¿Qué es la prevención de pérdida de datos (DLP)?
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dibujo isométrico que muestra diferentes trabajadores en oficina, todos usando IBM Security

La prevención de pérdida de datos (DLP, por sus siglas en inglés) hace referencia a las estrategias, los procesos y las tecnologías que los equipos de ciberseguridad utilizan para proteger los datos confidenciales frente a robos, pérdidas y usos indebidos.  

Los datos son un elemento diferenciador competitivo para muchas empresas, y la red empresarial media alberga secretos comerciales, datos personales de clientes y otra información sensible. Los piratas informáticos atacan estos datos para su propio beneficio, pero las organizaciones a menudo tienen dificultades para frustrar a estos atacantes.Puede ser difícil mantener la seguridad de los datos críticos mientras cientos, si no miles, de usuarios autorizados acceden a ellos a través del almacenamiento en la nube y los repositorios locales cada día. 

Las estrategias y herramientas de DLP ayudan a las organizaciones a evitar fugas y pérdidas de datos mediante su seguimiento en toda la red y la aplicación de políticas de seguridad granulares.De este modo, los equipos de seguridad pueden garantizar que solo las personas adecuadas accedan a los datos correctos por las razones adecuadas.

Tipos de pérdida de datos

Los eventos de pérdida de datos se describen a menudo como filtraciones de datos, fugas de datos o exfiltración de datos. Los términos a veces se utilizan indistintamente, pero tienen significados distintos.

Una filtración de datos es cualquier ciberataque u otro incidente de seguridad en el que partes no autorizadas acceden a datos sensibles o información confidencial, incluidos datos personales (por ejemplo, números de la Seguridad Social, números de cuentas bancarias, datos sanitarios) o datos empresariales (por ejemplo,registros de clientes, propiedad intelectual, datos financieros). Según el informe Costo de una vulneración de datos 2023 de IBM, la vulneración promedio cuesta 4,45 millones de dólares, un aumento del 15 por ciento en los últimos tres años.

La fuga de datos es la exposición accidental de datos confidenciales o información confidencial al público. La exfiltración de datos es un robo de datos real, cuando un atacante mueve o copia los datos de otra persona a un dispositivo bajo el control del atacante.

¿Qué causa la pérdida de datos?

La pérdida de datos se produce por muchas razones, pero las causas más comunes son:

  • Vulnerabilidades de seguridad:puntos débiles o fallos en la estructura, el código o la implementación de una aplicación, dispositivo, red u otro activo informático que los piratas informáticos pueden aprovechar. Se trata de errores de codificación, desconfiguraciones y vulnerabilidades de día cero (debilidades desconocidas o aún sin parchear).

  • Credenciales débiles o robadas: contraseñas que los hackers pueden adivinar fácilmente, o contraseñas u otras credenciales (por ejemplo, tarjetas de identificación) que los hackers o ciberdelincuentes roban.
     

  • Amenazas internas: usuarios autorizados que ponen en riesgo los datos por descuido o mala intención. Estas personas internas malintencionadas suelen estar motivadas por un beneficio personal o un agravio contra la empresa.
     

  • Malware: software creado específicamente para dañar un sistema informático o sus usuarios. La forma más conocida de malware que amenaza los datos es el ransomware, que cifra los datos para que no se pueda acceder a ellos y exige el pago de un rescate para obtener la clave de descifrado (y a veces un segundo pago para evitar que los datos se filtren o se compartan con otros ciberdelincuentes).
     

  • Ingeniería social: tácticas que engañan a las personas para que compartan datos que no deberían compartir. Esto puede ser tan ingenioso como un ataque de phishing que convence a un empleado para que envíe por correo electrónico datos confidenciales de los empleados, o tan poco ingenioso como dejar una memoria USB infectada con malware donde alguien pueda encontrarla y utilizarla.
     

  • Robo de dispositivos físicos:robar un ordenador portátil, un teléfono inteligente u otro dispositivo que permita al ladrón acceder a la red y a los datos.

Estrategias y políticas de prevención de pérdida de datos

Las organizaciones crean estrategias formales de DLP para protegerse contra todo tipo de pérdida de datos. En la base de una estrategia de DLP hay un conjunto de políticas de DLP que definen cómo deben manejar los usuarios los datos de la empresa.Las políticas de DLP abarcan prácticas clave de seguridad de los datos, como dónde almacenarlos, quién puede acceder a ellos, cómo utilizarlos y cómo establecer controles de seguridad. 

En lugar de redactar una política única para todos los datos, los equipos de seguridad de la información suelen crear políticas diferentes para los distintos tipos de datos de sus redes.Esto se debe a que a menudo es necesario manejar diferentes tipos de datos. 

Por ejemplo, la información personal identificable (IPI), como los números de tarjetas de crédito y las direcciones particulares, suele estar sujeta a normas de seguridad de datos que dictan lo que una empresa puede hacer con ella.Por otro lado, la empresa tiene vía libre sobre lo que hace con su propiedad intelectual (PI).Además, las personas que necesitan acceder a la IPI pueden no ser las mismas que necesitan acceder a la PI de la empresa.Ambos tipos de datos deben protegerse, pero de forma diferentes.  

Los equipos de seguridad crean múltiples políticas de DLP granulares para poder aplicar las normas de seguridad adecuadas a cada tipo de datos sin interferir en el comportamiento aprobado de los usuarios finales autorizados.Las organizaciones revisan estas políticas con regularidad para mantenerse al día de los cambios en las normativas pertinentes, la red de la empresa y las operaciones comerciales.

Por qué son importantes las soluciones DLP

Aplicar manualmente las políticas de DLP puede resultar complicado, si no imposible.No solo los distintos conjuntos de datos están sujetos a normas diferentes, sino que las organizaciones también necesitan supervisar todos los datos de la red, incluidos los siguientes 

  • Datos en uso: datos a los que se accede o que se procesan, por ejemplo, datos que se utilizan para análisis o cálculos, o un documento de texto que edita un usuario final.
     

  • Datos en movimiento: datos que se mueven a través de una red, como los transmitidos por un servidor de transmisión de eventos o una aplicación de mensajería.

  • Datos en reposo: datos almacenados, como los datos que se encuentran en una unidad en la nube.

Dado que la aplicación de las políticas de DLP requiere una visibilidad continua de los datos en toda la organización, los equipos de seguridad de la información suelen recurrir a herramientas de software de DLP especializadas para garantizar que los usuarios siguen las políticas de seguridad de los datos.Estas herramientas de DLP pueden automatizar funciones clave como la identificación de datos sensibles, el seguimiento de su uso y el bloqueo de accesos ilícitos.   

Las soluciones DLP a menudo funcionan junto con otros controles de seguridad para proteger los datos. Por ejemplo, los cortafuegos pueden ayudar a detener el tráfico malicioso que entra y sale de las redes.Los sistemas de gestión de eventos e información de seguridad (SIEM) pueden ayudar a detectar comportamientos anómalos que podrían indicar fugas de datos. Las soluciones de detección y respuesta extendidas (XDR) permiten a las organizaciones lanzar respuestas sólidas y automatizadas a las violaciones de datos.

Tipos de soluciones DLP

Hay tres tipos principales de soluciones DLP: DLP de red, punto final y nube. Las organizaciones pueden optar por utilizar un tipo de solución o una combinación de varias, en función de sus necesidades y de cómo se almacenen sus datos.

DLP de red

Las soluciones de DLP de red se centran en cómo se mueven los datos a través, dentro y fuera de una red.A menudo utilizan inteligencia artifical (IA) y aprendizaje automático para detectar flujos de tráfico anómalos que podrían indicar una fuga o pérdida de datos. Aunque las herramientas de DLP de red están diseñadas para vigilar los datos en movimiento, muchas también pueden ofrecer visibilidad de los datos en uso y en reposo en la red.

DLP de punto final

Las herramientas DLP para puntos finales supervisan la actividad en portátiles, servidores, dispositivos móviles y otros dispositivos que acceden a la red.Estas soluciones se instalan directamente en los dispositivos que vigilan, y pueden impedir que los usuarios realicen acciones prohibidas en esos dispositivos.Algunas herramientas DLP para puntos finales también pueden bloquear transferencias de datos no autorizadas entre dispositivos. 

DLP en la nube

Las soluciones de DLP en la nube se centran en los datos almacenados en servicios en la nube y a los que se accede a través de ellos.Pueden escanear, clasificar, supervisar y cifrar datos en repositorios en la nube.Estas herramientas también pueden ayudar a aplicar políticas de control de acceso a usuarios finales individuales y a cualquier servicio en la nube que pueda acceder a datos de la empresa.

Cómo ayudan las soluciones DLP a aplicar la política DLP

Los equipos de seguridad siguen un proceso de cuatro pasos para poner en práctica las políticas DLP, y las herramientas DLP desempeñan un papel importante en cada paso.

Identificación y clasificación de datos

En primer lugar, la organización cataloga todos sus datos estructurados y no estructurados.Los datos estructurados son datos con un formulario estandarizado. Normalmente están claramente etiquetados y almacenados en una base de datos. Los números de las tarjetas de crédito son un ejemplo de datos estructurados: siempre tienen 16 dígitos. Los datos no estructurados son información de forma libre, como documentos de texto o imágenes. 

Los equipos de seguridad suelen utilizar herramientas DLP para realizar este paso. A menudo, estas herramientas pueden escanear toda la red para encontrar datos dondequiera que estén almacenados: en la nube, en terminales físicos, en los dispositivos personales de los empleados y en otros lugares.  

A continuación, la organización clasifica estos datos, ordenándolos en grupos basados en el nivel de sensibilidad y las características compartidas.La clasificación de los datos permite a la organización aplicar las políticas de DLP adecuadas a los tipos de datos correctos.Por ejemplo, algunas organizaciones pueden agrupar los datos en función de su tipo: datos financieros, datos de marketing, propiedad intelectual, etc.Otras organizaciones pueden agrupar los datos en función de las normativas pertinentes, como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), el Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), etc.

Muchas soluciones DLP pueden automatizar la clasificación de datos. Estas herramientas pueden utilizar inteligencia artificial, aprendizaje automático y concordancia de patrones para analizar datos estructurados y no estructurados y determinar qué tipo de datos son, si son sensibles y qué políticas de DLP deben aplicarse.

Supervisión de datos

Una vez que se clasifican los datos, el equipo de seguridad supervisa cómo se manejan. Las herramientas DLP pueden usar varias técnicas para identificar y rastrear datos confidenciales en uso. Estas técnicas incluyen: 

  • Coincidencia de datos, como comparar el contenido del archivo con los datos confidenciales conocidos.
     

  • Coincidencia de patrones, como la búsqueda de datos que siguen un formato determinado: por ejemplo, un número de nueve dígitos con el formato XXX-XX-XXXX podría ser un número de la seguridad social.
     

  • Análisis de contenido, como el uso de IA y aprendizaje automático para analizar un mensaje de correo electrónico para obtener información confidencial.
     

  • Detectar etiquetas y otros metadatos que identifican explícitamente un archivo como confidencial.  

Cuando una herramienta DLP detecta que se están manejando datos confidenciales, busca infracciones de las políticas, comportamientos anómalos, vulnerabilidades del sistema y otros signos de posible pérdida de datos, como:   

  • Fugas de datos, como un usuario que intenta compartir un archivo confidencial con alguien fuera de la organización. 

  • Usuarios no autorizados que intentan acceder a datos críticos o realizar acciones no aprobadas, como editar, borrar o copiar un archivo confidencial. 

  • Firmas de malware, tráfico de dispositivos desconocidos u otros indicadores de actividad maliciosa.

Aplicación de protecciones de datos

Cuando las soluciones DLP detectan infracciones de las políticas, pueden responder con medidas correctoras en tiempo real. Algunos ejemplos son:  

  • Cifrado de datos a medida que circulan por la red
     

  • Terminar las transferencias de datos no autorizadas y bloquear el tráfico malicioso
     

  • Advertir a los usuarios de que están infringiendo las políticas
     

  • Marcar comportamientos sospechosos para que el equipo de seguridad los revise
     

  • Provocar problemas de autenticación adicionales antes de que los usuarios puedan interactuar con datos críticos

Algunas herramientas DLP también ayudan en la recuperación de datos, realizando copias de seguridad automáticas de la información para poder restaurarla tras una pérdida.  

Las organizaciones también pueden tomar medidas más proactivas para aplicar políticas DLP. Una gestión eficaz de la identidad y el acceso (IAM, por sus siglas en inglés), que incluya políticas de control de acceso basadas en funciones, puede restringir el acceso a los datos a las personas adecuadas.Formar a los empleados sobre los requisitos de seguridad de los datos y las mejores prácticas puede ayudar a evitar más pérdidas y filtraciones accidentales de datos antes de que se produzcan. 

Documentación y elaboración de informes sobre iniciativas DLP

Las herramientas DLP suelen incluir cuadros de mando y funciones de elaboración de informes que los equipos de seguridad pueden utilizar para supervisar los datos confidenciales en toda la red.Esta documentación permite al equipo de seguridad hacer un seguimiento del rendimiento del programa de DLP a lo largo del tiempo, de modo que las políticas y estrategias puedan ajustarse según sea necesario. 

Las herramientas DLP también pueden ayudar a las organizaciones a cumplir las normativas pertinentes manteniendo registros de sus iniciativas en materia de seguridad de datos.En caso de ciberataque o auditoría, la organización puede utilizar estos registros para demostrar que ha seguido los procedimientos de tratamiento de datos adecuados. 

DLP y cumplimiento normativo

Las estrategias de DLP suelen estar estrechamente alineadas con los esfuerzos de cumplimiento de normativas. Muchas organizaciones elaboran sus políticas de DLP específicamente para cumplir con normas como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).   

Los distintos reglamentos imponen normas diferentes para los distintos tipos de datos.Por ejemplo, la HIPAA establece normas para la información sanitaria personal, mientras que la PCI-DSS dicta cómo manejan las organizaciones los datos de las tarjetas de pago.Una empresa que recopila ambos tipos de datos probablemente necesitaría una política DLP separada para cada tipo a fin de cumplir con los requisitos de conformidad.   

Muchas soluciones de DLP incluyen políticas de DLP preescritas alineadas con las diversas normas de seguridad de datos que las empresas pueden necesitar cumplir. 

Soluciones relacionadas
IBM® Security® QRadar Suite

Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, gestión de registros, SIEM y SOAR, todo ello con una interfaz de usuario común, información compartida y flujos de trabajo conectados.

Explore QRadar Suite
IBM Security Guardium®

Proteja los datos confidenciales en las instalaciones y en la nube. IBM Security Guardium es una solución de seguridad de datos que se adapta a medida que cambia el entorno de amenazas, proporcionando visibilidad, conformidad y protección completas a lo largo del ciclo de vida de la seguridad de los datos.

Explore IBM Security Guardium

Soluciones de seguridad y protección de datos

Implementadas en local o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener mayor visibilidad e información de valor para investigar y corregir ciberamenazas, aplicar controles en tiempo real y gestionar la conformidad normativa.

Explorar las soluciones de seguridad y protección de datos
Recursos Coste de la vulneración de datos 2023

Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.

¿Qué es el ransomware?

El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para desencriptar y restaurar el acceso a los datos.

¿Qué es la SIEM?

SIEM (información de seguridad y gestión de eventos) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones empresariales.

Take the next step

Cybersecurity threats are becoming more advanced and more persistent, and demanding more effort by security analysts to sift through countless alerts and incidents. IBM Security QRadar SIEM helps you remediate threats faster while maintaining your bottom line. QRadar SIEM prioritizes high-fidelity alerts to help you catch threats that others simply miss.

Explore QRadar SIEM Book a live demo