Data Loss|Leak Prevention - DLP
Data Loss/Leak Prevention (Prevención de Pérdida o Fuga de Datos) es una estrategia de seguridad enfocada en evitar que datos sensibles salgan del ambiente corporativo de forma no autorizada. El objetivo principal es proteger informaciones confidenciales — como datos personales, financieros, propiedad intelectual — contra fugas accidentales o maliciosas.
En la práctica, el DLP existe para proteger a la empresa no solo de atacantes externos, sino también del riesgo interno: los propios empleados. Las fugas pueden ocurrir de forma no intencional (error humano), pero, en la realidad, muchas exposiciones son intencionales — especialmente cuando colaboradores salen de la empresa e intentan llevar consigo informaciones privilegiadas como ventaja competitiva para el mercado o competidores.
Entre los datos más buscados están:
- Datos de proveedores
- Datos de clientes
- Contratos
- Código fuente
- Estrategias de mercado
- Informaciones financieras
Muchas soluciones de seguridad (antivirus, firewalls) protegen el tráfico "de fuera hacia dentro". Ya el DLP actúa de dentro hacia fuera, monitorizando, bloqueando o alertando sobre intentos de movimiento de datos que violen las políticas de seguridad de la empresa.
El DLP actúa exactamente en este punto: monitorizando, bloqueando o alertando sobre intentos de movimiento de datos que no respetan las políticas de la empresa
¿Cómo pueden fugarse los datos?
- Impresión de documentos
- Envío a correos electrónicos personales
- Subida a clouds personales
- Compartir del cloud corporativo con terceros
- Subida a sitios como WeTransfer
- Envío vía apps de mensaje (WhatsApp, Telegram)
- Transferencia vía Bluetooth
- Copia a otras carpetas de red
- Grabación en pendrives o discos duros externos
- Captura de pantalla
Y claro... el DLP no hace milagros: nada impide al colaborador sacar foto de la pantalla o anotar datos manualmente. La creatividad de insider siempre existirá.
¿Dónde actúa el DLP?
En la gran mayoría de los casos la empresa proporciona el equipo para que el colaborador trabaje y un agente del DLP ya vendrá configurado por el equipo de soporte técnico, pero de alguna manera necesita ser instalado. La configuración central define:
- Qué datos son considerados sensibles
- Qué bloquear
- A quién bloquear
- Cuándo alertar
El agente en el endpoint analiza el contenido de los archivos localmente, aplica las reglas y envía alertas o logs a la central (backend).
TIPOS de DLP
DLP de Endpoint (Agent local) controla
Es el básico y necesario, aquel que tiene el mayor perímetro de protección. Controla el origen real de los datos: el dispositivo del usuario.
Antes de que el archivo salga para internet, correo electrónico, cloud, USB, etc., pasa por el agent en el endpoint, independientemente de dónde esté el usuario.
Hoy, se está aplicando mucho Machine Learning en este tipo de DLP para expandir las reglas y analizar el comportamiento del usuario.
Claro que no es perfecto, pues la creatividad de los insiders siempre evoluciona y se vuelve más eficaz.
El escenario de BYOD (Bring Your Own Device) complica, ya que no se puede forzar el agent en el móvil personal del colaborador. Por eso, otros tipos de DLP pueden ayudar a complementar el perímetro de análisis.
DLP de Red (Gateway/Firewall/Proxy)
El DLP de red aislado, hoy, es limitado y considerado medio "anticuado". No ve el tráfico directo del usuario a internet si ese tráfico no pasa por la red corporativa. Aun así, no llega a ser inútil, sirviendo más como complemento.
-
Tráfico cifrado (TLS/SSL): más del 90% del tráfico web hoy es HTTPS. Si el DLP no tiene una inspección SSL/TLS bien configurada (y a nadie le gusta romper SSL porque da dolor de cabeza), no ve nada.
-
Usuarios en Home Office / 5G / VPN split tunnel: el DLP de red no ve el tráfico directo del usuario a internet si no pasa por la red corporativa. La cultura Cloud-first y el trabajo remoto acabaron con el perímetro tradicional.
-
Aplicaciones Cloud SaaS (ej: Google Drive, OneDrive): muchas veces, el DLP de red no entiende la API de esas apps — por eso nació el DLP de Cloud.
Fuga física o alternativa: pendrive, móvil, foto de la pantalla... la red no lo ve.
DLP Cloud (CASB / SaaS)
El mundo se volvió SaaS & Cloud-first (Google Drive, OneDrive, Slack, Teams, Salesforce, M365...) y todo esto ocurre fuera de la red corporativa. El DLP de red no ve nada allá.
El trabajo remoto es la regla, no la excepción. El usuario en casa, en la cafetería, en el 5G, usa directamente los servicios SaaS sin nunca pasar por el firewall corporativo. Solo el CASB (Cloud Access Security Broker) consigue ver y controlar esos accesos. El CASB actúa donde el DLP de red no alcanza:
- Bloquea descarga/subida sensible en SaaS.
- Impide compartir externo de archivos en Google Drive, por ejemplo.
- Hace discovery de apps Shadow IT (cosas que el usuario usa sin autorización).
- Permite aplicar política por identidad del usuario (no por la IP de la red).
Las Big Techs están invirtiendo pesado en esto:
- Microsoft Purview DLP + Defender for Cloud Apps (ex-CASB);
- Netskope;
- Zscaler;
- McAfee/Trellix MVISION Cloud;
- Palo Alto Prisma Cloud.
Apps SaaS no soportadas quedan fuera del radar y, aun así, si el usuario baja el archivo a la máquina personal... ya fue.
DLP en el Correo Electrónico
El correo electrónico continúa siendo uno de los mayores vectores de fuga.
- Gente mandando hoja de cálculo de cliente sin querer hacia fuera;
- Copiando documento sensible para un socio sin permiso;
- Usando Gmail personal para "adelantar trabajo en casa".
Integra bien con M365 y Google Workspace. Microsoft Purview y Google DLP nativo ya hacen:
- Bloquear envío de dato sensible (ej: DNI, datos médicos);
- Cifrar o poner marca de agua automática;
- Alertar cuando alguien manda informaciones restringidas hacia fuera de la organización;
- Forzar aprobación de un superior antes del envío.
Es invisible para el usuario final. No depende de agent. No impacta el endpoint. Todo el flujo es controlado en el servidor de correo electrónico.
Es superimportante para compliance con RGPD/GDPR y facilita la prueba de que la empresa intentó impedir fuga de datos personales sensibles.
Es muy limitado al correo electrónico, pero hoy buenas soluciones de DLP en el endpoint monitorizan también otros medios físicos y mensajes fuera del envío de correo electrónico. Por ejemplo, una persona enviando datos vía mensaje instantáneo, ese DLP de correo no consigue ver.
DLP con Machine Learning (los "Next-Gen")
Lo que promete ser "la nueva era" del DLP.
- Detecta comportamiento extraño de usuarios (User Behavior Analytics).
- Aprende patrones: "¿Por qué Juan nunca mandó 500 archivos antes?" o "¿Ahora pasó a acceder a estos archivos fuera de su perímetro?";
- Detecta datos disfrazados (ej: base64, compresión).
ML genera falso positivo si no es bien entrenado.
No evita 100% de fugas creativas (foto de la pantalla, grabación por móvil...). No sustituye un DLP de endpoint con reglas fijas, pero sirve como complemento.
| DLP Endpoint (Clásico) | DLP con ML (Next-Gen) | |
|---|---|---|
| Control directo del usuario | Sí | No |
| Prevención de regla explícita (ej: bloquear USB) | Fuerte | Débil (no es el enfoque) |
| Detectar comportamiento extraño | No hace | Hace (ej: pico de actividad) |
| Detectar bypass creativo (ej: base64 picado) | Difícil | Posible |
| Necesita regla manual detallada | Sí | Aprendizaje automático |
| Riesgo de falso positivo | Alto (si mal configurado) | Medio (ML intenta reducir) |
| Respuesta proactiva a insiders | Débil | Fuerte (si bien entrenado) |
El ML corre en el endpoint (para reacción local) y en el backend (para inteligencia global). La combinación de los dos hace el DLP Next-Gen.
Soluciones
Muchas existen, pero aquí va una lista de lo que tenemos en el mercado. La elección depende del tamaño de la empresa.
| Producto / Vendor | Categoría | Destacados |
|---|---|---|
| Cyberhaven | Endpoint + Cloud | Detección en tiempo real de eventos; visibilidad de navegador/cloud |
| Forcepoint DLP | Endpoint + Red + Cloud | UEBA fuerte, motor de análisis poderoso |
| Symantec (Broadcom) DLP | Endpoint + Red + Cloud | Solución madura, ideal para grandes corporaciones |
| Trellix DLP (ex-McAfee) | Endpoint + Red + Cloud | Fingerprinting, integración ePO |
| Proofpoint Enterprise DLP | Endpoint + Cloud + Email | Enfoque en correo/canal múltiple SaaS |
| Digital Guardian by Fortra | Endpoint-centric | Monitorización profunda de IP e insider |
| Safetica | Endpoint + Insider Risk | Clasificación, alerta en tiempo real |
| Endpoint Protector (CoSoSys/Netwrix) | Endpoint | Control USB, cross-OS |
| Microsoft Purview DLP + Defender | Endpoint + Cloud + Email | Excelente coste-beneficio en ambiente MS |
| Netskope DLP (CASB) | Cloud/SaaS | Líder en CASB y visibilidad SaaS |
| Zscaler DLP (CASB) | Cloud/SaaS | Protección en el edge y proxy |
| Code42 Incydr | Endpoint + Insider Risk | Rastreo de archivos en SaaS |
| Nightfall AI | Cloud-native DLP con AI | Clasificación automática y lineage |
| Palo Alto Prisma Cloud / Enterprise DLP | Cloud + Red | Protección multi-cloud |
| Check Point DLP | Red + CASB | Inspección TLS/SSL vía gateway |
| Trend Micro IDLP / Cloud App Security | Cloud + Endpoint | Integración con M365, G Suite, Box |
| Sophos DLP | Endpoint | Parte de la suite de seguridad completa |
| Fidelis | Red + Endpoint | Parte de plataforma XDR |
| Varonis | File-system DLP | Auditoría de acceso y logs |
| NinjaOne | Endpoint (Admin) | Solución IT con visibilidad de endpoint |
| iboss | Red y Web DLP | Enfoque en seguridad web |
| Lookout | Mobile/cloud DLP | Protección para dispositivos móviles |
Privacidad
La implementación de soluciones de Prevención contra Pérdida de Datos (DLP), especialmente en endpoints (ordenadores de los empleados), es una herramienta poderosa para la monitorización de informaciones corporativas en tiempo real. Sin embargo, por analizar el contenido de los datos, esta tecnología frecuentemente genera preocupaciones sobre la privacidad de los colaboradores.
Es natural que las empresas teman posibles acciones judiciales por invasión de privacidad, pero es fundamental analizar los hechos. En la gran mayoría de los casos, el empleado utiliza un activo (como un portátil o móvil) que pertenece a la empresa, y se presupone que su uso sea destinado a actividades profesionales.
Además, las empresas están sujetas a rigurosos procesos de auditoría y a leyes como el Reglamento General de Protección de Datos (RGPD). Esta legislación obliga a la organización a tener un control estricto sobre el flujo de datos, siendo su responsabilidad saber si una información se fugó y hacia dónde. El DLP es una de las principales herramientas para garantizar esa conformidad.
Es crucial esclarecer que el objetivo de un sistema DLP no es monitorizar conversaciones personales, sino identificar y proteger datos clasificados como confidenciales por la empresa, como propiedad intelectual, datos de clientes o informaciones financieras.
Para mitigar riesgos y fortalecer la transparencia, muchos clientes optan por formalizar esta práctica en un contrato de confidencialidad o en políticas de uso. Informar y obtener el consentimiento del empleado, aunque pueda no ser estrictamente exigido por ley en todos los escenarios, es una excelente práctica que alinea las expectativas y previene futuros litigios.
Productividad
Tradicionalmente, DLP no fue hecho para medir productividad, pero muchos DLPs modernos (principalmente de Endpoint) ya entregan visibilidad de comportamiento, que puede SÍ ser usado para monitorizar:
- Aplicaciones usadas (ej: tiempo gastado en Chrome, Excel, Teams)
- Informes de acceso a sitios "no corporativos" (YouTube, Facebook, etc)
- Alerta si el usuario usa almacenamiento cloud personal (ej: Google Drive personal)
- Detección de uso de apps no autorizadas (Shadow IT)
- Tiempo ocioso o actividades extrañas (ej: 2h en Spotify web)