¿Qué es la prevención de pérdida de datos (DLP)?

Actualizado: 12 de agosto de 2024
Colaboradores: Jim Holdsworth, Matthew Kosinski

¿Qué es DLP?

La prevención de la pérdida de datos (DLP) es la disciplina que consiste en proteger los datos confidenciales del robo, la pérdida y el uso indebido mediante estrategias, procesos y tecnologías de ciberseguridad.

Los datos son un diferenciador competitivo para muchas compañías. Una red corporativa típica contiene un tesoro de secretos comerciales, registros de ventas, datos personales de los clientes y otra información confidencial. Los hackers se dirigen a estos datos y las organizaciones a menudo tienen dificultades para mantener seguros sus datos críticos.

Mientras tanto, cientos, si no miles, de usuarios autorizados acceden a los datos empresariales a través del almacenamiento de información en la nube y repositorios locales todos los días. Prevenir la pérdida de datos y facilitar el acceso autorizado es una prioridad para la mayoría de las organizaciones.

La prevención de pérdida de datos (DLP) ayuda a las organizaciones a detener las fugas y pérdidas de datos mediante el seguimiento de los datos en toda la red y la aplicación de políticas de seguridad sobre esos datos. Los equipos de seguridad intentan garantizar que solo las personas adecuadas puedan acceder a los datos correctos por las razones correctas.

Una solución DLP inspecciona los paquetes de datos a medida que circulan por una red, detectando el uso de información confidencial como números de tarjetas de crédito, datos sanitarios, registros de clientes y propiedad intelectual. De este modo, las organizaciones pueden aplicar los controles de acceso y las políticas de uso adecuados a cada tipo de datos.

Costo de una filtración de datos

Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos.

Contenido relacionado

Regístrese para obtener el Índice X-Force Threat Intelligence

Por qué es importante la DLP

Los datos corren peligro independientemente de dónde se almacenen, por lo que la protección de la información es una prioridad importante para una organización. El costo del fracaso puede ser alto. El último Informe del costo de una filtración de datos de IBM reveló que el costo promedio global de una filtración de datos aumentó un 10 % con respecto al año anterior, alcanzando los 4.88 millones de dólares, el mayor salto desde la pandemia.

La información de identificación personal (PII), en individuo, es muy valiosa para los ladrones y, a menudo, es un objetivo. El Informe del costo de una filtración de datos también reveló que casi la mitad de las filtraciones afectaron a información personal de clientes, que puede incluir números de identificación fiscal (NIF), emails, números de teléfono y direcciones particulares. Los registros de propiedad intelectual (IP) ocupan el segundo lugar con un 43 % de las filtraciones.

Proteger los datos es cada vez más difícil porque los datos de una organización pueden ser empleados o almacenados en múltiples formatos, en múltiples ubicaciones, por diversas partes interesadas en todas las organizaciones. Además, es posible que diferentes conjuntos de datos deban seguir diferentes reglas basadas en niveles de confidencialidad o regulaciones de privacidad de datos relevantes.

Las políticas y herramientas de DLP ayudan a las organizaciones a proteger monitoreando cada dato en toda la red en los tres estados: en uso, en movimiento y en reposo.

Datos en uso: es cuando se accede a los datos, se procesan, se actualizan o se eliminan. Por ejemplo, los datos de una organización empleados para análisis o cálculos o un documento de texto editado por un usuario final.

Datos en movimiento: También conocidos como datos en tránsito, esto implica que los datos se muevan a través de una red, como ser transmitidos por un servidor de transmisión de eventos o una aplicación de mensajería, o movidos entre redes. Los datos en movimiento son los menos seguros de los tres estados y requieren atención especial.

Datos en reposo: Se trata de datos almacenados en una unidad en la nube, en un disco duro local o en un archivo. Por lo general, los datos en reposo son más fáciles de proteger, pero sigue siendo necesario adoptar medidas de seguridad. Los datos en reposo pueden ver comprometidos por un acto tan simple como que alguien tome una memoria USB de un escritorio desatendido.

Idealmente, la solución de prevención de pérdida de datos de una organización puede monitorear todos los datos en uso, en movimiento y en reposo para toda la variedad de software en uso. Por ejemplo, agregar protección DLP para archivado, aplicaciones de business intelligence (BI) , email, equipos y sistemas operativos como macOS y Microsoft Windows.

Tipos de pérdida de datos

Los eventos de pérdida de datos a menudo se describen como filtraciones de datos, fuga de datos o exfiltración de datos. Los términos a menudo se utilizan indistintamente, pero tienen significados diferentes.

Filtración de datos: Una filtración de datos es cualquier incidente de seguridad que genera acceso no autorizado a información confidencial o sensible. Esto incluye cualquier ataque cibernético u otro incidente de seguridad en el que partes no autorizadas obtengan acceso a datos o información confidencial.

Fuga de datos: Se trata de la exposición accidental de datos sensibles o información confidencial al público. La fuga de datos puede deber a una vulnerabilidad de seguridad técnica o a un error de seguridad de procedimiento y puede incluir tanto transferencias electrónicas como físicas.

Exfiltración de datos: la exfiltración se refiere al robo de datos. Se trata de cualquier robo cuando un atacante mueve o copia los datos de otra persona en un dispositivo bajo el control del atacante. Toda exfiltración de datos requiere una fuga o filtración de datos, pero no todas las fugas o filtraciones de datos llevan a la exfiltración de datos.

Causas de la pérdida de datos

Algunas pérdidas surgen de errores simples, mientras que otras son causadas por ataques cibernéticos como ataques de denegación de servicio distribuido (DDos) y phishing. Casi cualquier pérdida de datos puede causar interrupciones comerciales significativas.

Algunas de las causas más comunes de pérdida de datos incluyen:

Error humano e ingeniería social
Amenazas internas
Malware
Amenazas físicas
Vulnerabilidades de seguridad
Robo de teléfonos inteligentes o PC
Credenciales débiles o robadas

Error humano e ingeniería social

Los ladrones de datos emplean tácticas que engañan a las personas para que compartan datos que no deberían compartir. La ingeniería social puede ser tan ingeniosa como un ataque de phishing que convence a un empleado de que envíe por email datos confidenciales, o tan engañosa como dejar una unidad flash USB infectada con malware donde un empleado pueda encontrarla y conectarla a un dispositivo proporcionado por la organización.

Por otro lado, el error humano puede ser tan simple como dejar un teléfono inteligente en una caja registradora o borrar archivos por error.

Amenazas internas

Los usuarios autorizados (incluidos empleados, contratistas, partes interesadas y proveedores) podrían poner en riesgo los datos por descuido o intenciones maliciosas.

Los usuarios internos maliciosos a menudo están motivados por un beneficio personal o un agravio hacia la empresa. Las amenazas internas pueden ser involuntarias y tan simples como el descuido de no actualizar las contraseñas, o tan peligrosas como exponer datos empresariales confidenciales mientras se emplea IA generativa disponible públicamente (IA gen).

Los ataques de usuarios internos maliciosos son comunes y costosos. El último Informe del costo de una filtración de datos de IBM encontró que, en comparación con otros vectores, los ataques de usuarios internos maliciosos resultaron en los costos más altos, con un promedio de USD 4.99 millones.

Malware

Este es un software creado específicamente para dañar un sistema informático o sus usuarios. La forma más conocida de malware que amenaza los datos es el ransomware, que cifra los datos para que no se pueda acceder a ellos y exige el pago de un rescate por la clave de descifrado. A veces, los atacantes incluso pedirán un segundo pago para evitar que los datos se exfiltren o se compartan con otros delincuentes cibernéticos.

Amenazas físicas

Dependiendo de qué tan bien se respalden los datos de una organización, un mal funcionamiento de la unidad de disco duro puede ser catastrófico. La causa podría ser un bloqueo del cabezal o una corrupción del software. Derramar una bebida refrescante en la oficina (café, té, refresco o agua) podría provocar un cortocircuito en la placa del sistema de una PC, y casi nunca hay un momento conveniente. Una interrupción en el suministro de energía puede apagar los sistemas en el momento equivocado o en el peor momento, lo que podría interrumpir el ahorro de trabajo o interrumpir las transmisiones.

Vulnerabilidades de seguridad

Las vulnerabilidades son debilidades o fallas en la estructura, el código o la implementación de una aplicación, dispositivo, red u otro activo de TI que los piratas informáticos pueden aprovechar. Estos incluyen errores de codificación, errores de configuración, vulnerabilidades de día cero (debilidades desconocidas o aún sin parches) o software desactualizado, como una versión anterior de MS Windows.

Robo de teléfonos inteligentes o PC

Cualquier dispositivo digital que se deje desatendido (en un escritorio, automóvil o asiento de colectivo) puede ser un objetivo tentador y otorgar al ladrón acceso a una red y licencia para acceder a los datos. Incluso si el ladrón solo quiere vender el equipo por dinero en efectivo, la organización sigue sufriendo la interrupción de cerrar el acceso a ese dispositivo y reemplazarlo.

Credenciales débiles o robadas

Esto incluye contraseñas que los hackers pueden adivinar fácilmente, o contraseñas u otras credenciales (por ejemplo, tarjetas de identificación) que los hackers o delincuentes cibernéticos podrían robar.

Estrategias y políticas de prevención de pérdida de datos

Las políticas de DLP pueden cubrir múltiples temas, incluida la clasificación de datos, los controles de acceso, los estándares de cifrado, las prácticas de retención y eliminación de datos, los protocolos de respuesta a incidentes y los controles técnicos, como firewall, sistemas de detección de intrusiones y software antivirus.

Una de los principales beneficios de las políticas de protección de datos es que establecen normas claras. Los empleados conocen sus responsabilidades para salvaguardar la información confidencial y, a menudo, reciben capacitación sobre prácticas de seguridad de datos, como la identificación de intentos de phishing, el manejo seguro de información confidencial y la notificación inmediata de incidentes de seguridad.

Además, las políticas de protección de datos pueden mejorar la eficiencia operativa al ofrecer procesos claros para las actividades relacionadas con los datos, como las solicitudes de acceso, el aprovisionamiento de usuarios, los reportes de incidentes y las auditorías de seguridad.

En lugar de redactar una sola política para todos los datos, los equipos de seguridad de la información suelen crear diferentes políticas para los diferentes tipos de datos en sus redes. Esto se debe a que los diferentes tipos de datos a menudo necesitan ser manejados de manera diferente para diferentes casos de uso para satisfacer las necesidades de cumplimiento de normas y evitar interferir con el comportamiento aprobado de los usuarios finales autorizados.

Por ejemplo, la información de identificación personal (PII), como números de tarjetas de crédito, números de seguro social y direcciones de domicilio y correo electrónico, está sujeta a las regulaciones de seguridad de datos que dictan un manejo adecuado.

Sin embargo, la compañía puede hacer lo que desee con su propia propiedad intelectual (PI). Además, las personas que necesitan acceder a la PII pueden no ser las mismas que necesitan acceder a la propiedad intelectual de la empresa.

Ambos tipos de datos necesitan ser protegidos, pero de maneras diferentes; por lo tanto, se necesitan políticas de DLP distintas adaptadas a cada tipo de datos.

Tipos de soluciones de DLP

Las organizaciones emplean soluciones de DLP para monitorear las actividades de la red, identificar y etiquetar los datos y aplicar las políticas de DLP para evitar usos indebidos o robos.

Hay tres tipos principales de soluciones DLP:  

DLP de red
DLP de endpoint
DLP en la nube

DLP de red

Las soluciones DLP de red se centran en cómo se mueven los datos a través, dentro y fuera de una red. A menudo utilizan inteligencia artificial (IA) y machine learning (ML) para detectar flujos de tráfico anómalos que podrían indicar una fuga o pérdida de datos. Si bien las herramientas DLP de red están diseñadas para monitorear datos en movimiento, muchas también pueden ofrecer visibilidad de los datos en uso y en reposo en la red.

DLP de endpoint

Las herramientas DLP de endpoint supervisan la actividad en computadoras portátiles, servidores, dispositivos móviles y otros dispositivos que acceden a la red. Estas soluciones se instalan directamente en los dispositivos que supervisan y pueden impedir que los usuarios cometan acciones prohibidas en ellos. Algunas herramientas DLP de endpoint también bloquean las transferencias de datos no aprobadas entre dispositivos. 

DLP en la nube

Las soluciones de seguridad en la nube se centran en los datos almacenados y a los que acceden los servicios en la nube. Pueden escanear, clasificar, supervisar y cifrar datos en repositorios en la nube. Estas herramientas también pueden ayudar a aplicar políticas de control de acceso a usuarios finales individuales y a cualquier servicio en la nube que pueda tener acceso a los datos de la empresa.

Las organizaciones pueden optar por utilizar un tipo de solución o una combinación de varias soluciones, dependiendo de sus necesidades y cómo se almacenan sus datos. El objetivo para todos sigue siendo claro: defender todos los datos confidenciales.

Cómo funciona la DLP

Los equipos de seguridad suelen seguir un proceso de 4 pasos a lo largo del ciclo de vida de los datos para poner en práctica las políticas de DLP con la ayuda de herramientas de DLP:

Identificación y clasificación de datos
Supervisión de datos
Aplicación de protecciones de datos
Documentación e informes de los esfuerzos de DLP

Identificación y clasificación de datos

En primer lugar, la organización cataloga todos sus datos estructurados y no estructurados .

Los datos estructurados son datos con un formato estandarizado, como un número de tarjeta de crédito. Por lo general, están claramente etiquetados y almacenados en una base de datos.
Los datos no estructurados son información de forma libre, como documentos de texto o imágenes, que pueden no estar perfectamente organizados en una base de datos central.

Los equipos de seguridad suelen emplear herramientas de DLP para escanear toda la red y descubrir datos dondequiera que estén almacenados: en la nube, en dispositivos de punto final físicos, en dispositivos personales de los empleados y en otros lugares.  

A continuación, la organización clasifica esos datos, clasificándolos en grupos según el nivel de confidencialidad y las características compartidas. La clasificación de datos permite a la organización aplicar las políticas DLP adecuadas a los tipos correctos de datos.

Por ejemplo, algunas organizaciones pueden agrupar los datos en función del tipo, como los datos financieros, los datos de marketing o la propiedad intelectual. Otras organizaciones pueden agrupar datos en función de las regulaciones pertinentes, como el Reglamento General de Protección de Datos (RGPD) o la California Consumer Privacy Act (CCPA).

Muchas soluciones DLP pueden automatizar la clasificación de datos. Estas herramientas emplean inteligencia artificial, machine learning y coincidencia de patrones para analizar datos estructurados y no estructurados para determinar qué tipo de datos son, si son confidenciales y qué políticas deben aplicar.

Supervisión de datos

Una vez clasificados los datos, el equipo de seguridad supervisa cómo se manejan. Las herramientas DLP pueden usar varias técnicas para identificar y rastrear los datos confidenciales que se están utilizando. Estas técnicas incluyen: 

Análisis de contenido, como el uso de IA y machine learning para analizar un mensaje de correo electrónico en busca de información confidencial. 
Coincidencia de datos, como comparar el contenido de los archivos con datos confidenciales conocidos. 
Detectar etiquetas, tags y otros metadatos que identifican explícitamente un archivo como confidencial.  A veces se le llama “huella digital de datos”. 
Coincidencia de archivos, donde una herramienta DLP compara los hashes (las identidades de los archivos) de los archivos protegidos.
Coincidencia de palabras clave, donde DLP busca palabras clave que se encuentran a menudo en datos confidenciales.
Coincidencia de patrones, como buscar datos que sigan un determinado formato. Por ejemplo, una tarjeta American Express siempre tendrá un número de 15 dígitos y comenzará con "3". Pero no todos esos números son para AmEx, por lo que una solución DLP también puede buscar el nombre corporativo, la abreviatura o una fecha de vencimiento cercana.

Cuando una herramienta DLP encuentra datos confidenciales, busca violaciones de políticas, comportamiento anormal del usuario, vulnerabilidades del sistema y otros signos de posible pérdida de datos, que incluyen:   

Fugas de datos, como cuando un usuario intenta compartir un archivo confidencial con alguien fuera de la organización. 
Usuarios no autorizados que intentan acceder a datos críticos o realizar acciones no aprobadas, como editar, borrar o copiar un archivo sensible. 
Firmas de malware, tráfico de dispositivos desconocidos u otros indicadores de actividad maliciosa.

Aplicación de protecciones de datos

Cuando las soluciones de DLP detectan infracciones de políticas, pueden responder con esfuerzos de corrección en tiempo real. Ejemplos incluyen:  

Cifrar datos a medida que se mueve a través de la red. 
Terminar el acceso no autorizado a los datos.
Bloqueo de transferencias no autorizadas y tráfico malicioso. 
Advertir a los usuarios que están infringiendo las políticas. 
Marcando comportamientos sospechosos para que el equipo de seguridad los revise. 
Generar más desafíos de autenticación antes de que los usuarios puedan interactuar con datos críticos.
Hacer cumplir el acceso con privilegios mínimos a los recursos, como en un entorno de confianza cero .

Algunas herramientas de DLP también ayudan con la recuperación de datos, haciendo copias de seguridad automáticas de la información para que pueda restaurarse después de una pérdida.  

Las organizaciones también pueden tomar medidas más proactivas para hacer cumplir las políticas de DLP. Una gestión de identidad y acceso (IAM) eficaz , incluidas las políticas de control de acceso basadas en roles, pueden restringir el acceso a los datos a las personas adecuadas. Capacitar a los empleados sobre los requisitos de seguridad de datos y las mejores prácticas puede ayudar a prevenir pérdidas y fugas accidentales de datos antes de que ocurran. 

Documentación e informes de los esfuerzos de DLP

Las herramientas de DLP suelen contar con paneles e informes que los equipos de seguridad utilizan para supervisar datos sensibles en toda la red. Esta documentación permite al equipo de seguridad realizar un seguimiento del rendimiento del programa de DLP con el transcurso del tiempo para que las políticas y estrategias se puedan ajustar según sea necesario. 

Las herramientas de DLP también pueden ayudar a las organizaciones a cumplir con las regulaciones relevantes al mantener registros de sus esfuerzos de seguridad de datos. Si ocurre un ataque cibernético o auditoría, la organización puede utilizar estos registros para demostrar que siguió los procedimientos de manejo de datos adecuados. 

DLP y cumplimiento regulatorio

Las estrategias de DLP suelen estar alineadas con los esfuerzos de cumplimiento. Muchas organizaciones elaboran sus políticas DLP específicamente para cumplir con regulaciones como el Reglamento General de Protección de Datos (GDPR), la California Consumer Privacy Act, la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

Las diferentes regulaciones imponen diferentes estándares para diferentes tipos de datos. Por ejemplo, la HIPAA establece reglas para la información de salud personal, mientras que la PCI DSS dicta cómo deben manejar las organizaciones los datos de las tarjetas de pago. Es probable que una empresa que recopila ambos tipos de datos necesite una política de DLP separada para cada tipo a fin de satisfacer los requisitos de cumplimiento.   

Muchas soluciones de DLP incluyen políticas de DLP preescritas alineadas con los diversos estándares de seguridad y privacidad de datos que las compañías deben cumplir. 

Tendencias en la prevención de pérdida de datos

Desde el auge de la IA generativa hasta las regulaciones emergentes, varios factores están cambiando el panorama de los datos. A su vez, las políticas y herramientas de DLP deberán evolucionar para satisfacer estos cambios. Algunas de las tendencias más significativas en DLP incluyen:

Entornos híbridos y multinube
IA generativa
Mayor reglamentación
Fuerza laboral celular y trabajo remoto
TI en la sombra y datos en la sombra

Entornos híbridos y multinube

Muchas organizaciones ahora almacenan datos en sus instalaciones y en múltiples nubes, posiblemente incluso en múltiples países. Estas medidas pueden agregar flexibilidad y ahorro de costos, pero también aumentan la complejidad de la protección de esos datos.

Por ejemplo, el Informe del costo de una filtración de datos encontró que el 40% de las filtraciones ocurren en organizaciones que almacenan sus datos en múltiples entornos.

IA generativa

Los modelos de lenguaje de gran tamaño (LLM) son, por definición, grandes y consumen cantidades masivas de datos que las organizaciones deben almacenar, rastrear y proteger contra amenazas, como las inyecciones de instrucciones . Gartner forecast que "para 2027, el 17 % del total de ataques cibernéticos/fugas de datos involucrará IA generativa".¹

Mayor reglamentación

Con las grandes filtraciones de datos y los abusos en las redes sociales, aumentan las exigencias de regulación gubernamental y de la industria, lo que puede aumentar la complejidad de los sistemas y las verificaciones de cumplimiento. Los desarrollos recientes, como la Ley de IA de la UE y el proyecto de normas de la CCPA sobre IA , están imponiendo algunas de las normas de privacidad y protección de datos más estrictas hasta la fecha.

Fuerza laboral celular y trabajo remoto

Gestionar datos dentro de un edificio o red es más sencillo que proporcionar acceso al sistema a una fuerza laboral celular o trabajadores remotos, donde los problemas de comunicación y acceso multiplican los esfuerzos requeridos del personal de TI.

Además, los trabajadores remotos a veces tienen múltiples empleadores o contratos, por lo que los “cables cruzados” pueden crear más fugas de datos. Gartner predice que “para fines de 2026, la democratización de la tecnología, la digitalización y la automatización del trabajo aumentarán el mercado total disponible de trabajadores totalmente remotos e híbridos al 64% de todos los empleados, frente al 52% en 2021”^{. 1}

TI en la sombra y datos en la sombra

Dado que los empleados emplean cada vez más hardware y software personal en el trabajo, esta TI en la sombra no gestionada crea un riesgo importante para las organizaciones.

Los empleados pueden estar compartiendo archivos de trabajo en una cuenta personal de espacio en la nube, reunir en una plataforma de videoconferencia no autorizada o creando un chat grupal no oficial sin la aprobación de TI. Las versiones personales de Dropbox, Google Drive y Microsoft OneDrive pueden crear dolores de cabeza de seguridad para el equipo de TI.

Las organizaciones también están lidiando con un aumento de datos ocultos, es decir, datos en la red empresarial que el departamento de TI no conoce ni gestiona. La proliferación de datos ocultos es uno de los principales contribuyentes a las filtraciones de datos. Según el Informe del costo de una filtración de datos, el 35 % de las filtraciones involucran datos ocultos.

Soluciones relacionadas

Soluciones de seguridad y protección de datos

Implementadas localmente o en una nube híbrida, las soluciones de seguridad de datos de IBM® le ayudan a obtener mayor visibilidad e información estratégica para investigar y remediar las amenazas cibernéticas, aplicar controles en tiempo real y administrar el cumplimiento regulatorio.

Conozca las soluciones de seguridad y protección de datos

IBM Guardium Discover and Classify

Detección y clasificación precisas, escalables e integradas de datos estructurados y no estructurados en todos los entornos.

Explore IBM Guardium Discover and Classify

Soluciones de seguridad móvil

Detenga las amenazas de seguridad móvil en cualquier dispositivo. Administre de manera centralizada los endpoints y la seguridad para crear experiencias sin fricciones para los usuarios, reducir las amenazas cibernéticas y mantener un bajo costo total de propiedad (TCO).

Explore las soluciones de seguridad móvil

Recursos

The Data Differentiator

Guía para líderes de datos sobre cómo crear una organización impulsada por datos y mejorar la ventaja del negocio

¿Qué es el ransomware?

El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante.

Datos estructurados frente a no estructurados

Los datos estructurados y no estructurados se obtienen, recopilan y escalan de diferentes maneras y cada uno reside en un tipo diferente de base de datos.

Dé el siguiente paso

Descubra cómo la familia de productos IBM® Guardium puede ayudar a su organización a enfrentar el cambiante escenario de amenazas con analytics avanzados, alertas en tiempo real, cumplimiento optimizado, clasificación automatizada de descubrimiento de datos y gestión de posturas.

Explora Guardium

Reserve una demostración en vivo

Nota de pie de página

¹ Análisis de previsiones: Seguridad de la información y gestión de riesgos, en todo el mundo. Gartner. 29 de febrero de 2024. (Enlace externo a ibm.com.)