¿Qué es la prevención de pérdida de datos (DLP)?

Los datos son un elemento diferenciador competitivo para muchas empresas. Una red corporativa típica contiene un tesoro de secretos comerciales, registros de ventas, datos personales de clientes y otra información sensible. Los hackers atacan estos datos y las organizaciones a menudo tienen dificultades para proteger sus datos más críticos.

Mientras tanto, cientos, si no miles, de usuarios autorizados acceden a los datos empresariales a través del almacenamiento en la nube y los repositorios locales todos los días. La prevención de la pérdida de datos a la vez que se facilita el acceso autorizado es una prioridad para la mayoría de las organizaciones.

La prevención de la pérdida de datos (DLP) ayuda a las organizaciones a detener las fugas y pérdidas de datos mediante su seguimiento en toda la red y la aplicación de políticas de seguridad sobre ellos. Los equipos de seguridad intentan garantizar que solo las personas adecuadas puedan acceder a los datos correctos por las razones adecuadas.

Una solución de DLP inspecciona los paquetes de datos a medida que se mueven por una red, detectando el uso de información confidencial como números de tarjetas de crédito, datos sanitarios, registros de clientes y propiedad intelectual. De esta manera, las organizaciones pueden aplicar los controles de acceso y las políticas de uso adecuados a cada tipo de datos.

Los datos están en riesgo independientemente de dónde se almacenen, lo que hace que la protección de la información sea una prioridad importante para una organización. El coste del fracaso puede ser alto. El último informe "Cost of a Data Breach" de IBM reveló que el coste medio global de una vulneración de datos aumentó un 10 % con respecto al año anterior, alcanzando los 4,88 millones de dólares, el mayor salto desde la pandemia.

La información de identificación personal (PII), en particular, es muy valiosa para los ladrones y, a menudo, es un objetivo. El informe "Cost of a Data Breach" también reveló que casi la mitad de todas las vulneraciones estaban relacionadas con la PII de los clientes, que puede incluir números de identificación fiscal (ID), correos electrónicos, números de teléfono y direcciones particulares. Los registros de propiedad intelectual (PI) ocuparon un cercano segundo lugar con el 43 % de las vulneraciones.

La protección de los datos es cada vez más difícil porque los datos de una organización pueden ser utilizados o almacenados en varios formatos, en varias ubicaciones y por varias partes interesadas de distintas organizaciones. Además, es posible que los diferentes conjuntos de datos tengan que seguir diferentes normas según los niveles de sensibilidad o las normativas de protección de datos pertinentes.

Las políticas y herramientas de DLP ayudan a las organizaciones a protegerse supervisando cada dato en toda la red en los tres estados: en uso, en movimiento y en reposo.

• Datos en uso: se refiere a cuando se accede a los datos, se procesan, actualizan o eliminan. Por ejemplo, los datos de una organización utilizados para análisis o cálculos o un documento de texto editado por un usuario final.

• Datos en movimiento: también conocidos como datos en tránsito, se trata de datos que se mueven a través de una red, como los que transmite un servidor de transmisión de eventos o una aplicación de mensajería, o que se mueven entre redes. Los datos en movimiento son los menos seguros de los tres estados y requieren atención especial.

• Datos en reposo: se trata de datos almacenados, como en una unidad en la nube, una unidad de disco duro local o un archivo. En general, los datos en reposo son más fáciles de proteger, pero aún así es necesario aplicar medidas de seguridad. Los datos en reposo pueden verse comprometidos por un acto tan simple como que alguien recoja una unidad flash USB de un escritorio desatendido.

Idealmente, la solución de prevención de pérdida de datos de una organización es capaz de supervisar todos los datos en uso, en movimiento y en reposo para toda la variedad de software en uso. Por ejemplo, añadir protección DLP para archivado, aplicaciones de inteligencia empresarial (BI), correo electrónico, formación de equipos y sistemas operativos como macOS y Microsoft Windows.

Los eventos de pérdida de datos se describen a menudo como vulneraciones, fugas o exfiltración de datos. Los términos a menudo se utilizan indistintamente, pero tienen significados diferentes.

• Vulneración de datos: una vulneración de datos es cualquier incidente de seguridad que da lugar al acceso no autorizado a información confidencial o sensible. Esto incluye cualquier ciberataque u otro incidente de seguridad en el que partes no autorizadas obtienen acceso a datos sensibles o información confidencial.

• Fuga de datos: se trata de la exposición accidental de datos sensibles o información confidencial al público. La fuga de datos puede ser el resultado de una vulnerabilidad de seguridad técnica o un error de seguridad de procedimiento y puede incluir tanto transferencias electrónicas como físicas.

• Exfiltración de datos: la exfiltración se refiere al robo de datos. Se trata de cualquier robo cuando un atacante mueve o copia los datos de otra persona en un dispositivo bajo el control del atacante. Toda exfiltración de datos requiere una fuga o vulneración de datos, pero no todas las fugas o vulneraciones de datos conducen a una exfiltración.

Algunas pérdidas se deben a simples errores, mientras que otras se deben a ciberataques, como los ataques de denegación de servicio distribuido (DDoS) y el phishing. Casi cualquier pérdida de datos puede provocar importantes interrupciones empresariales.

Algunas de las causas más comunes de la pérdida de datos son:

• Error humano e ingeniería social
  
• Amenazas internas
• Malware
• Amenazas físicas
• Vulnerabilidades de seguridad
• Robo de smartphones u ordenadores
• Credenciales débiles o robadas

Los ladrones de datos utilizan tácticas que engañan a las personas para que compartan datos que no deberían compartir. La ingeniería social puede ser tan ingeniosa como un ataque de phishing que convence a un empleado de que envíe por correo electrónico datos confidenciales, o tan retorcida como dejar una unidad flash USB infectada con malware donde un empleado pueda encontrarla y conectarla a un dispositivo proporcionado por la organización.

Por otro lado, el error humano puede ser tan simple como dejar un smartphone en una caja registradora o eliminar archivos por error.

Los usuarios autorizados (incluidos empleados, contratistas, stakeholders y proveedores) podrían poner en peligro los datos por descuido o con intenciones maliciosas.

Los usuarios internos negligentes suelen estar motivados por un beneficio personal o por un agravio hacia la empresa. Las amenazas internas pueden ser involuntarias y tan simples como el descuido de no actualizar las contraseñas, o tan peligrosas como exponer datos empresariales sensibles mientras se utiliza la IA generativa (IA gen) disponible públicamente.
 
Los ataques de usuario interno negligente son comunes y costosos. El último informe "Cost of a Data Breach" de IBM reveló que, en comparación con otros vectores, los ataques de usuario interno negligente dieron lugar a los costes más altos, con una media de 4,99 millones de dólares.

Se trata de un software creado específicamente para dañar un sistema informático o a sus usuarios. La forma más conocida de malware que amenaza los datos es el ransomware, que encripta los datos para que no se pueda acceder a ellos y exige el pago de un rescate por la clave de descifrado. A veces, los atacantes incluso piden un segundo pago para evitar que los datos se filtren o se compartan con otros ciberdelincuentes.

En función de lo bien que se realicen las copias de seguridad de los datos de una organización, un mal funcionamiento del disco duro puede ser catastrófico. La causa podría ser un fallo del cabezal o la corrupción del software. Si se derrama una bebida en la oficina (café, té, refresco o agua) podría producirse un cortocircuito en la placa del sistema de un PC, y eso casi nunca ocurre en un momento oportuno. Una interrupción en el suministro eléctrico puede apagar los sistemas en el momento más inoportuno, lo que podría interrumpir el ahorro de trabajo o romper las transmisiones.

Las vulnerabilidades son debilidades o fallos en la estructura, el código o la implementación de una aplicación, dispositivo, red u otro activo de TI que los hackers pueden explotar. Entre ellos se incluyen errores de codificación, errores de configuración, vulnerabilidades de día cero (debilidades desconocidas o aún sin parchear) o software obsoleto, como una versión antigua de MS Windows.

Cualquier dispositivo digital que se deje desatendido (en un escritorio, el asiento de un coche o un autobús) puede ser un objetivo tentador y conceder al ladrón acceso a una red y permiso para acceder a los datos. Incluso si el ladrón solo quiere vender el equipo por dinero en efectivo, la organización sigue sufriendo el trastorno de cortar el trastorno que supone cortar el acceso a ese dispositivo y sustituirlo.

Esto incluye contraseñas que los hackers puedan adivinar fácilmente, o contraseñas u otras credenciales (por ejemplo, tarjetas de identificación) que los hackers o los ciberdelincuentes podrían robar.

Las políticas de DLP pueden cubrir varios temas, como la clasificación de datos, los controles de acceso, las normas de cifrado, las prácticas de retención y eliminación de datos, los protocolos de respuesta a incidentes y los controles técnicos como firewalls, sistemas de detección de intrusiones y software antivirus.

Uno de las principales beneficios de las políticas de protección de datos es que establecen normas claras. Los empleados conocen sus responsabilidades a la hora de salvaguardar la información sensible y suelen recibir formación sobre prácticas de seguridad de datos, como la identificación de intentos de phishing, la gestión segura de la información sensible y la notificación rápida de incidentes de seguridad.

Además, las políticas de protección de datos pueden mejorar la eficiencia operativa al ofrecer procesos claros para las actividades relacionadas con los datos, como las solicitudes de acceso, el aprovisionamiento de usuarios, la notificación de incidentes y las auditorías de seguridad.

En lugar de redactar una única política para todos los datos, los equipos de seguridad de la información suelen crear políticas diferentes para los distintos tipos de datos en sus redes. Esto se debe a que los diferentes tipos de datos a menudo deben manejarse de manera diferente para diferentes casos de uso para satisfacer las necesidades de cumplimiento y evitar interferir con el comportamiento aprobado de los usuarios finales autorizados.

Por ejemplo, la información de identificación personal (PII), como números de tarjetas de crédito, números de la seguridad social y direcciones particulares y de correo electrónico, está sujeta a normas de seguridad de datos que dictan un tratamiento adecuado.

Sin embargo, la empresa puede hacer lo que quiera con su propia propiedad intelectual (PI). Además, las personas que necesitan acceder a la PII pueden no ser las mismas que necesitan acceder a la PI de la empresa.

Ambos tipos de datos deben protegerse, pero de diferentes maneras; por lo tanto, se necesitan políticas de DLP distintas adaptadas a cada tipo de datos.

Las organizaciones utilizan soluciones de DLP para supervisar las actividades de red, identificar y etiquetar datos y aplicar políticas de DLP para evitar el uso indebido o el robo.

Hay tres tipos principales de soluciones DLP:

• DLP de red
• DLP de endpoint
• DLP de la nube

Las soluciones DLP de red se centran en cómo se mueven los datos a través, dentro y fuera de una red. A menudo utilizan la inteligencia artificial (IA) y el machine learning (ML) para detectar flujos de tráfico anómalos que podrían indicar una fuga o pérdida de datos. Aunque las herramientas DLP de red están diseñadas para supervisar datos en movimiento, muchas también ofrecen visibilidad de los datos en uso y en reposo en la red.

Las herramientas de DLP para endpoints supervisan la actividad en ordenadores portátiles, servidores, dispositivos móviles y otros dispositivos que acceden a la red. Estas soluciones se instalan directamente en los dispositivos que supervisan, y pueden impedir que los usuarios cometan acciones prohibidas en esos dispositivos. Algunas herramientas de DLP para endpoints también bloquean las transferencias de datos no aprobadas entre dispositivos.

Las soluciones de seguridad en la nube se centran en los datos almacenados en y accedidos a través de servicios en la nube. Pueden escanear, clasificar, supervisar y cifrar datos en repositorios en la nube. Estas herramientas también pueden ayudar a aplicar políticas de control de acceso a usuarios finales individuales y a cualquier servicio en la nube que pueda acceder a datos de la empresa.

Las organizaciones pueden decidir utilizar una solución o una combinación de varias, en función de sus necesidades y de cómo tienen almacenados sus datos. El objetivo para todos sigue siendo claro: defender todos los datos sensibles.

Los equipos de seguridad suelen seguir un proceso de cuatro pasos a lo largo del ciclo de vida de los datos para poner en práctica las políticas de prevención de pérdida de datos con la ayuda de las herramientas de DLP:

• Identificación y clasificación de datos
  
• Supervisión de datos
• Aplicación de protecciones de datos
• Documentación y elaboración de informes sobre iniciativas de DLP

En primer lugar, la organización cataloga todos sus datos estructurados y no estructurados.

• Los datos estructurados son datos con una forma estandarizada, como un número de tarjeta de crédito. Suelen estar claramente etiquetados y almacenados en una base de datos.
  
  
• Datos no estructurados son información de formato libre, como documentos de texto o imágenes, que pueden no estar perfectamente organizados en una base de datos central. 

Los equipos de seguridad suelen utilizar herramientas DLP para escanear toda la red con el fin de descubrir datos dondequiera que estén almacenados: en la nube, en dispositivos físicos de endpoints, en los dispositivos personales de los empleados y en otros lugares.

A continuación, la organización clasifica estos datos, ordenándolos en grupos basados en el nivel de sensibilidad y las características compartidas. La clasificación de los datos hace posible que la organización pueda aplicar las políticas de DLP adecuadas a los tipos de datos correctos.

Por ejemplo, algunas organizaciones pueden agrupar los datos en función del tipo, como datos financieros, datos de marketing o propiedad intelectual. Otras organizaciones pueden agrupar los datos en función de las normativas pertinentes, como el Reglamento General de Protección de Datos (RGPD) o la California Consumer Privacy Act.

Muchas soluciones de DLP pueden automatizar la clasificación de datos. Estas herramientas utilizan IA, machine learning y búsqueda de patrones para analizar datos estructurados y no estructurados y determinar qué tipo de datos son, si son sensibles y qué políticas deben aplicarse.

Una vez clasificados los datos, el equipo de seguridad supervisa cómo se gestionan. Las herramientas de DLP pueden utilizar varias técnicas para identificar y rastrear los datos sensibles que se están utilizando. Estas técnicas incluyen: 

• Análisis de contenido, como el uso de IA y machine learning para analizar un mensaje de correo electrónico para obtener información confidencial.
  
  
• Verificación de datos, como comparar el contenido del archivo con los datos sensibles conocidos.
  
  
• Detección de etiquetas, tags y otros metadatos que identifican explícitamente un archivo como sensible. A veces llamado "huella digital de datos". 
  
  
• Coincidencia de archivos, donde una herramienta de DLP compara los hashes (las identidades) de los archivos protegidos.
  
  
• Coincidencia de palabras clave, donde la DLP busca palabras clave que se encuentran a menudo en datos sensibles.
  
  
• Coincidencia de patrones, como buscar datos que sigan un formato determinado. Por ejemplo, una tarjeta American Express siempre tendrá un número de 15 dígitos y comenzará con “3”. Pero no todos esos números corresponden a AmEx, por lo que una solución de DLP también puede buscar el nombre corporativo, la abreviatura o una fecha de vencimiento cercana.

Cuando una herramienta de DLP encuentra datos sensibles, busca infracciones de las políticas, comportamientos anómalos de los usuarios, vulnerabilidades del sistema y otros signos de posible pérdida de datos, incluyendo: 

• Fugas de datos, como un usuario que intenta compartir un archivo confidencial con alguien ajeno a la organización.
  
  
• Usuarios no autorizados que intentan acceder a datos críticos o realizar acciones no aprobadas, como editar, borrar o copiar un archivo sensible.
  
  
• Firmas de malware, tráfico de dispositivos desconocidos u otros indicadores de actividad maliciosa.

Cuando las soluciones de DLP detectan infracciones de las políticas, pueden responder con medidas de corrección en tiempo real. Ejemplos: 

• Cifrado de datos mientras se mueven a través de la red.
  
  
• Interrupción de accesos no autorizados a los datos.
  
  
• Bloqueo de las transferencias no autorizadas y el tráfico malintencionado.
  
  
• Aviso a los usuarios de que están infringiendo las políticas.
  
  
• Marcar comportamientos sospechosos para que el equipo de seguridad los revise.
  
  
• Activación de más retos de autenticación antes de que los usuarios puedan interactuar con datos críticos.
  
  
• Aplicación de acceso a los recursos con menos privilegios, como en un entorno zero trust.

Algunas herramientas DLP también ayudan con la recuperación de datos, realizando copias de seguridad automáticas de la información para poder restaurarla tras una pérdida.

Las organizaciones también pueden tomar medidas más proactivas para aplicar políticas de DLP. Una gestión eficaz de identidades y accesos (IAM), que incluya políticas de control de acceso basadas en funciones, puede restringir el acceso a los datos a las personas adecuadas. La formación de los empleados sobre las buenas prácticas y los requisitos de seguridad de los datos puede ayudar a prevenir las pérdidas y filtraciones accidentales antes de que se produzcan. 

Las herramientas de DLP suelen incorporar paneles de control y funciones de elaboración de informes que los equipos de seguridad utilizan para supervisar los datos sensibles en toda la red. Esta documentación permite al equipo de seguridad hacer un seguimiento del rendimiento del programa de DLP a lo largo del tiempo, de modo que las políticas y estrategias puedan ajustarse según sea necesario.

Las herramientas de DLP también pueden ayudar a las organizaciones a cumplir las normativas pertinentes manteniendo registros de sus iniciativas en materia de seguridad de datos. Si se produce un ciberataque o una auditoría, la organización puede utilizar estos registros para demostrar que siguió los procedimientos adecuados de tratamiento de datos.

Las estrategias de DLP suelen estar alineadas con los esfuerzos en materia de cumplimiento. Muchas organizaciones elaboran sus políticas de DLP específicamente para cumplir con regulaciones como el Reglamento General de Protección de Datos (RGPD), la California Consumer Privacy Act (CCPA), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS). 

Distintas normativas imponen estándares diferentes para distintos tipos de datos. Por ejemplo, la HIPAA establece normas para la información sanitaria personal, mientras que el PCI DSS dicta cómo las organizaciones deben manejar los datos de las tarjetas de pago. Una empresa que recopile ambos tipos de datos probablemente necesitaría una política DLP separada para cada tipo a fin de cumplir con los requisitos de cumplimiento.

Muchas soluciones de DLP incluyen políticas de DLP preestablecidas que se ajustan a las distintas normas de seguridad y protección de datos que deben cumplir las empresas.

Desde el auge de la IA generativa hasta las normativas emergentes, varios factores están cambiando el panorama de los datos. A su vez, las políticas y herramientas de DLP tendrán que evolucionar para adaptarse a estos cambios. Algunas de las tendencias más significativas en DLP incluyen:

• Entornos híbridos y multinube
• IA generativa
• Mayor regulación
• Personal móvil y teletrabajo
• TI invisible y datos invisibles

En la actualidad, muchas organizaciones almacenan datos en su entorno local y en varias nubes, posiblemente incluso en varios países. Estas medidas pueden añadir flexibilidad y ahorro de costes, pero también aumentan la complejidad de la protección de esos datos.

Por ejemplo, el informe "Cost of a Data Breach" reveló que el 40 % de las vulneraciones se producen en organizaciones que almacenan sus datos en varios entornos.

Los modelos de lenguaje de gran tamaño (LLM) son, por definición, grandes y consumen enormes cantidades de datos que las organizaciones deben almacenar, rastrear y proteger contra amenazas como las inyecciones de instrucciones. Gartner ha pronosticado que "para 2027, el 17 % del total de ciberataques o filtraciones de datos implicarán IA generativa"¹

Con las grandes vulneraciones de datos y los abusos de las redes sociales, aumentan las exigencias de regulación gubernamental e sectorial, lo que puede añadir complejidad a los sistemas y a las verificaciones de cumplimiento. Desarrollos recientes, como la Ley de IA de la UE y el proyecto de reglas de la CCPA sobre la IA, están imponiendo algunas de las reglas de protección de datos más estrictas hasta la fecha.

La gestión de los datos dentro de un edificio o una red es más sencilla que proporcionar acceso al sistema a un personal móvil o a trabajadores a distancia, donde los problemas de comunicación y acceso multiplican los esfuerzos requeridos al personal de TI.

Además, los trabajadores a distancia a veces tienen varios empleadores o contratos, por lo que los "cables cruzados" pueden crear más fugas de datos. Gartner predice que "a finales de 2026, la democratización de la tecnología, la digitalización y la automatización del trabajo aumentarán el mercado total disponible de trabajadores totalmente a distancia e híbridos hasta el 64 % de todos los empleados, frente al 52 % en 2021"¹

Dado que los empleados utilizan cada vez más hardware y software personal en el trabajo, esta TI invisible no gestionada crea un riesgo importante para las organizaciones.

Los empleados pueden compartir archivos de trabajo en una cuenta personal de almacenamiento en la nube, reunirse en una plataforma de videoconferencia no autorizada o crear un chat grupal no oficial sin la aprobación de TI. Las versiones personales de Dropbox, Google Drive y Microsoft OneDrive pueden crear quebraderos de cabeza en materia de seguridad al equipo de TI.

Las organizaciones también se enfrentan a un aumento de los datos invisibles, es decir, los datos de la red empresarial que el departamento de TI desconoce o no gestiona. La proliferación de datos invisibles es uno de los principales factores que contribuyen a las vulneraciones de datos. Según el informe "Cost of a Data Breach", el 35 % de las vulneraciones implican datos invisibles.