Cuando conectas tu Mac a un disco de red y Time Machine empieza a hacer copia de seguridad, hay un sofisticado protocolo trabajando entre bastidores para que la transferencia sea rápida, fiable y segura. Ese protocolo es SMB3 —Server Message Block, versión 3— y es la base que hace posibles las copias de Time Machine en la nube.

No necesitas entender SMB3 para usarlo (tu Mac lo gestiona todo automáticamente), pero comprender cómo funciona puede ayudarte a apreciar la seguridad de tus copias y a tomar decisiones informadas sobre tu estrategia de protección de datos. Este artículo explica SMB3 en términos prácticos: qué hace, por qué Apple lo eligió y cómo mantiene a salvo los datos de tus copias.

¿Qué es SMB?

SMB (Server Message Block) es un protocolo de compartición de archivos en red. En términos sencillos, es el lenguaje que utilizan los ordenadores para compartir archivos a través de una red. Cuando accedes a una carpeta compartida en la red de tu oficina, navegas por archivos en un NAS (Network Attached Storage) o te conectas a un servidor de archivos, casi con seguridad SMB es el protocolo que lo hace posible.

SMB fue desarrollado originalmente por IBM en los años 80 y posteriormente extendido de forma significativa por Microsoft. A pesar de sus orígenes en el ecosistema Windows, SMB se ha convertido en un estándar multiplataforma. macOS, Linux y prácticamente cualquier dispositivo de almacenamiento en red lo admiten.

Una breve historia

  • SMB1 (1983-2006): la versión original. Funcional pero lenta y con vulnerabilidades de seguridad importantes. Tanto Apple como Microsoft han descontinuado SMB1 por sus riesgos.
  • SMB2 (2006): una reescritura mayor que mejoró el rendimiento, redujo la "verbosidad" (menos viajes de red) y añadió mejor manejo de errores. Se introdujo con Windows Vista.
  • SMB3 (2012): añadió cifrado, mejoró el rendimiento en redes WAN e introdujo funciones esenciales para el almacenamiento en la nube. Es la versión que utiliza el macOS moderno para copias en red.
  • SMB 3.1.1 (2015): la última revisión, que añade comprobaciones de integridad previas a la autenticación y exige negociación segura. Compatible con macOS Catalina y posteriores.

Por qué Apple usa SMB3 para las copias en red de Time Machine

La historia de Apple con la compartición de archivos en red es interesante. Durante muchos años, macOS utilizó su propio protocolo llamado AFP (Apple Filing Protocol) para la compartición de archivos en red y para las copias de Time Machine. La ya descontinuada Time Capsule usaba AFP exclusivamente.

A partir de macOS Big Sur, Apple inició la transición de las copias de red de Time Machine de AFP a SMB3. En macOS Monterey, SMB3 se convirtió en el protocolo preferido para los destinos de red de Time Machine. Hubo varias razones para este cambio:

1. Cifrado integrado

SMB3 incluye cifrado nativo de transporte mediante AES-128-CCM o AES-128-GCM. Esto significa que todos los datos que viajan entre tu Mac y el servidor de copia se cifran a nivel del protocolo: no se necesita estrictamente una capa adicional de VPN o cifrado (aunque añadirla aporta defensa en profundidad).

AFP también admitía cifrado, pero la implementación de SMB3 es más moderna, mejor probada y revisada más ampliamente por la comunidad de seguridad.

2. Mejor rendimiento por internet

SMB3 fue diseñado pensando en el rendimiento sobre redes de área extensa. Incluye funciones como:

  • Soporte de multicanal: usar varias conexiones de red simultáneamente para mayor rendimiento
  • Soporte de MTU grande: paquetes de datos más grandes significan menos viajes y mayor eficiencia
  • Directory leasing: cachear listados de directorios para reducir tráfico innecesario
  • Compounding mejorado: agrupar varias operaciones en peticiones únicas

Estas funciones son especialmente importantes para la copia en la nube, donde la ruta de red entre tu Mac y el servidor puede atravesar varias redes y tener mayor latencia que una conexión local.

3. Estándar del sector

Al adoptar SMB3, Apple se alineó con un estándar del sector ampliamente compatible. Esto significa que Time Machine puede funcionar con cualquier servidor compatible con SMB3, no solo con hardware fabricado por Apple. Abrió la puerta a que servicios como Capsule Backup ofrezcan destinos de Time Machine alojados en la nube sin requerir software propietario de Apple en el servidor.

4. Conexiones resilientes

SMB3 introdujo conmutación por error transparente y handles persistentes. Si la conexión de red se interrumpe momentáneamente (tu Wi-Fi se cae un instante, tu ISP tiene un breve hipo), SMB3 puede reanudar la sesión sin empezar de nuevo. Esto es crítico para operaciones de copia de seguridad que pueden transferir grandes cantidades de datos por conexiones de internet potencialmente inestables.

Cómo funciona el cifrado de SMB3

Entender el cifrado en SMB3 requiere mirar dos fases distintas: autenticación y transferencia de datos.

Autenticación

Cuando tu Mac se conecta a un servidor SMB3, primero necesita demostrar su identidad. SMB3 admite varios métodos de autenticación:

  • NTLMv2: un protocolo de autenticación de desafío-respuesta que nunca envía tu contraseña por la red
  • Kerberos: un sistema de autenticación basado en tickets utilizado en entornos empresariales

En ambos casos, tu contraseña nunca se transmite en texto plano. El proceso de autenticación utiliza desafíos y respuestas criptográficos que demuestran que conoces la contraseña sin revelarla.

Cifrado de transporte

Una vez autenticado, SMB3 cifra todos los datos en tránsito utilizando AES-128-CCM o AES-128-GCM (con SMB 3.1.1, también AES-256-CCM y AES-256-GCM). Esto significa que:

  • Cada archivo transferido entre tu Mac y el servidor se cifra
  • Cada comando (crear archivo, borrar archivo, leer directorio) se cifra
  • Nombres de archivo, metadatos y estructuras de directorio se cifran en tránsito
  • Cualquiera que intercepte el tráfico de red ve únicamente datos cifrados

Esto es cifrado a nivel de transporte: protege los datos mientras se mueven por la red. Es comparable a HTTPS para el tráfico web. Tus datos no pueden ser leídos ni modificados por nadie que los intercepte entre tu Mac y el servidor.

La distinción: en tránsito frente a en reposo

El cifrado de SMB3 protege los datos en tránsito. Para los datos en reposo (almacenados en el servidor de copia) necesitas una capa adicional: el cifrado de Time Machine.

Cuando activas el cifrado de Time Machine (algo que recomendamos encarecidamente para copias en la nube), Time Machine cifra toda la imagen de copia con AES-XTS-128 antes de enviarla al servidor. Esto significa que tus datos quedan cifrados en el disco del servidor: ni siquiera el administrador del servidor puede leer tus archivos sin tu contraseña de cifrado de Time Machine.

Con ambas capas activas, tus datos están:

  • Cifrados en tu Mac (cifrado de Time Machine)
  • Cifrados durante la transferencia (cifrado de transporte SMB3)
  • Cifrados en el servidor (cifrado de Time Machine en reposo)

Para opciones de seguridad adicionales como VPN y lista blanca de IP, consulta nuestra página de seguridad.

SMB3 frente a otros protocolos de copia

SMB3 frente a AFP (Apple Filing Protocol)

AFP era el protocolo propietario de Apple para compartición de archivos, usado por Time Capsule y macOS Server. Aunque AFP funcionaba bien dentro del ecosistema Apple, tenía limitaciones:

  • Propietario: implementaciones de servidor limitadas
  • Menor revisión de seguridad por la comunidad que SMB3
  • Apple lo ha descontinuado oficialmente en favor de SMB
  • Ya no se desarrolla activamente

SMB3 es el sucesor evidente, y la transición de Apple ha sido un movimiento positivo tanto para la compatibilidad como para la seguridad.

SMB3 frente a SFTP/SCP

SFTP y SCP son protocolos seguros de transferencia de archivos comunes en administración de servidores. Aunque proporcionan cifrado fuerte, son protocolos de transferencia de archivos, no de compartición de archivos. La diferencia importa:

  • SFTP/SCP transfieren archivos; SMB3 presenta un sistema de archivos
  • Time Machine requiere un sistema de archivos montado (un disco que aparezca en Finder)
  • SMB3 admite los patrones de acceso aleatorio que utiliza Time Machine para copias incrementales
  • SMB3 maneja el bloqueo de archivos, esencial para la integridad de las copias

SMB3 frente a WebDAV

WebDAV es un protocolo de compartición de archivos construido sobre HTTP. Aunque funciona por internet y admite cifrado HTTPS, es significativamente más lento que SMB3 para operaciones de copia debido a su sobrecarga HTTP y la falta de funciones como compounding y multicanal.

SMB3 frente a NFS

NFS (Network File System) se utiliza ampliamente en entornos Linux/Unix. Aunque NFS4 admite cifrado mediante Kerberos, no es compatible de forma nativa con Time Machine de macOS. SMB3 es el protocolo elegido por Apple para las copias de Time Machine en red, lo que lo convierte en la única opción práctica para copia de Mac en la nube.

SMB3 en la práctica: cómo funciona tu copia en la nube

Esto es lo que ocurre realmente cuando tu Mac hace copia en un servidor SMB3 en la nube como Capsule Backup:

  1. Establecimiento de la conexión: tu Mac inicia una conexión SMB3 con el servidor. Se negocia la versión del protocolo (tu Mac y el servidor acuerdan la versión común más alta).
  2. Autenticación: tus credenciales se verifican mediante autenticación NTLMv2 de desafío-respuesta. Tu contraseña nunca cruza la red.
  3. Activación del cifrado: se habilita el cifrado de transporte SMB3. Toda la comunicación posterior va cifrada.
  4. Montaje del volumen: el volumen de copia aparece en Finder como un disco montado. macOS lo trata igual que un disco local.
  5. Operación de Time Machine: Time Machine analiza tu Mac en busca de cambios desde la última copia y luego escribe solo los archivos modificados en el volumen montado. La capa de cifrado de Time Machine cifra estos datos antes de que lleguen a SMB3 para su transporte.
  6. Finalización: Time Machine registra la marca de tiempo de la copia y queda inactivo hasta el siguiente ciclo horario.

Todo el proceso es transparente. Nunca ves comandos SMB3, handshakes de cifrado ni negociaciones de protocolo. Ves un disco en Finder y una marca de tiempo de "Última copia" en la barra de menús.

Consideraciones de rendimiento

SMB3 fue diseñado para el rendimiento, pero la velocidad de copia por internet está limitada en última instancia por tu conexión de red. Estos son los factores que afectan al rendimiento de la copia en la nube:

Tu velocidad de subida a internet

Es casi siempre el cuello de botella. Los servidores de Capsule Backup están conectados por fibra de 1 Gbps sin límites de ancho de banda, así que el lado del servidor rara vez es el factor limitante. La velocidad de subida de tu ISP determina la rapidez con la que los datos llegan de tu Mac al servidor.

Latencia de la red

SMB3 es menos sensible a la latencia que las versiones anteriores gracias al compounding y al pipelining. Sin embargo, una latencia muy alta (>200 ms) puede afectar al rendimiento. Elegir una región de datos cercana a tu ubicación (Alemania, Finlandia o EE. UU.) minimiza la latencia.

Distribución del tamaño de archivos

Hacer copia de muchos archivos pequeños es más lento por megabyte que de pocos archivos grandes, porque cada archivo requiere operaciones de protocolo individuales. Time Machine mitiga esto utilizando imágenes sparse bundle que agrupan los cambios pequeños.

Sobrecarga del cifrado

La sobrecarga combinada del cifrado de Time Machine y del cifrado de transporte SMB3 es mínima en hardware moderno de Mac. Los chips Apple Silicon incluyen aceleración AES por hardware, lo que hace que el cifrado sea esencialmente gratuito en términos de rendimiento.

Buenas prácticas de seguridad para copias por SMB3

Aunque SMB3 ofrece una seguridad sólida por defecto, aquí tienes pasos adicionales para maximizar la protección:

  1. Activa siempre el cifrado de Time Machine: cifra tus datos en reposo en el servidor
  2. Usa una contraseña fuerte tanto para tu cuenta de copia como para el cifrado de Time Machine
  3. Considera el acceso por VPN: Capsule Backup incluye soporte para WireGuard y OpenVPN para una capa adicional de cifrado
  4. Activa la lista blanca de IP: restringe el acceso a tu volumen de copia a direcciones IP concretas
  5. Almacena las credenciales de forma segura: guarda tus contraseñas SMB y de cifrado de Time Machine en un gestor de contraseñas, no solo en el Llavero de tu Mac (que se perdería si tu Mac muere)

En conclusión

SMB3 es la base tecnológica que hace que la copia de Time Machine en la nube sea práctica, segura y fluida. Su cifrado integrado, sus conexiones resilientes y su alto rendimiento sobre redes de área extensa hacen que tu Mac pueda hacer copia en un servidor a miles de kilómetros con la misma facilidad y seguridad que en un disco local.

No necesitas pensar en SMB3 más de lo que piensas en HTTPS al navegar por la web. Sencillamente funciona: cifrando tus datos, manteniendo tu conexión y asegurándote de que tu copia llega a salvo. Y esa fiabilidad es exactamente lo que quieres del protocolo que protege tus datos más importantes.

Para instrucciones de configuración paso a paso, visita nuestra guía de instalación. Para más información sobre cómo Capsule Backup utiliza SMB3, consulta nuestra presentación de funciones.

Preguntas frecuentes

¿Es el cifrado de SMB3 lo bastante fuerte para datos sensibles?

Sí. SMB3 utiliza cifrado AES-128 o AES-256 para el transporte, el mismo estándar que usan gobiernos e instituciones financieras de todo el mundo. Combinado con el cifrado AES-XTS-128 de Time Machine para los datos en reposo, tus datos de copia están protegidos por dos capas independientes de cifrado. Para mayor seguridad, servicios como Capsule Backup también ofrecen acceso por VPN y lista blanca de IP.

¿Puede alguien interceptar mis datos de copia mientras viajan por internet?

El cifrado de transporte SMB3 impide que cualquiera que intercepte tu tráfico de red pueda leer o modificar los datos. Toda la comunicación entre tu Mac y el servidor de copia está cifrada, incluidos contenidos de archivos, nombres y comandos del protocolo. Aunque alguien capturase cada paquete de red, solo vería datos cifrados. Esta protección se aplica automáticamente: no hay nada que tengas que configurar.

¿Funciona SMB3 sobre conexiones Wi-Fi y móviles?

SMB3 funciona sobre cualquier conexión TCP/IP, incluidas Wi-Fi, Ethernet e incluso puntos de acceso móviles. La gestión resiliente de la conexión del protocolo le permite recuperarse de breves interrupciones de red sin que falle la copia. Sin embargo, para copias iniciales grandes se recomienda una conexión cableada estable o un Wi-Fi fuerte para obtener el mejor rendimiento.

¿Por qué cambió Apple de AFP a SMB3 para Time Machine?

Apple migró de AFP a SMB3 por varias razones: SMB3 es un protocolo estándar del sector con mayor compatibilidad, cifrado más fuerte y revisado, mejor rendimiento sobre conexiones de internet y desarrollo activo continuo. AFP era propietario y ya no se desarrolla activamente. El cambio permite que Time Machine funcione con cualquier servidor compatible con SMB3, no solo con hardware de Apple, lo que habilita los servicios de copia en la nube.

¿Necesito una VPN si SMB3 ya cifra mis datos?

El cifrado de SMB3 es suficiente para la mayoría de los usuarios: tus datos están totalmente cifrados en tránsito sin VPN. Sin embargo, una VPN añade defensa en profundidad: cifra todo el tráfico (no solo SMB3), oculta el hecho de que te estás conectando a un servicio de copia y puede aportar autenticación adicional. Capsule Backup incluye acceso por WireGuard y OpenVPN sin coste adicional para usuarios que quieran esta capa extra. Es recomendable, pero no obligatorio.

Capsule Backup no está afiliado ni respaldado por Apple Inc. Time Machine, macOS, Finder y Migration Assistant son marcas registradas de Apple Inc.