La forma fiable de hacer copias de seguridad de un servidor Linux en 2026 es la regla 3-2-1: mantén tres copias de tus datos, en dos tipos de almacenamiento, con una copia fuera del sitio, cifrada y automatizada para que nunca tengas que acordarte de ella. Para un único VPS, el camino más corto que realmente funciona es restic enviando snapshots nocturnos, cifrados y deduplicados a almacenamiento de objetos barato como Backblaze B2 o una Hetzner Storage Box, con un volcado de la base de datos que se ejecuta primero. La parte que casi todo el mundo se salta, y la única que importa el día que muere un disco, es probar la restauración. Esta guía recorre todo el proceso de principio a fin: elige una herramienta, envía los snapshots fuera del sitio, gestiona las bases de datos y Docker, automatízalo y demuestra que restaura.
Qué significa realmente "hacer copias de seguridad de un servidor Linux"
Una copia de seguridad no es un snapshot. El snapshot diario del VPS de tu proveedor vive en el mismo proveedor, a menudo en el mismo rack, y desaparece si tu cuenta se suspende o la región tiene un mal día. Una copia de seguridad de verdad es una copia separada y fuera del sitio que tú controlas. Hay dos capas que merece la pena proteger: tus datos (bases de datos, /home, volúmenes de aplicaciones, configuraciones en /etc) y, opcionalmente, una imagen completa del sistema para recuperación bare-metal. Para la mayoría de las configuraciones de un solo servidor no necesitas una imagen de disco completa: un VPS reconstruido con tus datos restaurados encima es más rápido y más barato. Lo que nunca debes perder son los datos, y eso es lo que persigue la configuración de abajo. El principio rector en cada guía creíble de 2026 es el mismo: la regla 3-2-1: tres copias, dos tipos de medio, una fuera del sitio. Todo lo demás es detalle de implementación.
La regla 3-2-1, aplicada a un solo VPS
En una única máquina la regla encaja con claridad. La copia 1 son tus datos en vivo en el disco del servidor. La copia 2 es un snapshot local en un segundo volumen o el snapshot de almacenamiento en bloque de tu proveedor: instantáneo de restaurar, inútil si la cuenta muere. La copia 3 es una copia cifrada fuera del sitio en almacenamiento de objetos o en una storage box de una empresa y un país distintos. Esa tercera copia es la que sobrevive a un ataque de ransomware, a un rm -rf mal tecleado o a un proveedor que cierra tu cuenta sin previo aviso. Cífrala antes de que salga de la máquina para que el proveedor de almacenamiento nunca vea el texto plano, y automatízala para que se ejecute te acuerdes o no. Si solo haces una cosa después de leer esto, configura la copia 3. Dos copias locales sin una copia fuera del sitio es la forma más común de descubrir, demasiado tarde, que en realidad no tenías copia de seguridad alguna.
¿Qué herramienta de copia de seguridad para Linux deberías usar?
El campo se reduce a un puñado de herramientas, y la elección correcta depende de si quieres un simple espejado de archivos o snapshots cifrados, deduplicados y nativos de la nube. Para un VPS cuyo destino fuera del sitio es almacenamiento de objetos, restic es la opción pragmática por defecto: cifra y deduplica por diseño y habla con S3, Backblaze B2, Azure, Google Cloud y SFTP sin herramientas adicionales. BorgBackup es su rival más cercano, con una compresión y deduplicación excelentes, pero necesita un destino compatible con Borg (SSH o una storage box) en lugar de S3 en crudo.
| Herramienta | Cifrado | Dedup | Destino fuera del sitio | Ideal para |
|---|---|---|---|---|
| restic | Integrado (AES) | Sí | S3, B2, Azure, GCS, SFTP | VPS → almacenamiento de objetos |
| BorgBackup | Integrado (AES-256) | Sí | SSH / storage box | Servidores con un host de backup por SSH |
| rsync | No (usa transporte SSH) | No | Cualquier destino SSH/NAS | Espejos de archivos sencillos |
| Timeshift | No | Snapshots | Local / mismo disco | Rollback de sistema estilo escritorio |
| Veeam / Bacula | Sí | Sí | Repositorios empresariales | Flotas, bare-metal, cumplimiento |
rsync sigue siendo perfecto para un espejo rápido a un NAS, pero por sí solo no tiene cifrado ni historial: el error de ayer sobrescribe la copia buena de hoy. Para un solo servidor con copia en la nube, restic gana por tener las menos piezas móviles.
La configuración fiable más rápida: restic hacia almacenamiento de objetos fuera del sitio
Aquí tienes toda la capa fuera del sitio para un VPS con Ubuntu o Debian. Crea un bucket de Backblaze B2 con una clave de aplicación, luego instala e inicializa un repositorio cifrado de restic:
sudo apt install restic # or: dnf install restic
export RESTIC_REPOSITORY="s3:s3.us-west-004.backblazeb2.com/your-bucket"
export AWS_ACCESS_KEY_ID="<b2-keyID>"
export AWS_SECRET_ACCESS_KEY="<b2-applicationKey>"
export RESTIC_PASSWORD="<a-long-random-passphrase>" # store this OFF the server
restic init
Después, un solo comando hace la copia de seguridad de tus rutas importantes, cifradas y deduplicadas antes de que nada salga de la máquina:
restic backup /etc /home /var/www /srv --exclude /var/www/cache
Ejecútalo dos veces y la segunda ejecución termina en segundos: restic solo sube los fragmentos modificados. Guarda RESTIC_PASSWORD en algún lugar fuera del servidor (un gestor de contraseñas); sin ella el repositorio es irrecuperable por diseño, que es exactamente la propiedad que lo hace seguro en la nube de otra persona. Este es el patrón al que recurrimos en nuestra propia infraestructura: ejecutamos TechRiseUps a través de WaseerHost, y un repositorio cifrado fuera del sitio como este es el respaldo detrás de cada máquina.
No te olvides de las bases de datos y los volúmenes de Docker
Aquí es donde la mayoría de las copias de seguridad a nivel de archivo fallan en silencio. Copiar el directorio de datos de una base de datos en vivo mientras se está escribiendo produce un archivo corrupto e irrestaurable. Vuelca primero la base de datos a un archivo plano y luego deja que restic recoja el volcado. Para Postgres, ejecuta pg_dump (o pg_dumpall para todas las bases de datos y los roles); para MySQL o MariaDB, mysqldump --single-transaction. Un paso previo a la copia de una sola línea lo resuelve:
pg_dumpall -U postgres | gzip > /srv/backups/db-$(date +%F).sql.gz
Docker añade la misma trampa: el estado importante vive en volúmenes con nombre, no en el contenedor. O bien vuelcas la base de datos dentro del contenedor de la misma forma, o detienes la pila brevemente con docker compose down, haces la copia del directorio del volumen y la vuelves a levantar. Si autoalojas una aplicación con estado, nuestra guía de autoalojamiento de Supabase explica qué rutas de Postgres y de almacenamiento realmente necesitan protección. La regla es simple: haz copia de una copia consistente, nunca de una en vivo.
Automatízalo: un temporizador nocturno de systemd
Una copia de seguridad que ejecutas a mano es una copia de seguridad que olvidarás. Envuelve la secuencia de volcado más restic en un pequeño script y contrólalo con un temporizador de systemd (más limpio que cron, con registros en journalctl). Crea /etc/systemd/system/backup.service apuntando a tu script, y luego un temporizador:
# /etc/systemd/system/backup.timer
[Timer]
OnCalendar=*-*-* 03:30:00
Persistent=true
[Install]
WantedBy=timers.target
Actívalo con systemctl enable --now backup.timer. Añade retención para que el repositorio no crezca eternamente: la política forget/prune de restic mantiene una escala razonable y elimina el resto:
restic forget --keep-daily 7 --keep-weekly 4 --keep-monthly 6 --prune
Persistent=true importa: si el servidor estaba apagado a las 03:30, el trabajo se ejecuta en el siguiente arranque en lugar de saltárselo en silencio. Combina esto con un servidor bien blindado: nuestra guía de la primera hora segura del VPS cubre el firewall y el endurecimiento de SSH que evitan que el propio host de copias de seguridad se convierta en la brecha.
Cuánto cuestan realmente las copias fuera del sitio en 2026
La copia de seguridad fuera del sitio es una de las pólizas de seguro más baratas de la tecnología. El almacenamiento de objetos se factura por gigabyte, y un VPS típico solo alberga decenas de gigabytes de datos reales tras la deduplicación y la compresión.
| Opción | Precio (2026) | Egreso | Notas |
|---|---|---|---|
| Backblaze B2 | $6.95 / TB / mo | Gratis hasta 3× lo almacenado, luego $0.01/GB | Primeros 10 GB gratis; destino nativo de restic |
| Hetzner Storage Box | Unos pocos euros / mes por 1 TB | Incluido | BorgBackup + rsync sobre SSH |
| AWS S3 | ~$23 / TB / mo | $0.09/GB | El egreso se dispara rápido al restaurar |
Para un servidor con 30 GB de snapshots deduplicados, Backblaze B2 cuesta bastante menos de un dólar al mes, y como B2 da egreso gratuito hasta tres veces el tamaño almacenado, una restauración completa normalmente no cuesta nada. Ese es el número que hay que sopesar frente a la alternativa: reconstruir de memoria una base de datos perdida. Si estás afinando los costes de toda tu pila, la misma lógica de "vigila el egreso" impulsa nuestro desglose de las tarifas de egreso en la nube.
Prueba la restauración: el paso que todos se saltan
Una copia de seguridad no probada es una esperanza, no una copia de seguridad. La única forma de saber que tu configuración funciona es restaurar a partir de ella antes de necesitarla. Con restic, verifica la integridad del repositorio y luego restaura un snapshot en un directorio de prueba:
restic check # verify repository integrity
restic snapshots # list what you have
restic restore latest --target /tmp/restore-test
Compara los archivos restaurados con los originales, confirma que un volcado de base de datos realmente se importa en una base de datos desechable y luego borra la copia de prueba. Hazlo el día que lo configures, y de nuevo cada vez que cambies lo que respaldas. También puedes ejecutar restic mount /mnt/restic para navegar por los snapshots como un sistema de archivos normal y recuperar un solo archivo. Pon un simulacro de restauración en el calendario cada trimestre. El modo de fallo que acaba con las empresas no es "no teníamos copias de seguridad"; es "teníamos copias de seguridad, y ninguna de ellas restauró".
Preguntas frecuentes
¿Cuál es la mejor herramienta de copia de seguridad para Linux?
Para un solo servidor con copia en la nube, restic es la mejor opción por defecto en 2026: cifra y deduplica automáticamente y escribe directamente en S3, Backblaze B2 o SFTP. BorgBackup es una elección igual de sólida cuando tu destino es un host SSH o una Hetzner Storage Box. Usa rsync solo para espejos sencillos donde no necesites cifrado ni historial.
¿Cómo hago una copia de seguridad de todo un servidor Ubuntu?
Haz copia de tus datos (bases de datos volcadas a archivos, más /etc, /home y los directorios de aplicaciones) con restic o Borg hacia un repositorio fuera del sitio, y automatízalo con un temporizador de systemd. Una imagen bare-metal completa rara vez merece la pena para un VPS: reconstruir el sistema operativo y restaurar los datos encima es más rápido. Si aun así quieres una imagen completa, herramientas como Timeshift o un snapshot del proveedor cubren la capa del sistema.
¿Cómo hago una copia de seguridad de un servidor Linux hacia un NAS?
Apunta las mismas herramientas al NAS en lugar de a la nube. rsync sobre SSH espeja archivos a un recurso compartido exportado; restic y Borg pueden escribir en el NAS sobre SFTP para copias cifradas y versionadas. Trata el NAS como la copia 2 (local) y sigue manteniendo una copia 3 cifrada fuera del sitio, porque un incendio, un robo o un ataque de ransomware se llevan el NAS y el servidor a la vez.
¿Cómo hago una copia de seguridad de todo un servidor para recuperación bare-metal?
Para la recuperación completa del sistema necesitas una imagen del sistema, no solo archivos. Clonezilla crea una imagen de disco arrancable, y Veeam Agent for Linux o Bacula gestionan copias bare-metal consistentes con la aplicación para flotas. Para un solo VPS, el camino pragmático es automatizar con scripts la construcción de tu servidor (o usar Coolify o Ansible) para que reconstruirlo sea cuestión de cinco minutos, y luego restaurar tu copia de datos encima.
Sources
- Backblaze — precios de B2 Cloud Storage: $6.95/TB/mes, egreso gratuito hasta 3× lo almacenado, luego $0.01/GB.
- Hetzner — Storage Box: cajas de 1 TB+ compatibles con BorgBackup y rsync sobre SSH.
- documentación de restic: cifrado, deduplicación, backends compatibles y gestión de snapshots.
- restic — Eliminación de snapshots (forget/prune): flags de la política de retención.
- LinuxTeck — Mejores soluciones de copia de seguridad para servidores Linux 2026: la regla 3-2-1 y comparativa de herramientas.
Waqas Ahmed Waseer
Waqas Ahmed Waseer es desarrollador y creador de automatizaciones con más de 8 años construyendo sistemas en producción que usan más de 100.000 personas. Crea SaaS multiinquilino a medida, automatización con IA (n8n, flujos LLM, bots de WhatsApp) e infraestructura de hosting (WHM/cPanel, CloudLinux), y es el creador de WaSphere, FlowMaticX y la marca de hosting WaseerHost. Más de 100 proyectos entregados para pymes, agencias y startups financiadas.



