Los datos se han convertido en el corazón de cualquier negocio y perderlos puede significar desde un buen susto hasta un auténtico desastre económico y reputacional. Muchas empresas ya hacen copias de seguridad con cierta regularidad, pero todavía son menos las que añaden una capa esencial: el cifrado de backups, para que nadie pueda leer la información si cae en manos equivocadas.
Cifrar las copias de seguridad no es una pijada técnica ni una moda pasajera, es una medida básica de seguridad, clave para cumplir normativas como el RGPD y para frenar amenazas tan serias como el ransomware o las filtraciones de datos. A lo largo de este artículo vamos a ver, con calma pero sin rodeos, qué son los backups cifrados, qué tipos de cifrado existen, qué riesgos conllevan, cómo se gestionan las claves y cómo lo aplican soluciones reales como NAKIVO, AWS Backup o Azure Backup.
Qué es el cifrado de backups y por qué debería importarte
Cuando hablamos de cifrado de backups nos referimos a transformar la copia de seguridad desde un formato legible a uno ilegible mediante algoritmos criptográficos. Esa “traducción” sólo se puede revertir con una clave o contraseña de descifrado válida, de forma que, aunque alguien robe el archivo de backup, no pueda acceder al contenido sin esa clave.
En la práctica, el cifrado convierte tus datos en un galimatías que no tiene sentido alguno si no se dispone de la clave correcta. El texto plano o los archivos normales se pasan a texto cifrado, de forma que la información sensible (datos personales, financieros, médicos, propiedad intelectual, etc.) queda protegida tanto cuando se almacena como cuando viaja por la red.
El cifrado de copias de seguridad se ha vuelto imprescindible porque los atacantes ya no se conforman con cifrar o borrar los datos de producción: también buscan sabotear o robar los backups para impedir la recuperación o para extorsionar publicando los datos. Sin cifrado, una copia de seguridad robada puede dejar tu organización en evidencia en cuestión de horas.
Importancia de cifrar las copias de seguridad
El primer motivo para cifrar tus backups es evitar el robo y la filtración de información. Un ciberdelincuente que accede a una copia sin cifrar puede venderla, filtrarla públicamente o usarla para chantajear a tu organización. Con un buen cifrado, aunque se lleven los archivos de backup, lo que obtienen es puro ruido inservible.
Los ataques modernos con malware, spyware y ransomware son cada vez más sofisticados y se centran precisamente en localizar y destruir o robar las copias de seguridad. Tener sólo backups sin cifrar es como guardar el dinero en una caja fuerte abierta. El cifrado añade una barrera adicional que complica mucho la vida al atacante.
Además, el cifrado es un requisito directo o indirecto de muchas normas de cumplimiento: RGPD en la UE, PCI DSS para datos de tarjetas, HIPAA en el sector sanitario, CCPA en California, SOC, CIRCIA y un largo etcétera. En muchas de estas regulaciones se exige proteger los datos “en tránsito y en reposo”, y el cifrado de las copias de seguridad es una de las medidas que se mencionan explícitamente.
También mejora la seguridad general de la estrategia de backup, sobre todo cuando se usan soportes extraíbles o ubicaciones remotas. Si alguien roba un disco externo, una cinta o un NAS que contiene backups cifrados correctamente, no podrá acceder a los datos críticos aunque tenga el soporte físico en la mano.
Backups cifrados frente al ransomware
Los backups son la red de seguridad frente al ransomware y parte de un plan de respuesta a incidentes en la nube: si el atacante cifra o borra los datos originales, recurres a la copia de seguridad y vuelves a operar. Precisamente por eso, muchos grupos de ransomware intentan localizar y destruir los backups antes de lanzar el ataque definitivo para dejarte sin plan B.
Si tus copias están cifradas con algoritmos robustos (por ejemplo AES-256) y las claves o contraseñas se guardan en un entorno seguro y aislado, un atacante que exfiltre los archivos de backup no podrá leer su contenido. Eso reduce enormemente el valor del robo y deja sin sentido muchas tácticas de doble extorsión (“págame o publico tus datos”).
En algunos escenarios, el cifrado por hardware mediante módulos HSM (tarjetas PCIe, tokens USB, smart cards, llaves HASP, etc.) aporta un plus de seguridad, ya que dificulta mucho la extracción de las claves. El inconveniente es que añade costes, dependencia de drivers y cierta complejidad operativa.
Para proteger aún más tus copias frente al ransomware conviene combinarlas con almacenamiento aislado: sistemas desconectados de la red, almacenamiento inmutable o repositorios con capacidad de inmutabilidad. De este modo, el malware ni siquiera puede modificar o borrar los backups, y si además están cifrados, tampoco puede explotar su contenido.
Cifrado en reposo y cifrado en tránsito
Cuando hablamos de backups cifrados hay dos momentos clave en los que hay que proteger los datos: mientras viajan por la red (en tránsito) y mientras se almacenan en el destino (en reposo). Lo ideal es cubrir ambos frentes para que no quede ninguna ventana abierta.
- El cifrado en tránsito protege el tráfico de red que contiene datos de copia. Sin él, un atacante con un sniffer podría capturar paquetes y reconstruir información sensible. Para evitarlo, se usan protocolos como TLS en conexiones HTTPS, VPN seguras u otros mecanismos que cifran el flujo entre origen y destino.
- El cifrado en reposo se aplica al almacenamiento donde residen los backups: discos locales, cintas LTO, volúmenes en la nube, almacenamiento de objetos, etc. Aquí el objetivo es que, si alguien accede al soporte físico o al sistema de almacenamiento, sólo vea datos cifrados imposibles de interpretar sin clave.
Lo más recomendable es combinar cifrado en tránsito y en reposo, de forma que los datos vayan protegidos de punta a punta. Algunas soluciones permiten incluso cifrar en origen y mantener ese cifrado durante todo el ciclo de vida del backup, como veremos más adelante.
Algoritmos de cifrado y conceptos básicos
Para cifrar datos se emplean algoritmos matemáticos complejos junto con claves de cifrado. Muchas herramientas permiten derivar esas claves a partir de una contraseña o frase de paso, lo que hace más sencillo para el usuario recordar el secreto sin manejar directamente claves largas en formato binario o hexadecimal.
- Simétricos. Utilizan la misma clave para cifrar y descifrar. Por ejemplo AES, DES, 3DES, Blowfish o Twofish. Para backups, lo habitual es usar cifrado simétrico por eficiencia.
- Asimétricos. Usan pares de claves: una pública para cifrar y otra privada para descifrar. Los clásicos son RSA (con claves de 1024, 2048 o 4096 bits), ECC, DSA o los esquemas de intercambio como Diffie-Hellman.
AES (Advanced Encryption Standard) se ha consolidado como el estándar de facto para proteger datos en miles de aplicaciones, incluyendo sistemas de copia de seguridad. Sus variantes de 128, 192 y 256 bits ofrecen distintos niveles de seguridad y consumo de recursos, siendo AES-256 la opción más robusta y usada en entornos críticos.
Cuanto mayor es la longitud de la clave, más tiempo y potencia haría falta para romper el cifrado por fuerza bruta, pero también se incrementa el consumo de CPU y puede bajar ligeramente el rendimiento de las copias y las restauraciones. En red, el cifrado añade además cierta sobrecarga en forma de metadatos, cabeceras y relleno (padding).
Dentro de los algoritmos simétricos se distingue entre cifradores de flujo y cifradores de bloque. En los primeros se procesa el flujo continuo de datos, mientras que los de bloque trabajan con bloques de tamaño fijo (por ejemplo 64 o 128 bits). AES, DES o Blowfish son ejemplos de cifrado por bloques, muy habituales en sistemas de backup.
Riesgos y desventajas de los backups cifrados
Aunque el cifrado aporta mucha seguridad, también introduce ciertos riesgos y complejidad que conviene entender. El más evidente es que si pierdes la clave o contraseña de descifrado, la copia de seguridad se queda inutilizable para siempre; nadie podrá recuperar esos datos, ni siquiera el proveedor de la solución.
Otro riesgo importante es que un tercero consiga acceso a las claves. En ese caso, todo el cifrado se viene abajo porque el atacante puede descifrar los backups sin problema. Por eso es fundamental tener una política de gestión y almacenamiento de claves seria, con controles de acceso estrictos y rotación periódica.
También hay particularidades cuando se cifra a nivel de disco completo (FDE) o de volumen. Si un disco cifrado falla de forma física, la recuperación en laboratorio puede ser impracticable, de modo que los backups (idealmente almacenados en soportes distintos) se vuelven todavía más críticos para no perder la información.
Por todo ello es vital realizar restauraciones de prueba periódicas. No basta con confiar en que el backup cifrado está ahí; hay que comprobar que realmente se puede recuperar en diferentes escenarios (pérdida de servidor, cambio de versión de software, migración a otra instancia, etc.).
Gestión de claves: el talón de Aquiles del cifrado
Usar una única clave para cifrar todo el entorno es una bomba de relojería. Si alguien roba esa clave o se filtra por error, automáticamente se abre la puerta a todos los datos cifrados. Lo más recomendable es segmentar: utilizar claves distintas para diferentes sistemas, clientes, tipos de datos o repositorios.
Esas claves deben almacenarse en lugares muy controlados, con accesos limitados a personal autorizado y políticas claras de uso. Además, hay que contemplar procesos de rotación de claves, revocación, backup de claves y procedimientos de recuperación ante pérdida de las mismas.
Para gestionar todo este ciclo de vida de las claves es habitual implantar un KMS (Key Management System), que centraliza su creación, almacenamiento, uso y rotación. Un estándar relevante en este ámbito es KMIP (Key Management Interoperability Protocol), orientado a que distintos sistemas puedan hablar con el servicio de claves.
Algunos KMS funcionan como cámaras acorazadas de claves, con controles de acceso muy estrictos, auditoría detallada de quién usa qué clave y desde dónde, y soporte para módulos HSM. Esta pieza es crítica cuando manejas muchas copias de seguridad cifradas repartidas entre on‑premise y distintas nubes.
Cifrado de backups en soluciones especializadas: NAKIVO, AWS y Azure
Las suites modernas de protección de datos integran el cifrado como una función estándar, ofreciendo opciones muy detalladas para elegir dónde y cómo se aplican los algoritmos, así como su integración con servicios de gestión de claves de la nube.
Cifrado de backups con NAKIVO Backup & Replication
NAKIVO Backup & Replication incorpora cifrado AES-256 para proteger los backups y permite activar el cifrado en varios niveles: en el origen, durante el tránsito por la red y directamente en el repositorio de destino. Esto da bastante flexibilidad a la hora de diseñar la estrategia.
Entre los destinos soportados para este tipo de cifrado se incluyen carpetas locales, NFS, SMB, nubes como Amazon EC2, S3 o Wasabi, almacenamiento de objetos compatible, Azure Blob, Backblaze B2, appliances de desduplicación e incluso cinta, siempre que el repositorio sea del tipo incremental con completas periódicas.
El cifrado de red, disponible también en versiones anteriores, funciona entre dos componentes Transporter de NAKIVO: el del origen comprime y cifra los datos, y el del destino los descifra y escribe en el repositorio. Es útil cuando no se dispone de VPN pero se quiere que el tráfico viaje cifrado.
En cuanto al cifrado de repositorios, se puede activar cuando se crea un nuevo repositorio en Linux (modos incremental con full o forever incremental). Al marcar la opción de cifrado, todos los backups almacenados en ese repositorio quedan cifrados automáticamente, aunque hay que tener en cuenta que la inmutabilidad de backups se desactiva en ese caso.
NAKIVO permite además integrar AWS KMS como servicio de gestión de claves, para no depender exclusivamente de contraseñas almacenadas en la base de datos del Director. Una vez asociada la cuenta y región de AWS, se puede seleccionar la clave KMS que se usará para las contraseñas de cifrado de backups.
Cifrado independiente de backups con AWS Backup
AWS Backup permite que las copias de seguridad tengan su propio esquema de cifrado, independiente del usado en el recurso de origen. Por ejemplo, un bucket de S3 puede estar cifrado con un método y su backup en la bóveda de AWS Backup con otro, controlado por la clave KMS asociada a esa bóveda.
En tipos de recursos no gestionados completamente por AWS Backup, las copias suelen heredar la configuración de cifrado del recurso original (como en EBS). En estos casos, la configuración se hace siguiendo las guías específicas del servicio de origen.
Es obligatorio que el rol de IAM tenga permisos sobre la clave KMS usada para realizar y restaurar los backups. Si no, el job puede marcarse como correcto a nivel de orquestación, pero los objetos concretos no se habrán copiado o restaurado porque la clave no se podía usar.
Al copiar backups entre cuentas o regiones, AWS Backup cifra automáticamente la copia, generalmente con el algoritmo AES-256 estándar, incluso si la copia original no estaba cifrada. La clave usada será la asociada a la bóveda de destino en la otra cuenta o región.
Es muy importante revisar las políticas de claves KMS para asegurarse de que no existen declaraciones de denegación que bloqueen las operaciones de backup o restore, o concesiones (grants) revocadas que impidan a AWS Backup utilizar la clave alias/aws/backup en copias entre regiones.
Cifrado de backups con claves propias en Azure Backup
Azure Backup ofrece la posibilidad de cifrar los datos de backup con claves administradas por el cliente (CMK) en lugar de las claves administradas por la plataforma (PMK) que vienen por defecto. Esas claves se almacenan en Azure Key Vault y pueden diferir de las que protegen los datos de origen.
El modelo se basa en una clave de cifrado de datos (DEK) AES-256, protegida a su vez por una clave de cifrado de claves (KEK) que resides en Key Vault. De esta forma, el cliente mantiene un control muy fino sobre las claves y puede rotarlas según sus políticas.
Hay una serie de consideraciones importantes: sólo se pueden usar CMK en nuevos almacenes de Recovery Services sin elementos ya registrados, no es posible revertir un almacén CMK a PMK y no se soporta este tipo de cifrado con el agente MARS ni con máquinas virtuales del modelo clásico.
Para que funcione el cifrado con claves propias hay que seguir varios pasos: habilitar una identidad administrada (de sistema o de usuario) en el almacén, concederle permisos en el Key Vault donde está la CMK, activar eliminación temporal y protección de purga en el Key Vault y, por último, asociar la clave al almacén de Recovery Services.
Una vez configurado, el flujo de backup y restore es prácticamente idéntico al de un almacén estándar con PMK. Desde el punto de vista del usuario, la experiencia de proteger máquinas virtuales, SAP HANA, SQL Server, etc., apenas cambia, aunque por debajo se utilizando CMK.
Azure permite además habilitar la rotación automática de CMK si se selecciona la clave directamente desde Key Vault (sin fijar versión en el URI), y ofrece políticas de Azure Policy para auditar y exigir que los almacenes nuevos usen cifrado mediante claves administradas por el cliente.
Encriptación de datos y copias de seguridad en el marco legal español y europeo
En el contexto español y europeo, el cifrado de datos no es sólo una buena práctica, sino que se menciona explícitamente en el RGPD como una de las medidas técnicas adecuadas para mitigar riesgos en el tratamiento de datos personales.
El considerando 83 del RGPD señala que responsables y encargados deben evaluar riesgos y aplicar medidas para mitigarlos, “como el cifrado”. La Agencia Española de Protección de Datos (AEPD) subraya este punto y considera el cifrado un elemento básico en la política de seguridad de una entidad.
La pregunta ya no es si la ley permite guardar datos encriptados, sino en qué casos es obligatorio y en cuáles es, como mínimo, muy recomendable. Datos sensibles, financieros o especialmente protegidos deberían ir cifrados casi por defecto, tanto en producción como en las copias de seguridad.
Para las PYMES el impacto es el mismo que para las grandes empresas: si una pequeña compañía sufre una filtración de backups sin cifrar con datos personales, se expone a sanciones importantes y a un golpe de reputación del que no siempre se recupera. En cambio, si el contenido estaba cifrado de forma robusta, el riesgo real de exposición se reduce muchísimo.
Todo lo que hemos visto apunta a una idea sencilla: un backup sin cifrar es un riesgo enorme, tanto desde la perspectiva técnica como legal y de negocio. Aplicar cifrado robusto, gestionar bien las claves, combinarlo con almacenamiento aislado o inmutable y aprovechar las capacidades de soluciones como NAKIVO, AWS Backup o Azure Backup permite construir una estrategia de copias de seguridad realmente resiliente y preparada para un entorno donde las amenazas y requisitos normativos no hacen más que crecer.
