Safa Global · Servidores y Almacenamiento
Una estrategia de almacenamiento para la holding: auto-hospeda el grueso, mantén una nube barata y pequeña con doble función, y guarda tus propias llaves de cifrado.
Briefing ejecutivo en audio. Dos voces, unos 17 minutos.
La decisión
Vete por lo híbrido. Auto-hospeda el grueso en un equipo que sea tuyo para acabar con las capas caras de la nube, mantén una capa pequeña de nube administrada para los archivos calientes que a la vez sirva como tu respaldo fuera de sitio, y cifra tú mismo tus secretos para que ningún proveedor pueda leerlos. Es el camino más barato que además es de verdad seguro.
Dos reglas que no son opcionales: respeta el 3-2-1 (3 copias, 2 medios, 1 fuera de sitio), y respalda tus llaves de cifrado con tanto cuidado como los datos. Meta final gratis: cambia la pata de la nube fuera de sitio por un segundo equipo en otra ubicación de Safa y lleva el costo mensual hacia cero.
Un video vendía una nube privada "gratis". Bien en el espíritu, mal en la seguridad.
El armado: una Raspberry Pi 5 con un NVMe SSD corriendo Nextcloud (un clon de iCloud/OneDrive) accesible desde cualquier lado vía Tailscale. La tesis es sólida. Deja de rentar espacio, sé dueño de tus datos, no pagues nada al mes.
Pero "gratis" significa sin suscripción, no sin costo. Igual pagas en hardware, electricidad, tu tiempo como sysadmin, y riesgo.
Mantiene una copia, en un disco, en un solo lugar. Una falla de disco, un incendio o un robo y se va todo. Sin respaldo, sin redundancia, sin UPS para un apagado limpio, sin plan de actualizaciones. Un juguete, no un sistema al que le confíes datos del negocio.
Conserva 3 copias de todo lo que te importe, en 2 medios distintos, con 1 copia fuera de sitio. Un equipo auto-hospedado solo es una copia, un medio, en sitio. Eso es lo opuesto a seguro, y cerrar esa brecha es justo lo que hace el modelo híbrido.
Una suscripción de nube barata hace dos trabajos.
Divide los datos por temperatura. Auto-hospeda el grueso para dejar de rentar espacio para los 6 a 12 TB que costarían dinero de verdad en la nube. Mantén una capa pequeña de nube administrada que cumpla doble función: guarda los archivos calientes, diarios y sincronizados al celular y almacena un respaldo cifrado como tu copia fuera de sitio.
| Datos | Viven en | Por qué |
|---|---|---|
| Calientes | Nube administrada | Archivos de hoy, contenido del teléfono, documentos compartidos. La sincronización, el compartir y el celular simplemente funcionan. |
| Tibios | Equipo auto-hospedado | Maaia Library, activos de marca, creatividades terminadas. Grandes, casi nunca cambian, no hay razón para rentarlo. |
| Fríos | Auto-hospedado + fuera de sitio cifrado | Respaldos de correo/WP, proyectos viejos, material en bruto. Casi nunca se tocan, el costo de la nube es desperdicio. |
| Secretos | Bóveda cifrada | Finanzas, CFDI, contratos. Cryptomator te da conocimiento cero sin importar el proveedor. |
Indicativos, para aproximadamente 6 TB de datos.
| Medida | Pura nube | Híbrido | Puro auto-hospedado |
|---|---|---|---|
| Inicial | $0 | ~$410 | ~$410 |
| Mensual | ~$30 | ~$5–12 | $0 |
| ¿Seguro 3-2-1? | Parcial | Sí | No |
| ¿Dueño del grueso? | No | Sí | Sí |
| Conveniencia | Alta | Alta | Menor |
Si muere la Pi, restauras desde la nube. Si se cae el internet, los archivos locales siguen abriendo. Si te bloquean la cuenta de nube o te suben el precio, sigues teniendo el equipo y las llaves. Nada por sí solo te tumba.
Cífralo tú mismo, luego guarda el galimatías barato.
"Seguro" significa conocimiento cero: el proveedor no puede leer tus datos. Deja de pagar de más por el cifrado de alguien más. Cifra del lado del cliente con rclone crypt o Cryptomator (tú tienes la llave), luego pon el texto cifrado en el almacenamiento más barato que encuentres.
| Destino de almacenamiento frío | ~Precio / TB / mes | Acceso |
|---|---|---|
| S3 Glacier Deep Archive | ~$1 | horas para restaurar, la copia fría más profunda |
| Hetzner Storage Box | ~€2–4 | instantáneo, el más barato con acceso instantáneo |
| Backblaze B2 | ~$6 | instantáneo, el más simple, excelente soporte de rclone |
Con cifrado autoadministrado, tú tienes las llaves. Si pierdes la frase de contraseña los datos se van para siempre. Respalda las llaves en tu gestor de contraseñas y en papel dentro de una caja fuerte, con tanto cuidado como los datos mismos.
| Artículo | Especificación | Rol |
|---|---|---|
| Raspberry Pi 5 | 8GB + gabinete Argon NEO 5 | El servidor, enfriado, listo para NVMe |
| NVMe SSD | 2TB M.2 | Copia 1, principal |
| USB SSD | 2TB | Copia 2, respaldo local, segundo medio |
| UPS | ~600VA line-interactive | Apagado limpio al perder energía |
El armado completo paso a paso, el calendario de cron y el simulacro de restauración viven en BUILD_AND_RUNBOOK.md junto a este briefing.
rclone crypt para un envío cifrado nocturno a Backblaze B2 (agrega Glacier Deep Archive después para la copia fría más profunda). Conserva iCloud o Proton para los archivos calientes.