Hay tres familias de DLP: en endpoint (agentes que controlan USB, copy-paste, impresión, subidas a web), en correo y mensajería (filtros que escanean salientes), y en red/cloud (proxies y CASB que controlan tráfico hacia SaaS y servicios externos).
Qué es DLP
DLP (Data Loss Prevention, o Data Leak Prevention) es el conjunto de tecnologías, políticas y procesos cuyo objetivo es detectar y bloquear la salida no autorizada de información sensible: datos personales, propiedad intelectual, código fuente, secretos comerciales, información financiera o cualquier dato clasificado. Opera identificando contenido por patrón (números de tarjeta, DNI, clínicos), por etiqueta (sensitivity labels) o por análisis contextual, y aplicando reglas de bloqueo, alerta o cuarentena cuando ese contenido intenta salir por correo, endpoint, cloud o red.
Por qué importa
Bajo RGPD, la fuga de datos personales puede generar sanciones hasta el 4% de la facturación global. Bajo NIS2 y DORA, las obligaciones de notificación se disparan con cualquier incidente que afecte a confidencialidad de información crítica. Bajo PCI DSS, la fuga de datos de tarjeta es directamente terminal para el negocio. Pero más allá del cumplimiento, las fugas internas no son menos comunes que los ataques externos: un empleado que se descarga la cartera de clientes antes de irse a la competencia es un caso real, frecuente, y resoluble solo con controles de DLP bien planteados. Es uno de los controles que más explícitamente mira ISO 27001 (anexo A.8.12).
Puntos clave
La clasificación previa de datos es prerrequisito. Sin saber qué es "sensible" en tu organización, las reglas DLP genéricas generan falsos positivos masivos. Etiquetar documentos sensibles antes ahorra trabajo después.
Modo bloqueo vs alerta: empezar siempre en modo alerta+log, medir falsos positivos durante 4-8 semanas y solo después subir a bloqueo en políticas específicas. Bloquear desde el día uno genera resistencia y bypass creativo.
DLP + CASB + IAM son la tríada habitual para proteger datos en SaaS. DLP detecta, CASB controla el contexto de uso, IAM cierra el acceso.
Ejemplo: bloqueo de exfiltración a Gmail personal
Un empleado intenta subir un fichero Excel con 12.000 registros de clientes (nombre, correo, teléfono, importe facturado) a su Gmail personal desde el navegador del portátil corporativo. El agente DLP en endpoint detecta el archivo, lo analiza, identifica patrón de "lista de clientes con PII" (varias columnas con campos sensibles) y aplica regla: bloqueo + notificación + ticket al SOC. El empleado ve un mensaje explicativo, el equipo de seguridad y compliance se entera en tiempo real, queda registro del intento. Sin DLP, los datos habrían salido sin trazabilidad, y la detección posterior habría requerido auditoría de tráfico saliente y suerte.
Errores habituales
- Comprar DLP sin haber clasificado datos primero. Una regla DLP necesita saber qué es lo que protege. Sin clasificación previa, se genera ruido sin valor.
- Limitarse a DLP en correo. Hoy la fuga ocurre cada vez más por SaaS (Google Drive, Slack, GitHub), descarga a USB, captura de pantalla y prompts a IA generativa. Hay que cubrir todos los canales con sentido.
- No formar a usuarios. Un bloqueo DLP sin explicación se siente como obstáculo y genera bypass. Un bloqueo con mensaje contextual ('este fichero contiene PII clasificada confidencial; usa la carpeta autorizada') reduce fricción.
- Confundir DLP con cifrado. El cifrado protege en reposo y tránsito si el dato sale por canales autorizados. DLP decide si el dato puede salir o no. Son capas distintas que se complementan.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿DLP cubre la fuga por prompts a IA generativa (ChatGPT, Copilot, etc.)?
Sí, en arquitecturas modernas. Los DLP de nueva generación detectan envío de información sensible a interfaces de IA generativa pública y aplican política (bloqueo, anonimización, ruta hacia versión enterprise autorizada). Es uno de los casos de uso de mayor crecimiento en 2025-2026.
¿Es viable DLP sin proyecto de clasificación de datos previo?
Da resultados muy limitados. Es posible empezar con reglas básicas (patrones de tarjeta, DNI, IBAN) sin clasificación, pero para una cobertura útil hay que clasificar antes los activos sensibles. Ambos proyectos suelen ejecutarse en paralelo.
¿Cuál es la diferencia entre DLP y CASB?
DLP es la disciplina y motor que decide qué se considera sensible y qué hacer con ello. CASB es el punto de control específico para servicios cloud/SaaS. Un CASB puede aplicar reglas DLP en el contexto de uso de una SaaS concreta (quién, desde dónde, con qué dispositivo).