Tu Backup No Sirve: 5 Empresas Mexicanas Que Lo Descubrieron Cuando Ya Era Demasiado Tarde

Todos dicen que tienen backup. Casi nadie lo ha probado.

Te cuento algo que me pasó en marzo de 2025. Un distribuidor de materiales en Guadalajara — 78 empleados, facturación de $42M al año — nos llamó un viernes a las 6 de la tarde. Ransomware. LockBit 3.0. Todo cifrado.

"¿Tienen backup?" Sí, un disco duro externo de 4TB conectado al servidor.

Spoiler: también estaba cifrado.

El ransomware llevaba 11 días dentro de su red antes de activarse. En esos 11 días, infectó todo lo que estaba conectado — incluyendo el "backup" que era un disco USB enchufado al mismo servidor 24/7.

Los 5 casos que vi en un solo año

Caso 1: El disco que nadie revisó en 14 meses

Empresa de alimentos en Estado de México. Backup "automático" con script nocturno. El disco se llenó en octubre de 2024. Nadie lo notó. Cuando los atacaron en diciembre de 2025, su último backup real tenía 14 meses. Perdieron toda la facturación de 2025.

Caso 2: El backup en la nube de $200 USD/mes que no servía

Consultora en CDMX, 23 personas. Pagaban Backblaze religiosamente. Pero solo respaldaban "Mis Documentos". El servidor con su base de datos — donde vivía el 90% de su operación — no estaba incluido. Nadie lo configuró.

Caso 3: La cinta que sí funcionaba pero tardó 9 días

Manufacturera en Monterrey. Cintas LTO-8 con rotación semanal. El backup estaba perfecto. Pero nunca hicieron simulacro de restauración. Restaurar 3.7TB desde cinta: 9 días. Su operación no podía parar más de 48 horas. Pagaron $1.2M MXN de rescate mientras la restauración corría en paralelo.

Caso 4: "Tenemos todo en Google Drive"

Agencia de marketing, 15 personas. Un empleado disgustado borró las carpetas compartidas antes de irse. Google Drive no es backup — es sincronización. Lo borrado en un lado se borra en todos. Google Vault les hubiera servido. No lo tenían.

Caso 5: El que sí hizo todo bien

PyME de logística en Querétaro, 34 empleados. Los atacaron con Phobos en agosto de 2025. Tenían esquema 3-2-1 con pruebas mensuales. En 6 horas estaban operando. Cero rescate. La inversión: $4,800 MXN al mes.

La regla 3-2-1 (y lo que le falta)

• 3 copias de tus datos
• 2 tipos de medio diferentes
• 1 copia fuera de sitio

Pero falta la regla más importante: 0 backups sin probar. Un backup que no has restaurado es una promesa, no un backup.

Qué necesitas en 2026

• Backup inmutable: que ni un admin pueda borrar durante X días
• Air-gap: al menos una copia desconectada de la red
• Prueba mensual: no trimestral. Mensual. Con registro
• RPO y RTO definidos: ¿cuántos datos pierdes? ¿cuánto tiempo abajo? Si no tienes esos números, no tienes estrategia

Un esquema serio cuesta entre $3,500 y $12,000 MXN/mes. Un incidente sin backup cuesta $850,000 MXN promedio (AMITI 2025). Haz la cuenta.