DLP

hardening
control de datos
Email DLP Protección Correo
[DLP - ¿Qué es la prevención de pérdida de datos? Proofpoint ES](https://www.proofpoint.com/es/threat-reference/dlp)

[¿Qué es la prevención de pérdida de datos (DLP)?

Seguridad de Microsoft](https://www.microsoft.com/es-es/security/business/security-101/what-is-data-loss-prevention-dlp)

1. Conceptos Fundamentales de DLP

La Prevención de Pérdida de Datos (DLP) es un conjunto de técnicas, controles y procesos destinados a detectar, prevenir y monitorizar la exfiltración o uso indebido de información sensible en una organización.

Incluye protección frente a:

Filtración accidental o intencionada.
Uso indebido por empleados (negligente o malicioso).
Accesos no autorizados internos o externos.
Movimientos de datos no controlados entre aplicaciones, dispositivos o redes.

Tipos de DLP

Endpoint DLP: protege datos en dispositivos (copias, impresiones, USB, capturas de pantalla…).
Network DLP: inspección de tráfico (SMTP, HTTPS, FTP, APIs).
Storage / Cloud DLP: supervisa repositorios, SaaS, buckets, bases de datos.
Application DLP: integra políticas dentro de apps específicas (O365, GSuite, CRM, ERP…).
Behavioral DLP: combina DLP con análisis de comportamiento (UEBA).

2. Clasificación de Datos y Modelos

La eficacia del DLP depende de identificar y etiquetar la información crítica:

Reglas de Identificación

Datos sensibles: PII, PCI, PHI, secretos comerciales.
Datos regulados: GDPR, HIPAA, SOX, ENS.
Datos internos: propiedad intelectual, proyectos, código fuente.
Datos operativos: configuración, logs críticos, infraestructura.

Técnicas de Clasificación

Basada en contenido: patrones, expresiones regulares, diccionarios.
Basada en contexto: origen, aplicación, usuario, dispositivo.
Clasificación automática: ML, NLP y modelos adaptables.
Clasificación manual: etiquetado por usuario.

3. Patrones y Reglas de Detección

El corazón de un sistema DLP bien diseñado.

Patrones Comunes

RegEx avanzados (PII, tarjetas, IBAN, NIF).
Fingerprinting: huellas de documentos completos.
Exact Data Matching (EDM): coincidencias con bases de datos internas.
Partial Document Matching (PDM).
Clasificadores ML para contenido no estructurado.

Controles por Contexto

Aplicación usada
Usuario y rol
Dispositivo (corporativo / personal)
Red (VPN, corporativa, pública)
Acción: copiar, pegar, subir, imprimir, compartir, adjuntar

4. Alertas, Notificaciones y Playbooks

Tipos de Alertas

Alertas de severidad (baja, media, crítica).
Alertas por volumen anormal de datos salientes.
Alertas por patrones detectados.
Alertas por comportamiento atípico del usuario.
Bloqueos preventivos o cautelares.

Playbooks Automáticos

Bloqueo de transferencia.
Cifrado automático.
Solicitud de justificación.
Escalado a seguridad o compliance.
Activación de análisis UEBA.

5. DLP y Redes / Infraestructura

Protecciones en Red

Monitoreo de tráfico saliente con inspección profunda.
Proxy + CASB para inspección de HTTPS.
Control de tráfico hacia dominios no autorizados.
Integración con firewalls de nueva generación.

En Infraestructura

Control en servidores, repositorios, GitOps.
Detección de exfiltración a través de logs o endpoints.
DLP aplicado a backups, snapshots y entornos de desarrollo.

6. Monitoring del Usuario (UEBA + DLP)

La convergencia DLP + UEBA potencia la precisión y reduce falsos positivos.

Comportamientos Monitorizables

Acceso inusual a grandes volúmenes.
Picos de actividad fuera de horario.
Movimientos extraños entre repositorios.
Patrones de compresión o cifrado no autorizados.
Conexiones remotas inesperadas.

Acciones Automáticas

Aumento dinámico de restricciones.
Sesión bajo observación.
Limitación de permisos temporal.

7. Integración del DLP en el hardening

Estrategias de Hardening Relevantes

Minimización de permisos (RBAC).
Cifrado en tránsito y reposo.
Segmentación de redes.
Políticas Zero Trust.
Control de endpoints (EDR + DLP).
Reglas de firewall y DNS controlado.
Protección del canal USB y dispositivos externos.
Monitoreo y auditorías continuas.

Ciclo de Hardening con DLP

Descubrimiento → Clasificación → Protección → Monitorización → Respuesta → Mejora.

8. Arquitectura de un Sistema DLP Moderno

Componentes Clave

Motor de Clasificación
Analizador de Contenido
Agentes Endpoint
Sensores de Red
Integración con CASB / EDR / SIEM
Gestión de Políticas
Motor de Alertas y Respuesta
Dashboard unificado

Flujo General

Se observa la acción del usuario o movimiento de datos.
El motor compara con patrones, reglas y contexto.
Se evalúan políticas activas.
Se decide permitir, alertar, bloquear o cifrar.
Se registra la actividad en el SIEM.
Se genera un playbook si es necesario.

9. Implementación Práctica (Guía Base)

Checklist Inicial

Inventario de datos.
Clasificación por criticidad.
Selección de flujos prioritarios.
Integración con aplicaciones clave (correo, SaaS, endpoints).
Definir roles y responsables.

Controles Recomendados

Políticas específicas por departamento.
Alertas de volumen y anomalías.
Restricciones graduales por riesgo.
Revisión mensual de políticas.
Test de exfiltración controlada.

10. DLP en Correo Electrónico (Email DLP Protección Correo)

Riesgos Clave

Adjuntos indebidos
Auto-forwarding a dominios externos
Copias a cuentas personales
Fugas por enlaces compartidos
Exfiltración a través de archivos comprimidos

Controles y Políticas Recomendadas

Bloqueo o revisión de adjuntos con datos sensibles.
Justificación obligatoria para dominios externos.
Inspección de contenido automático antes del envío.
Clasificación del correo según sensibilidad.
Reglas anti-phishing + spoofing.

11. Herramientas, Frameworks y Estándares

Herramientas DLP Populares

Microsoft Purview DLP
Symantec / Broadcom DLP
Proofpoint Enterprise DLP
Forcepoint DLP
McAfee / Trellix DLP
Zscaler + CASB integrado

Frameworks y Estándares

NIST 800-53 (familia AC y MP).
NIST 800-171 para protección de CUI.
ISO/IEC 27001 & 27002 (A.8, A.12).
GDPR / ENS / PCI-DSS según sector.
MITRE ATT&CK (Tactic Exfiltration) para mapear amenazas.

Mapas de Equivalencia entre Controles

Acceso mínimo → ISO A.9 / NIST AC-6 / PCI 7
Monitoreo → ISO A.12 / NIST AU-6 / ENS OPS
Protección de datos → ISO A.8 / NIST MP-5 / GDPR Art. 32
Segmentación → NIST SC-7 / ISO A.13

12. Modelo de Políticas DLP (Estructura)

Niveles

Bajo riesgo: advertencias suaves
Medio riesgo: solicitud de justificación
Alto riesgo: bloqueo
Crítico: alerta + escalado automático

Política Base (Plantilla)

Tipo de dato protegido
Patrón de detección
Acción permitida
Acción bloqueada
Umbrales y condiciones
Escalado y auditoría
Responsables de revisión

13. Ejemplos de Políticas en Pseudocódigo

Bloque de Código — RegEx para PCI (Ejemplo)

Identificación de Tarjetas de Crédito

\b(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14}|3[47][0-9]{13})\b

Bloque de Código — Política Simplificada

Política de Envío Externo con Datos Sensibles

{
	"policy": "Enviar a dominio externo",
	"conditions": [
		{"pattern": "PII", "threshold": 1},
		{"action": "email_send"}
	],
	"response": "block_and_notify"
}

14. Buenas Prácticas Operativas

Revisar reglas cada trimestre.
Evitar reglas demasiado amplias.
Documentar excepciones.
Incluir métricas de efectividad.
Integrar SIEM + SOAR para automatizar respuestas.
Mantener formaciones recurrentes a usuarios.

15. Expansión: Tendencias Modernas en DLP

DLP basado en IA, capaz de identificar contenido no estructurado.
Uso de Large Language Models para evaluar contexto.
DLP en DevOps para evitar fugas en pipelines y repositorios.
Tokenización como alternativa al cifrado para minimizar impacto.
DLP descentralizado aplicado a dispositivos IoT e ICS.