Cloud & Hosting

Cómo hacer copias de seguridad de un servidor Linux en 2026: la configuración 3-2-1 que realmente restaura

Cómo hacer copias de seguridad de un servidor Linux en 2026 de forma fiable: snapshots de restic cifrados y deduplicados enviados fuera del sitio a almacenamiento de objetos barato, gestión de bases de datos y Docker, automatización con systemd, costes reales de almacenamiento en 2026 y una prueba de restauración que demuestra que funciona.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 13 jul 2026 9 min de lectura
Cómo hacer copias de seguridad de un servidor Linux en 2026: la configuración 3-2-1 que realmente restaura

La forma fiable de hacer copias de seguridad de un servidor Linux en 2026 es la regla 3-2-1: mantén tres copias de tus datos, en dos tipos de almacenamiento, con una copia fuera del sitio, cifrada y automatizada para que nunca tengas que acordarte de ella. Para un único VPS, el camino más corto que realmente funciona es restic enviando snapshots nocturnos, cifrados y deduplicados a almacenamiento de objetos barato como Backblaze B2 o una Hetzner Storage Box, con un volcado de la base de datos que se ejecuta primero. La parte que casi todo el mundo se salta, y la única que importa el día que muere un disco, es probar la restauración. Esta guía recorre todo el proceso de principio a fin: elige una herramienta, envía los snapshots fuera del sitio, gestiona las bases de datos y Docker, automatízalo y demuestra que restaura.

Qué significa realmente "hacer copias de seguridad de un servidor Linux"

Una copia de seguridad no es un snapshot. El snapshot diario del VPS de tu proveedor vive en el mismo proveedor, a menudo en el mismo rack, y desaparece si tu cuenta se suspende o la región tiene un mal día. Una copia de seguridad de verdad es una copia separada y fuera del sitio que tú controlas. Hay dos capas que merece la pena proteger: tus datos (bases de datos, /home, volúmenes de aplicaciones, configuraciones en /etc) y, opcionalmente, una imagen completa del sistema para recuperación bare-metal. Para la mayoría de las configuraciones de un solo servidor no necesitas una imagen de disco completa: un VPS reconstruido con tus datos restaurados encima es más rápido y más barato. Lo que nunca debes perder son los datos, y eso es lo que persigue la configuración de abajo. El principio rector en cada guía creíble de 2026 es el mismo: la regla 3-2-1: tres copias, dos tipos de medio, una fuera del sitio. Todo lo demás es detalle de implementación.

La regla 3-2-1, aplicada a un solo VPS

En una única máquina la regla encaja con claridad. La copia 1 son tus datos en vivo en el disco del servidor. La copia 2 es un snapshot local en un segundo volumen o el snapshot de almacenamiento en bloque de tu proveedor: instantáneo de restaurar, inútil si la cuenta muere. La copia 3 es una copia cifrada fuera del sitio en almacenamiento de objetos o en una storage box de una empresa y un país distintos. Esa tercera copia es la que sobrevive a un ataque de ransomware, a un rm -rf mal tecleado o a un proveedor que cierra tu cuenta sin previo aviso. Cífrala antes de que salga de la máquina para que el proveedor de almacenamiento nunca vea el texto plano, y automatízala para que se ejecute te acuerdes o no. Si solo haces una cosa después de leer esto, configura la copia 3. Dos copias locales sin una copia fuera del sitio es la forma más común de descubrir, demasiado tarde, que en realidad no tenías copia de seguridad alguna.

¿Qué herramienta de copia de seguridad para Linux deberías usar?

El campo se reduce a un puñado de herramientas, y la elección correcta depende de si quieres un simple espejado de archivos o snapshots cifrados, deduplicados y nativos de la nube. Para un VPS cuyo destino fuera del sitio es almacenamiento de objetos, restic es la opción pragmática por defecto: cifra y deduplica por diseño y habla con S3, Backblaze B2, Azure, Google Cloud y SFTP sin herramientas adicionales. BorgBackup es su rival más cercano, con una compresión y deduplicación excelentes, pero necesita un destino compatible con Borg (SSH o una storage box) en lugar de S3 en crudo.

HerramientaCifradoDedupDestino fuera del sitioIdeal para
resticIntegrado (AES)S3, B2, Azure, GCS, SFTPVPS → almacenamiento de objetos
BorgBackupIntegrado (AES-256)SSH / storage boxServidores con un host de backup por SSH
rsyncNo (usa transporte SSH)NoCualquier destino SSH/NASEspejos de archivos sencillos
TimeshiftNoSnapshotsLocal / mismo discoRollback de sistema estilo escritorio
Veeam / BaculaRepositorios empresarialesFlotas, bare-metal, cumplimiento

rsync sigue siendo perfecto para un espejo rápido a un NAS, pero por sí solo no tiene cifrado ni historial: el error de ayer sobrescribe la copia buena de hoy. Para un solo servidor con copia en la nube, restic gana por tener las menos piezas móviles.

La configuración fiable más rápida: restic hacia almacenamiento de objetos fuera del sitio

Aquí tienes toda la capa fuera del sitio para un VPS con Ubuntu o Debian. Crea un bucket de Backblaze B2 con una clave de aplicación, luego instala e inicializa un repositorio cifrado de restic:

sudo apt install restic          # or: dnf install restic
export RESTIC_REPOSITORY="s3:s3.us-west-004.backblazeb2.com/your-bucket"
export AWS_ACCESS_KEY_ID="<b2-keyID>"
export AWS_SECRET_ACCESS_KEY="<b2-applicationKey>"
export RESTIC_PASSWORD="<a-long-random-passphrase>"   # store this OFF the server
restic init

Después, un solo comando hace la copia de seguridad de tus rutas importantes, cifradas y deduplicadas antes de que nada salga de la máquina:

restic backup /etc /home /var/www /srv --exclude /var/www/cache

Ejecútalo dos veces y la segunda ejecución termina en segundos: restic solo sube los fragmentos modificados. Guarda RESTIC_PASSWORD en algún lugar fuera del servidor (un gestor de contraseñas); sin ella el repositorio es irrecuperable por diseño, que es exactamente la propiedad que lo hace seguro en la nube de otra persona. Este es el patrón al que recurrimos en nuestra propia infraestructura: ejecutamos TechRiseUps a través de WaseerHost, y un repositorio cifrado fuera del sitio como este es el respaldo detrás de cada máquina.

No te olvides de las bases de datos y los volúmenes de Docker

Aquí es donde la mayoría de las copias de seguridad a nivel de archivo fallan en silencio. Copiar el directorio de datos de una base de datos en vivo mientras se está escribiendo produce un archivo corrupto e irrestaurable. Vuelca primero la base de datos a un archivo plano y luego deja que restic recoja el volcado. Para Postgres, ejecuta pg_dump (o pg_dumpall para todas las bases de datos y los roles); para MySQL o MariaDB, mysqldump --single-transaction. Un paso previo a la copia de una sola línea lo resuelve:

pg_dumpall -U postgres | gzip > /srv/backups/db-$(date +%F).sql.gz

Docker añade la misma trampa: el estado importante vive en volúmenes con nombre, no en el contenedor. O bien vuelcas la base de datos dentro del contenedor de la misma forma, o detienes la pila brevemente con docker compose down, haces la copia del directorio del volumen y la vuelves a levantar. Si autoalojas una aplicación con estado, nuestra guía de autoalojamiento de Supabase explica qué rutas de Postgres y de almacenamiento realmente necesitan protección. La regla es simple: haz copia de una copia consistente, nunca de una en vivo.

Automatízalo: un temporizador nocturno de systemd

Una copia de seguridad que ejecutas a mano es una copia de seguridad que olvidarás. Envuelve la secuencia de volcado más restic en un pequeño script y contrólalo con un temporizador de systemd (más limpio que cron, con registros en journalctl). Crea /etc/systemd/system/backup.service apuntando a tu script, y luego un temporizador:

# /etc/systemd/system/backup.timer
[Timer]
OnCalendar=*-*-* 03:30:00
Persistent=true

[Install]
WantedBy=timers.target

Actívalo con systemctl enable --now backup.timer. Añade retención para que el repositorio no crezca eternamente: la política forget/prune de restic mantiene una escala razonable y elimina el resto:

restic forget --keep-daily 7 --keep-weekly 4 --keep-monthly 6 --prune

Persistent=true importa: si el servidor estaba apagado a las 03:30, el trabajo se ejecuta en el siguiente arranque en lugar de saltárselo en silencio. Combina esto con un servidor bien blindado: nuestra guía de la primera hora segura del VPS cubre el firewall y el endurecimiento de SSH que evitan que el propio host de copias de seguridad se convierta en la brecha.

Cuánto cuestan realmente las copias fuera del sitio en 2026

La copia de seguridad fuera del sitio es una de las pólizas de seguro más baratas de la tecnología. El almacenamiento de objetos se factura por gigabyte, y un VPS típico solo alberga decenas de gigabytes de datos reales tras la deduplicación y la compresión.

OpciónPrecio (2026)EgresoNotas
Backblaze B2$6.95 / TB / moGratis hasta 3× lo almacenado, luego $0.01/GBPrimeros 10 GB gratis; destino nativo de restic
Hetzner Storage BoxUnos pocos euros / mes por 1 TBIncluidoBorgBackup + rsync sobre SSH
AWS S3~$23 / TB / mo$0.09/GBEl egreso se dispara rápido al restaurar

Para un servidor con 30 GB de snapshots deduplicados, Backblaze B2 cuesta bastante menos de un dólar al mes, y como B2 da egreso gratuito hasta tres veces el tamaño almacenado, una restauración completa normalmente no cuesta nada. Ese es el número que hay que sopesar frente a la alternativa: reconstruir de memoria una base de datos perdida. Si estás afinando los costes de toda tu pila, la misma lógica de "vigila el egreso" impulsa nuestro desglose de las tarifas de egreso en la nube.

Prueba la restauración: el paso que todos se saltan

Una copia de seguridad no probada es una esperanza, no una copia de seguridad. La única forma de saber que tu configuración funciona es restaurar a partir de ella antes de necesitarla. Con restic, verifica la integridad del repositorio y luego restaura un snapshot en un directorio de prueba:

restic check                     # verify repository integrity
restic snapshots                 # list what you have
restic restore latest --target /tmp/restore-test

Compara los archivos restaurados con los originales, confirma que un volcado de base de datos realmente se importa en una base de datos desechable y luego borra la copia de prueba. Hazlo el día que lo configures, y de nuevo cada vez que cambies lo que respaldas. También puedes ejecutar restic mount /mnt/restic para navegar por los snapshots como un sistema de archivos normal y recuperar un solo archivo. Pon un simulacro de restauración en el calendario cada trimestre. El modo de fallo que acaba con las empresas no es "no teníamos copias de seguridad"; es "teníamos copias de seguridad, y ninguna de ellas restauró".

Preguntas frecuentes

¿Cuál es la mejor herramienta de copia de seguridad para Linux?

Para un solo servidor con copia en la nube, restic es la mejor opción por defecto en 2026: cifra y deduplica automáticamente y escribe directamente en S3, Backblaze B2 o SFTP. BorgBackup es una elección igual de sólida cuando tu destino es un host SSH o una Hetzner Storage Box. Usa rsync solo para espejos sencillos donde no necesites cifrado ni historial.

¿Cómo hago una copia de seguridad de todo un servidor Ubuntu?

Haz copia de tus datos (bases de datos volcadas a archivos, más /etc, /home y los directorios de aplicaciones) con restic o Borg hacia un repositorio fuera del sitio, y automatízalo con un temporizador de systemd. Una imagen bare-metal completa rara vez merece la pena para un VPS: reconstruir el sistema operativo y restaurar los datos encima es más rápido. Si aun así quieres una imagen completa, herramientas como Timeshift o un snapshot del proveedor cubren la capa del sistema.

¿Cómo hago una copia de seguridad de un servidor Linux hacia un NAS?

Apunta las mismas herramientas al NAS en lugar de a la nube. rsync sobre SSH espeja archivos a un recurso compartido exportado; restic y Borg pueden escribir en el NAS sobre SFTP para copias cifradas y versionadas. Trata el NAS como la copia 2 (local) y sigue manteniendo una copia 3 cifrada fuera del sitio, porque un incendio, un robo o un ataque de ransomware se llevan el NAS y el servidor a la vez.

¿Cómo hago una copia de seguridad de todo un servidor para recuperación bare-metal?

Para la recuperación completa del sistema necesitas una imagen del sistema, no solo archivos. Clonezilla crea una imagen de disco arrancable, y Veeam Agent for Linux o Bacula gestionan copias bare-metal consistentes con la aplicación para flotas. Para un solo VPS, el camino pragmático es automatizar con scripts la construcción de tu servidor (o usar Coolify o Ansible) para que reconstruirlo sea cuestión de cinco minutos, y luego restaurar tu copia de datos encima.

Sources

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer es desarrollador y creador de automatizaciones con más de 8 años construyendo sistemas en producción que usan más de 100.000 personas. Crea SaaS multiinquilino a medida, automatización con IA (n8n, flujos LLM, bots de WhatsApp) e infraestructura de hosting (WHM/cPanel, CloudLinux), y es el creador de WaSphere, FlowMaticX y la marca de hosting WaseerHost. Más de 100 proyectos entregados para pymes, agencias y startups financiadas.

Relacionado

Más en Cloud & Hosting

Ver todo

Debate · 0

Sé amable. Los comentarios son públicos.

    Newsletter · Edición del lunes

    El resumen del lunes.

    Un correo cada lunes por la mañana. La semana que viene en IA, startups, hosting y herramientas dev: sin relleno, sin anzuelos patrocinados.

    Gratis. Cancela tu suscripción con un clic.