que la disciplina sostenida en el tiempo es más cara internamente que externamente.
¿Cómo solicito el diagnóstico gratuito?
Visite realnet.com.mx/backupguru y complete el formulario, o llame al 55 5219 8656. Un especialista de RealNet le contactará en horas hábiles. El diagnóstico es gratuito, sin compromiso de contratación, y la información compartida es confidencial.
Fuentes consultadas: Sophos State of Ransomware 2025; Sophos México (encuesta a 111 organizaciones); Veeam 2025 Ransomware Trends and Proactive Strategies Report; Acronis Cyberthreats Report H1 y H2 2025. Las cifras locales reflejan resultados publicados; la experiencia operativa narrada proviene de casos atendidos por RealNet en los últimos años, presentados de forma anonimizada.
Lecturas relacionadas: Página de servicio BackupGurú · CN Gurú: continuidad de negocio · RealNet · consultoría en redes y telecomunicaciones desde 1993, ciberseguridad desde 1997.
