¿Qué es la prevención de pérdida de datos (DLP)?

Los datos son un diferenciador competitivo para muchos negocios. Una red corporativa típica contiene un tesoro de secretos comerciales, registros de ventas, datos personales de los clientes y otra información confidencial. Los hackers se dirigen a estos datos y las organizaciones a menudo tienen dificultades para mantener seguros sus datos críticos.

Mientras tanto, cientos, si no miles, de usuarios autorizados acceden a los datos empresariales a través del almacenamiento de información en la nube y repositorios on-premises todos los días. Prevenir la pérdida de datos y facilitar el acceso autorizado es una prioridad para la mayoría de las organizaciones.

La prevención de pérdida de datos (DLP) ayuda a las organizaciones a detener las fugas y pérdidas de datos mediante el seguimiento de los datos en toda la red y la aplicación de políticas de seguridad sobre esos datos. Los equipos de seguridad intentan garantizar que solo las personas adecuadas puedan acceder a los datos correctos por las razones correctas.

Una solución DLP inspecciona los paquetes de datos a medida que circulan por una red, detectando el uso de información confidencial como números de tarjetas de crédito, datos de atención médica, registros de clientes y propiedad intelectual. De este modo, las organizaciones pueden aplicar los controles de acceso y las políticas de uso adecuados a cada tipo de datos.

Los datos corren peligro independientemente de dónde estén almacenados, por lo que la protección de la información es una prioridad importante para una organización. El costo de un fallo puede ser elevado. El Informe del costo de una filtración de datos de IBM más reciente reveló que el costo promedio mundial de una filtración de datos aumentó en un 10 % con respecto al año anterior, alcanzando 4.88 millones de dólares, el mayor aumento desde la pandemia.

La información de identificación personal (PII), en particular, es muy valiosa para los ladrones y, a menudo, es un objetivo. El Informe del costo de una filtración de datos también reveló que casi la mitad de las filtraciones afectaron a PII de clientes, que puede incluir números de identificación fiscal (NIF), correos electrónicos, números de teléfono y direcciones particulares. Los registros de propiedad intelectual (IP) ocupan el segundo lugar con un 43 % de las filtraciones.

Proteger los datos es cada vez más difícil porque los datos de una organización pueden ser empleados o almacenados en múltiples formatos, en múltiples ubicaciones, por diversos stakeholders en todas las organizaciones. Además, es posible que diferentes conjuntos de datos deban seguir diferentes reglas basadas en niveles de confidencialidad o regulaciones de privacidad de datos relevantes.

Las políticas y herramientas de DLP ayudan a las organizaciones a proteger monitoreando cada dato en toda la red en los tres estados: en uso, en movimiento y en reposo.

• Datos en uso: es cuando se accede a los datos, se procesan, se actualizan o se eliminan. Por ejemplo, los datos de una organización empleados para análisis o cálculos o un documento de texto editado por un usuario final.

• Datos en movimiento: También conocidos como datos en tránsito, esto implica que los datos se muevan a través de una red, como ser transmitidos por un servidor de transmisión de eventos o una aplicación de mensajería, o movidos entre redes. Los datos en movimiento son los menos seguros de los tres estados y requieren atención especial.

• Datos en reposo: Se trata de datos almacenados en una unidad en la nube, en un disco duro local o en un archivo. Por lo general, los datos en reposo son más fáciles de proteger, pero sigue siendo necesario adoptar medidas de seguridad. Los datos en reposo pueden verse comprometidos por un acto tan simple como que alguien tome una memoria USB de un escritorio desatendido.

Idealmente, la solución de prevención de pérdida de datos de una organización puede monitorear todos los datos en uso, en movimiento y en reposo para toda la variedad de software en uso. Por ejemplo, agregar protección DLP para archivado, aplicaciones de business intelligence (BI), correo electrónico, equipos y sistemas operativos como macOS y Microsoft Windows.

Los eventos de pérdida de datos a menudo se describen como filtraciones de datos, fuga de datos o exfiltración de datos. Los términos a menudo se utilizan indistintamente, pero tienen significados diferentes.

• Filtración de datos: una filtración de datos es cualquier incidente de seguridad que da como resultado el acceso no autorizado a información confidencial o sensible. Esto incluye cualquier ataque cibernético u otro incidente de seguridad en el que partes no autorizadas obtengan acceso a datos o información confidencial.

• Fuga de datos: Se trata de la exposición accidental de datos sensibles o información confidencial al público. La fuga de datos puede deber a una vulnerabilidad de seguridad técnica o a un error de seguridad de procedimiento y puede incluir tanto transferencias electrónicas como físicas.

• Exfiltración de datos: la exfiltración se refiere al robo de datos. Se trata de cualquier robo cuando un atacante mueve o copia los datos de otra persona en un dispositivo bajo el control del atacante. Toda exfiltración de datos requiere una fuga o filtración de datos, pero no todas las fugas o filtraciones de datos llevan a la exfiltración de datos.

Algunas pérdidas se producen por simples errores, mientras que otras son causadas por ciberataques como los ataques de denegación distribuida del servicio (DDoS) y la suplantación de identidad. Casi cualquier pérdida de datos puede causar importantes trastornos en la empresa.

Algunas de las causas más comunes de pérdida de datos incluyen:

• Error humano e ingeniería social
  
• Amenazas internas
• Malware
• Amenazas físicas
• Vulnerabilidades de seguridad
• Robo de teléfonos inteligentes o PC
• Credenciales débiles o robadas

Los ladrones de datos utilizan tácticas que engañan a las personas para que compartan datos que no deberían compartir. La ingeniería social puede ser tan ingeniosa como un ataque de phishing que convence a un empleado de que envíe por correo electrónico datos confidenciales, o tan engañosa como dejar una unidad flash USB infectada con malware donde un empleado pueda encontrarla y conectarla a un dispositivo proporcionado por la organización.

Por otro lado, el error humano puede ser tan simple como dejar un teléfono inteligente en una caja registradora o borrar archivos por error.

Los usuarios autorizados (incluidos empleados, contratistas, stakeholders y proveedores) podrían poner en riesgo los datos por descuido o intenciones maliciosas.

Los usuarios internos maliciosos suelen estar motivados por un beneficio personal o por un agravio hacia la empresa. Las amenazas de usuarios internos pueden ser involuntarias y tan simples como el descuido de no actualizar las contraseñas, o tan peligrosas como exponer datos empresariales confidenciales mientras se emplea la IA generativa (IA) disponible públicamente (gen AI).  
Los ataques de usuarios internos maliciosos son comunes y costosos. El  Informe del costo de una filtración de datos  de IBM más reciente encontró que, en comparación con otros vectores, los ataques de usuarios internos maliciosos resultaron en los costos más altos, con un promedio de 4.99 millones de dólares.

Se trata de un software creado específicamente para dañar un sistema informático o a sus usuarios. La forma más conocida de malware que amenaza los datos es el ransomware, que encripta los datos para que no se pueda acceder a ellos y exige el pago de un rescate por la clave de descifrado. A veces, los atacantes incluso piden un segundo pago para evitar que los datos se filtren o se compartan con otros delincuentes cibernéticos.

Dependiendo de qué tan bien se respalden los datos de una organización, un mal funcionamiento de la unidad de disco duro puede ser catastrófico. La causa podría ser un bloqueo del cabezal o una corrupción del software. Derramar una bebida refrescante en la oficina (café, té, refresco o agua) podría provocar un cortocircuito en la placa del sistema de una PC, y casi nunca hay un momento conveniente. Una interrupción en el suministro de energía puede apagar los sistemas en el momento equivocado o en el peor momento, lo que podría interrumpir el ahorro de trabajo o interrumpir las transmisiones.

Las vulnerabilidades son debilidades o fallas en la estructura, el código o la implementación de una aplicación, dispositivo, red u otro activo de TI que los hackers pueden explotar. Estos incluyen errores de programación, errores de configuración, vulnerabilidades de día cero (debilidades desconocidas o aún sin parches) o software desactualizado, como una versión anterior de MS Windows.

Cualquier dispositivo digital que se deje desatendido (en un escritorio, automóvil o asiento de colectivo) puede ser un objetivo tentador y otorgar al ladrón acceso a una red y permiso para acceder a los datos. Incluso si el ladrón solo quiere vender el equipamiento por dinero en efectivo, la organización sigue sufriendo la interrupción de cerrar el acceso a ese dispositivo y reemplazarlo.

Esto incluye contraseñas que los hackers pueden adivinar fácilmente, o contraseñas u otras credenciales (por ejemplo, tarjetas de identificación) que los hackers o delincuentes cibernéticos podrían robar.

Las políticas de DLP pueden cubrir varios temas, como la clasificación de datos, los controles de acceso, los estándares de cifrado, las prácticas de retención y eliminación de datos, los protocolos de respuesta a incidentes y los controles técnicos, como cortafuegos, sistemas de detección de intrusiones y software antivirus.

Un beneficio importante de las políticas de protección de datos es que establecen normas claras. Los empleados conocen sus responsabilidades para salvaguardar la información confidencial y, a menudo, reciben capacitación sobre prácticas de seguridad de datos, como la identificación de intentos de phishing, el manejo seguro de información confidencial y la notificación inmediata de incidentes de seguridad.

Además, las políticas de protección de datos pueden mejorar la eficiencia operativa al ofrecer procesos claros para las actividades relacionadas con los datos, como las solicitudes de acceso, el aprovisionamiento de usuarios, los informes de incidentes y las auditorías de seguridad.

En lugar de redactar una sola política para todos los datos, los equipos de seguridad de la información suelen crear diferentes políticas para los diferentes tipos de datos en sus redes. Esto se debe a que los diferentes tipos de datos a menudo necesitan ser manejados de manera diferente para diferentes casos de uso para satisfacer las necesidades de cumplimiento de normas y evitar interferir con el comportamiento aprobado de los usuarios finales autorizados.

Por ejemplo, la información de identificación personal (PII), como números de tarjetas de crédito, números de seguro social y direcciones de domicilio y correo electrónico, está sujeta a las regulaciones de seguridad de datos que dictan un manejo adecuado.

Sin embargo, la empresa puede hacer lo que desee con su propia propiedad intelectual (PI). Además, las personas que necesitan acceder a la PII pueden no ser las mismas que necesitan acceder a la propiedad intelectual de la empresa.

Ambos tipos de datos necesitan ser protegidos, pero de maneras diferentes; por lo tanto, se necesitan políticas de DLP distintas adaptadas a cada tipo de datos.

Las organizaciones emplean soluciones de DLP para monitorear las actividades de la red, identificar y etiquetar los datos y aplicar las políticas de DLP para evitar usos indebidos o robos.

Existen tres tipos principales de soluciones de DLP:

• DLP de red
• DLP de endpoint
• DLP en la nube

Las soluciones DLP de red se centran en cómo se mueven los datos a través de, en y fuera de una red. Suelen emplear IA y machine learning (ML) para detectar flujos de tráfico anómalos que podrían indicar una fuga o pérdida de datos. Si bien las herramientas DLP de red están diseñadas para monitorizar los datos en movimiento, muchas también ofrecen visibilidad de los datos en uso y en reposo en la red.

Las herramientas DLP de endpoint supervisan la actividad en computadoras portátiles, servidores, dispositivos móviles y otros dispositivos que acceden a la red. Estas soluciones se instalan directamente en los dispositivos que supervisan y pueden impedir que los usuarios realicen acciones prohibidas en ellos. Algunas herramientas DLP de endpoint también pueden bloquear las transferencias de datos no aprobadas entre dispositivos.

Las soluciones de seguridad en la nube se centran en los datos almacenados y a los que acceden los servicios en la nube. Pueden escanear, clasificar, supervisar y cifrar datos en repositorios en la nube. Estas herramientas también pueden ayudar a aplicar políticas de control de acceso a usuarios finales individuales y a cualquier servicio en la nube que pueda tener acceso a los datos de la empresa.

Las organizaciones pueden optar por utilizar un tipo de solución o una combinación de varias soluciones, dependiendo de sus necesidades y cómo se almacenan sus datos. El objetivo para todos sigue siendo claro: defender todos los datos confidenciales.

Los equipos de seguridad suelen seguir un proceso de 4 pasos a lo largo del ciclo de vida de los datos para poner en práctica las políticas de DLP con la ayuda de herramientas de DLP:

• Identificación y clasificación de datos
  
• Supervisión de datos
• Aplicación de protecciones de datos
• Documentación e informes de los esfuerzos de DLP

En primer lugar, la organización cataloga todos sus datos estructurados y no estructurados.

• Los datos estructurados son datos con un formato estandarizado, como un número de tarjeta de crédito. Por lo general, están claramente etiquetados y almacenados en una base de datos.
  
  
• Los datos no estructurados son información de forma libre, como documentos de texto o imágenes, que pueden no estar perfectamente organizados en una base de datos central. 

Los equipos de seguridad suelen emplear herramientas de DLP para escanear toda la red y descubrir datos dondequiera que estén almacenados: en la nube, en dispositivos de punto final físicos, en dispositivos personales de los empleados y en otros lugares.

A continuación, la organización clasifica esos datos, clasificándolos en grupos según el nivel de confidencialidad y las características compartidas. La clasificación de datos permite a la organización aplicar las políticas DLP adecuadas a los tipos correctos de datos.

Por ejemplo, algunas organizaciones pueden agrupar los datos en función del tipo, como datos financieros, datos de marketing o propiedad intelectual. Otras organizaciones pueden agrupar los datos en función de las normativas pertinentes, como el Reglamento General de Protección de Datos (RGPD) o la California Consumer Privacy Act.

Muchas soluciones DLP pueden automatizar la clasificación de datos. Estas herramientas emplean IA, machine learning y coincidencia de patrones para analizar datos estructurados y no estructurados para determinar qué tipo de datos son, si son confidenciales y qué políticas deben aplicar.

Una vez clasificados los datos, el equipo de seguridad supervisa cómo se manejan. Las herramientas DLP pueden usar varias técnicas para identificar y rastrear los datos confidenciales que se están utilizando. Estas técnicas incluyen: 

• Análisis de contenido, como el uso de IA y machine learning para analizar un mensaje de correo electrónico en busca de información confidencial.
  
  
• Coincidencia de datos, como la comparación del contenido del archivos con datos confidenciales conocidos.
  
  
• Detectar etiquetas, tags y otros metadatos que identifican explícitamente un archivo como confidencial. A veces se le llama “huella digital de datos.” 
  
  
• Coincidencia de archivos, donde una herramienta DLP compara los hashes (las identidades de los archivos) de los archivos protegidos.
  
  
• Coincidencia de palabras clave, donde DLP busca palabras clave que se encuentran a menudo en datos confidenciales.
  
  
• Coincidencia de patrones, como buscar datos que sigan un determinado formato. Por ejemplo, una tarjeta American Express siempre tendrá un número de 15 dígitos y comenzará con "3". Pero no todos esos números son para AmEx, por lo que una solución DLP también puede buscar el nombre corporativo, la abreviatura o una fecha de vencimiento cercana.

Cuando una herramienta DLP encuentra datos confidenciales, busca violaciones de políticas, comportamiento anormal del usuario, vulnerabilidades del sistema y otros signos de posible pérdida de datos, incluidos: 

• Fugas de datos, como cuando un usuario intenta compartir un archivo confidencial con alguien fuera de la organización.
  
  
• Usuarios no autorizados que intentan acceder a datos críticos o realizar acciones no aprobadas, como editar, borrar o copiar un archivo sensible.
  
  
• Firmas de malware, tráfico de dispositivos desconocidos u otros indicadores de actividad maliciosa.

 

Cuando las soluciones de DLP detectan infracciones de políticas, pueden responder con esfuerzos de corrección en tiempo real. Ejemplos incluyen: 

• Cifrar datos a medida que se mueve a través de la red.
  
  
• Terminar el acceso no autorizado a los datos.
  
  
• Bloqueo de transferencias no autorizadas y tráfico malicioso.
  
  
• Advertir a los usuarios que están infringiendo las políticas.
  
  
• Marcar comportamientos sospechosos para que el equipo de seguridad los revise.
  
  
• Generar más desafíos de autenticación antes de que los usuarios puedan interactuar con datos críticos.
  
  
• Hacer cumplir el acceso con privilegios mínimos a los recursos, como en un entorno de confianza cero.

Algunas herramientas de DLP también ayudan con la recuperación de datos, haciendo copias de seguridad automáticas de la información para que pueda restaurarse después de una pérdida.

Las organizaciones también pueden tomar medidas más proactivas para hacer cumplir las políticas de DLP. Una gestión de identidad y acceso (IAM) eficaz, incluidas las políticas de control de acceso basadas en roles, pueden restringir el acceso a los datos a las personas adecuadas. Capacitar a los empleados sobre los requisitos de seguridad de datos y las mejores prácticas puede ayudar a prevenir pérdidas y fugas accidentales de datos antes de que ocurran. 

Las herramientas de DLP suelen contar con paneles e informes que los equipos de seguridad utilizan para supervisar datos sensibles en toda la red. Esta documentación permite al equipo de seguridad realizar un seguimiento del rendimiento del programa de DLP con el transcurso del tiempo para que las políticas y estrategias se puedan ajustar según sea necesario. 

Las herramientas de DLP también pueden ayudar a las organizaciones a cumplir con las regulaciones relevantes al mantener registros de sus esfuerzos de seguridad de datos. En caso de un ciberataque o auditoría, la organización puede utilizar estos registros para demostrar que siguió los procedimientos de manejo de datos adecuados.

Las estrategias de DLP suelen estar alineadas con los esfuerzos de cumplimiento. Muchas organizaciones elaboran sus políticas DLP específicamente para cumplir con regulaciones como el Reglamento General de Protección de Datos (RGPD), la California Consumer Privacy Act, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). 

Las diferentes regulaciones imponen diferentes estándares para diferentes tipos de datos. Por ejemplo, la HIPAA establece reglas para la información de salud personal, mientras que la PCI DSS dicta cómo deben manejar las organizaciones los datos de las tarjetas de pago. Es probable que una empresa que recopila ambos tipos de datos necesite una política de DLP separada para cada tipo a fin de satisfacer los requisitos de cumplimiento.

Muchas soluciones de DLP incluyen políticas de DLP prescritas alineadas con los diversos estándares de seguridad y privacidad de datos que las empresas deben cumplir.

Desde el auge de la IA generativa hasta las regulaciones emergentes, varios factores están cambiando el escenario de los datos. A su vez, las políticas y herramientas de DLP deberán evolucionar para satisfacer estos cambios. Algunas de las tendencias más significativas en DLP incluyen:

• Entornos híbridos y multinube
• IA generativa
• Mayor regulación
• Fuerza laboral móvil y trabajo remoto
• TI en la sombra y datos ocultos

Muchas organizaciones ahora almacenan datos on-premises y en múltiples nubes, posiblemente incluso en múltiples países. Estas medidas pueden agregar flexibilidad y ahorro de costos, pero también aumentan la complejidad de la protección de esos datos.

Por ejemplo, el Informe del costo de una filtración de datos encontró que el 40 % de las filtraciones ocurren en organizaciones que almacenan sus datos en múltiples entornos.

Los modelos de lenguaje grandes (LLM) son, por definición, grandes y consumen cantidades masivas de datos que las organizaciones deben almacenar, rastrear y proteger contra amenazas, como las inyecciones de instrucción. Gartner pronosticó que “Para 2027, el 17 % del total de los ciberataques/fugas de datos involucrarán IA generativa”.¹

Con las grandes filtraciones de datos y los abusos de las redes sociales, aumentan los llamados a la regulación del gobierno y de las industrias, lo que puede aumentar la complejidad de los sistemas y las verificaciones de cumplimiento. Desarrollos recientes, como la Ley de IA de la UE y el proyecto de reglas de la CCPA sobre la IA, están imponiendo algunas de las reglas de privacidad de datos más estrictas hasta la fecha.

Gestionar datos dentro de un edificio o red es más sencillo que proporcionar acceso al sistema a una fuerza laboral móvil o trabajadores remotos, donde los problemas de comunicación y acceso multiplican los esfuerzos requeridos del personal de TI.

Además, los trabajadores remotos a veces tienen múltiples empleadores o contratos, por lo que los “cables cruzados” pueden crear más fugas de datos. Gartner predice que “para fines de 2026, la democratización de la tecnología, la digitalización y la automatización del trabajo aumentarán el mercado total disponible de trabajadores totalmente remotos e híbridos al 64 % de todos los empleados, frente al 52 % en 2021”.¹

Dado que los empleados usan cada vez más hardware y software personal en el trabajo, esta TI en la sombra no gestionada crea un riesgo importante para las organizaciones.

Los empleados pueden estar compartiendo archivos de trabajo en una cuenta personal de almacenamiento en la nube, reunirse en una plataforma de videoconferencia no autorizada o crear un chat grupal no oficial sin la aprobación de TI. Las versiones personales de Dropbox, Google Drive y Microsoft OneDrive pueden crear problemas de seguridad para el equipo de TI.

Las organizaciones también están lidiando con un aumento de datos ocultos, es decir, datos en la red empresarial que el departamento de TI no conoce ni gestiona. La proliferación de datos ocultos es uno de los principales contribuyentes a las filtraciones de datos. Según el Informe del costo de una filtración de datos, el 35 % de las filtraciones involucran datos ocultos.