La respuesta corta es no, no en el sentido en que la mayoría lo entiende. Microsoft 365 mantiene tu correo y tus archivos disponibles, los replica entre sus centros de datos y los protege frente a fallos del propio servicio, pero eso no es una copia de seguridad tuya. Si alguien borra un correo importante, un empleado se va, un proceso elimina archivos por error o un ataque cifra tu buzón, Microsoft no garantiza que vayas a poder recuperarlo todo. La protección de tus datos, según las propias condiciones del servicio, es responsabilidad tuya. Te explicamos por qué y qué deberías hacer al respecto.
El modelo de responsabilidad compartida
Cuando contratas Microsoft 365, firmas (aunque casi nadie lo lea) un modelo de responsabilidad compartida. La idea es sencilla: Microsoft se ocupa de una parte y tú de otra. No es letra pequeña abusiva; es el funcionamiento estándar de prácticamente todos los servicios en la nube.
Microsoft se responsabiliza de mantener la infraestructura y la disponibilidad: que el servicio funcione, que haya redundancia entre centros de datos y que la plataforma sea resistente a fallos de hardware o caídas. Tú, como cliente, eres responsable de tus datos: de su gestión, de las cuentas y permisos, y de su recuperación ante un borrado, un error humano o un ataque.
Dicho de otra forma: Microsoft garantiza que el servicio no se caiga, pero no que tus datos no se pierdan por algo que ocurra dentro de tu organización. Esa distinción es la que pilla por sorpresa a muchas empresas, normalmente en el peor momento posible.
La idea clave: que tus datos estén «en la nube de Microsoft» no significa que estén respaldados de forma independiente. Disponibilidad y copia de seguridad son cosas distintas, y solo una de las dos te salva cuando los datos desaparecen.
La retención y la papelera no son una copia de seguridad
Es habitual pensar: «si borro algo, lo tengo en la papelera, así que estoy cubierto». Microsoft 365 ofrece varios mecanismos de recuperación —la papelera de Outlook, la papelera de elementos recuperables, la papelera de reciclaje de SharePoint y OneDrive, las directivas de retención— y son útiles. Pero no son una copia de seguridad, y conviene entender por qué.
Una papelera o una directiva de retención está pensada para recuperar elementos sueltos dentro de un plazo limitado. Pasado ese tiempo, los elementos se eliminan de forma definitiva. Los plazos exactos dependen de tu configuración y de tu tipo de licencia, y pueden cambiar, así que lo prudente es revisarlos en tu propio entorno y no darlos por sentados.
Una copia de seguridad real es algo distinto: una copia independiente de tus datos, con su propio histórico, que puedes restaurar aunque los originales hayan desaparecido hace semanas o meses. Las diferencias prácticas son importantes:
- Plazo: la retención caduca; una copia de seguridad guarda histórico durante el tiempo que tú decidas.
- Alcance: la papelera recupera elementos uno a uno; una copia permite restaurar un buzón o un sitio completo a una fecha concreta.
- Independencia: la retención vive dentro del mismo entorno; una copia de seguridad está separada, de modo que un problema en tu tenant no se la lleva por delante.
- Punto de restauración: con una copia eliges «volver» al estado de antes del incidente, algo que la papelera no hace.
Los riesgos reales: por dónde se pierden los datos
En el día a día, los datos de Microsoft 365 rara vez se pierden por un fallo de Microsoft. Se pierden por situaciones mucho más cotidianas y, precisamente por eso, más frecuentes.
Borrados accidentales (y no tan accidentales)
El motivo número uno es el más humano: alguien borra un correo, una carpeta o un documento por error y no se da cuenta hasta semanas después, cuando ya ha pasado el plazo de retención. También existe el borrado intencionado de un empleado descontento. En ambos casos, si no hay copia, el dato no vuelve.
Ransomware y ataques
El ransomware no se queda en el ordenador local: puede llegar a cifrar archivos sincronizados en OneDrive o SharePoint y propagarse por la organización. Si tus datos en la nube quedan cifrados o destruidos, una copia independiente y aislada es lo que te permite restaurar a un punto anterior al ataque. No sustituye a la prevención, pero es la red de seguridad que evita que un incidente se convierta en una parada grave del negocio. Si quieres profundizar en cómo se aborda esto, puedes leer también nuestro artículo sobre copias de seguridad inmutables frente al ransomware.
Bajas de empleados y rotación
Cuando una persona deja la empresa, lo habitual es liberar su licencia para no seguir pagándola. El problema es que, al eliminar la cuenta sin un proceso adecuado, su buzón y sus archivos pueden desaparecer pasados los plazos de retención, llevándose por delante histórico de clientes, proyectos o conocimiento que sigue siendo valioso para el negocio.
Entonces, ¿qué necesito de verdad?
La conclusión no es que Microsoft 365 sea inseguro —es una plataforma excelente y robusta—, sino que la copia de seguridad de tus datos es una pieza que tú debes añadir. La buena noticia es que existen soluciones de backup específicas para Microsoft 365 que copian de forma automática correo, archivos de OneDrive y SharePoint, Teams y calendarios a un repositorio independiente, con histórico y restauración a la carta.
En 3L Systems implantamos exactamente eso: copias de seguridad automáticas que cubren tu entorno de Microsoft 365 sin que tengas que acordarte de nada, integradas en una estrategia de continuidad de negocio. Y si además quieres revisar cómo tienes configurado y licenciado tu Microsoft 365, lo analizamos contigo para que la base esté bien antes de añadir la protección.
Si quieres entender mejor por qué tiene sentido sacar esa copia fuera del propio Microsoft 365, lo explicamos en detalle en por qué necesitas un backup externo de Microsoft 365. No se trata de duplicar lo que Microsoft ya hace, sino de cubrir lo que, por diseño, no le corresponde hacer a Microsoft sino a ti. Como en casi todo, lo sensato es no improvisar: una implantación bien planteada define qué se copia, cada cuánto, durante cuánto tiempo se conserva y cómo se restaura, adaptado al tamaño y la realidad de tu empresa.
Preguntas frecuentes
¿Microsoft 365 incluye copia de seguridad de mi correo y mis archivos?
No en el sentido en que solemos entender una copia de seguridad. Microsoft garantiza la disponibilidad y la resiliencia de la plataforma, pero bajo el modelo de responsabilidad compartida la protección de tus datos frente a borrados, errores o ataques es responsabilidad tuya. Para tener una copia independiente y recuperable necesitas una solución de backup específica.
Si borro un correo por error, ¿puedo recuperarlo siempre?
Solo dentro de unos plazos de retención limitados. Los elementos eliminados pasan por la papelera y por una papelera de elementos recuperables durante un tiempo determinado; pasado ese periodo, se eliminan de forma definitiva. La retención no es una copia de seguridad: depende de plazos cortos y no te protege frente a borrados masivos o malintencionados.
¿La retención de Microsoft 365 sirve como copia de seguridad?
No. La retención y las papeleras están pensadas para recuperar elementos sueltos dentro de un plazo, no para restaurar buzones o sitios completos a una fecha anterior tras un incidente. Una copia de seguridad real es una copia independiente, con su propio histórico, que puedes restaurar aunque los datos originales hayan desaparecido.
¿Qué pasa con el correo y los archivos cuando se va un empleado?
Si se elimina la licencia o la cuenta del usuario sin más, su buzón y sus archivos pueden perderse pasados los plazos de retención. Por eso conviene tener un proceso de baja que conserve la información relevante y, mejor aún, una copia de seguridad que garantice que ese histórico no depende de que la cuenta siga activa.
¿Una copia de seguridad de Microsoft 365 protege frente al ransomware?
Ayuda mucho, sí. Si un ataque cifra o destruye tus correos y archivos en la nube, una copia independiente y aislada te permite restaurar la información a un punto anterior al incidente. No sustituye a las medidas de prevención, pero es la red de seguridad que marca la diferencia entre un susto y una parada grave del negocio.