BorgBackup frente a Restic: repos, claves y prueba

USD 12 al mes pueden comprar un repositorio de backup; la factura no dice si alguien pudo restaurarlo. BorgBackup y Restic resuelven copias cifradas con deduplicación desde decisiones distintas: Borg suele apoyarse en SSH y repositorios propios, Restic trabaja con varios destinos, incluido S3. Esta guía compara repositorios, claves, PostgreSQL, costo y prueba de restauración para pymes.

Dónde aparece la decisión de backup

La cifra que corrige la compra rápida viene de GitHub: Restic tenía 34.712 estrellas y BorgBackup 13.457 al 27 de junio de 2026. Los dos proyectos están activos, con commits el 26 de junio, así que la pregunta operativa pasa por destino, llave, prueba y persona responsable. La copia que nadie restauró todavía es una promesa. Borg crea repositorios cifrados, comprime y deduplica datos; Restic inicializa repositorios cifrados y admite destinos locales, SFTP, REST, S3 y otros backends. Para una pyme con PostgreSQL, archivos compartidos y adjuntos, el criterio debe cubrir dónde vive el dato, dónde queda la copia, qué clave abre el repositorio y qué prueba demuestra recuperación.

Cómo funciona por dentro

El flujo empieza con el inventario. Sistemas lista base PostgreSQL, carpeta de adjuntos, configuración, secretos y archivos críticos. PostgreSQL guarda registros estructurados, usuarios, estados y auditoría; su respaldo necesita dump o archivado continuo de WAL según el punto de recuperación buscado. Si esa parte falla, la señal aparece cuando la base restaura vieja y los adjuntos son nuevos. El segundo paso define repositorio. Borg recibe una ruta local o remota por SSH, inicializa cifrado y guarda archivos en archivos de repositorio con deduplicación. Restic recibe una URL de backend, inicializa repositorio, cifra y guarda snapshots. Cada snapshot entrega fecha, host, rutas incluidas e ID recuperable. El tercer paso guarda la clave. La clave se conserva fuera del servidor respaldado, con dueño definido y prueba de lectura. El cuarto paso ejecuta copia: dump de PostgreSQL, copia de archivos, verificación de salida y retención. El quinto paso alerta: backup ausente, repositorio bloqueado, clave inválida o tamaño inesperado. El sexto paso restaura. Se toma un servidor limpio, se instala herramienta, se abre repositorio, se recupera dump y archivos, se levanta PostgreSQL y se abre una operación real. El resultado esperado es un usuario que consulta datos y adjuntos de una fecha conocida.

Qué se instala o configura primero

La pila inicial usa BorgBackup o Restic, PostgreSQL 17, almacenamiento remoto, clave offline, monitoreo, rotación de logs y una tarea programada. Con dólar oficial vendedor de $ 1.495, un VPS chico o repositorio remoto de USD 10 a USD 35 por mes equivale a $ 14.950 a $ 52.325 mensuales. Una puesta en marcha de USD 450 a USD 950 queda entre $ 672.750 y $ 1,42 millones. Incluye inventario, script, repositorio, retención, alerta y restauración mensual. No incluye continuidad de negocio completa ni sitio alternativo. UMSA puede iniciar con un corte acotado: una base, un directorio de adjuntos y una restauración documentada. El primer entregable verificable es abrir en otro servidor una factura, un usuario y un archivo adjunto de la misma fecha. El objeto concreto es un pendrive rotulado “backup” en una gaveta. Ese pendrive puede ser útil para traslado, aunque la política necesita repositorio, clave, historial y prueba escrita. Borg encaja cuando la organización controla un servidor remoto por SSH y quiere repositorios simples, cerrados y medibles. Restic encaja cuando hay S3, Backblaze, MinIO o destinos variados. La elección termina cuando una persona distinta al administrador restaura un caso siguiendo un instructivo. El registro operativo debe guardar cuatro datos por corrida: hora de inicio, tamaño transferido, ID del snapshot y resultado de verificación. Ese registro vive fuera del servidor respaldado y queda visible para gerencia. Si el reporte sólo dice “tarea ejecutada”, falta la parte qué permite confiar en la recuperación. La revisión semanal anota desvíos y los deja asignados.

Dónde se rompe y cómo probarlo

El primer riesgo es copiar sólo archivos y olvidar la base. La señal aparece cuando el directorio restaura y PostgreSQL no tiene el estado de ese día. La prueba recupera base y adjuntos de una misma fecha. El segundo riesgo es clave sin dueño. La señal aparece cuando el backup existe y nadie puede abrirlo. La prueba exige abrir el repositorio con credencial guardada fuera del servidor. El tercer riesgo es retención mal calculada. La señal aparece cuando la copia semanal borra el cierre mensual. La prueba simula 45 días de retención y verifica snapshots disponibles. El cuarto riesgo es alerta muda. La señal aparece cuando una tarea falla y el tablero sigue verde. La prueba fuerza un error de repositorio y exige notificación, responsable y registro. Un backup sirve cuando una restauración mensual deja evidencia.

Para seguir leyendo

• Repositorio restic en GitHub
• Repositorio BorgBackup en GitHub
• BorgBackup: inicialización de repositorio
• Restic: preparación de repositorio
• Restic y PostgreSQL: el backup que sí vuelve