¿Qué es Data Loss Prevention (DLP)?
Definición según Gartner: "Data Loss Prevention (DLP) es un conjunto de estrategias y productos que ayudan a las organizaciones a evitar que los usuarios envíen información sensible o crítica fuera de la red corporativa."
Data Loss Prevention (DLP) es un conjunto de tecnologías, políticas y procedimientos diseñados para detectar y prevenir la fuga, filtración o acceso no autorizado a datos confidenciales, ya sea por acción intencional, negligencia o ataque externo.
Diferencia clave: DLP no es solo una herramienta, sino una estrategia integral que combina personas, procesos y tecnología para proteger los activos de información en todo su ciclo de vida.
Estadísticas y contexto actual
Datos clave 2024-2025:
- El 74% de las organizaciones han sufrido al menos una fuga de datos en los últimos 12 meses
- El 63% de las filtraciones son causadas por empleados (intencionales o accidentales)
- El costo promedio de una violación de datos alcanza los $4.45 millones
- Las organizaciones tardan en promedio 207 días en identificar una violación
Ciclo de vida de los datos
1
Fases del ciclo de vida según NIST
| Fase | Descripción | Controles recomendados | Creación | Generación de nuevos datos | Clasificación automática |
|---|---|---|
| Almacenamiento | Persistencia en repositorios | Cifrado en reposo |
| Uso | Procesamiento y manipulación | Monitorización de usuarios |
| Compartición | Transferencia a terceros | DLP de red |
| Destrucción | Eliminación segura | Borrado seguro |
Tipos de soluciones DLP
1
Clasificación por punto de control
| Tipo | Ubicación | Qué protege |
|---|---|---|
| DLP de Red | Gateway, firewalls | Tráfico saliente (email, web) |
| DLP de Endpoint | Estaciones de trabajo | Dispositivos USB, impresión |
| DLP de Almacenamiento | Repositorios, NAS | Datos en reposo |
| DLP en la Nube (CASB) | SaaS, IaaS | Datos en aplicaciones cloud |
Técnicas de prevención y detección
1
Métodos de análisis de contenido
| Método | Ventajas | Desventajas |
|---|---|---|
| Patrones RegEx | Rápido, fácil | Falsos positivos |
| Huellas digitales | Preciso | No detecta similares |
| Machine Learning/IA | Adaptativo | Requiere entrenamiento |
2
Categorías de información sensible
- PII (Personally Identifiable Information): Nombres, direcciones, DNI, emails
- PHI (Protected Health Information): Historias clínicas (protegido por HIPAA)
- PCI (Payment Card Industry): Números de tarjetas, CVV
- Propiedad Intelectual: Código fuente, secretos comerciales
- Credenciales: Contraseñas, claves API, tokens
Marco normativo y cumplimiento
| Normativa | Artículo/Control | Requisito DLP |
|---|---|---|
| ISO 27001:2022 | A.8.12 | Prevención de pérdida de datos |
| GDPR | Artículo 32 | Medidas técnicas para proteger datos |
| PCI DSS v4.0 | Requisito 3 | Protección de datos de tarjetas |
Laboratorio práctico: Implementación DLP
Escenario del laboratorio: Una empresa necesita implementar medidas DLP para proteger información de clientes (PII), propiedad intelectual y credenciales.
1
Configuración del entorno
Configuración inicial
$ mkdir -p ~/dlp_lab/{datos_sensibles,monitoreo,logs}
$ cd ~/dlp_lab
$ sudo apt install -y tcpdump ngrep ripgrep auditd
2
Clasificación automática de datos
Script de clasificación
$ # Crear datos de prueba con información sensible
$ echo "DNI: 12345678A" > datos_sensibles/clientes.txt
$ echo "Tarjeta: 4532123456789012" > datos_sensibles/tarjetas.txt
$ echo "API_KEY=sk_live_1234567890" > datos_sensibles/config.env
$ grep -r -E "\b[0-9]{8}[A-Z]\b" datos_sensibles/
DNI: 12345678A
$ grep -r -E "\b(4[0-9]{12}(?:[0-9]{3})?)\b" datos_sensibles/
Tarjeta: 4532123456789012
3
Monitoreo de tráfico de red
Detección en tiempo real
$ # Monitorear tráfico para contraseñas
$ sudo ngrep -d eth0 -W byline "password" tcp
$ # Monitorear tráfico para emails (posible PII)
$ sudo ngrep -d eth0 -W byline "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}"
4
Detección de exfiltración de datos
Script de detección
$ # Verificar conexiones salientes inusuales
$ ss -tunap | grep ESTAB | grep -v ":80\|:443\|:22"
$ # Verificar puertos no estándar
$ sudo lsof -i -P -n | grep LISTEN | grep -v ":80\|:443\|:22"
5
Controles de prevención
Prevención de exfiltración
$ # Limitar puertos de salida en firewall
$ sudo ufw default deny outgoing
$ sudo ufw allow out 53,80,443,22
$ # Bloquear dominios de exfiltración comunes
$ echo "0.0.0.0 pastebin.com" | sudo tee -a /etc/hosts
$ echo "0.0.0.0 transfer.sh" | sudo tee -a /etc/hosts
Cheatsheet: Comandos esenciales DLP
Resumen rápido DLP
╔═══════════════════════════════════════════════════════════════════════╗
║ CLASIFICACIÓN DE DATOS ║
╚═══════════════════════════════════════════════════════════════════════╝
$ grep -r -E "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}" /ruta # Buscar emails
$ grep -r -E "\b[0-9]{8}[A-Z]\b" /ruta # Buscar DNI
$ grep -r -E "\b(4[0-9]{12}(?:[0-9]{3})?)\b" /ruta # Buscar tarjetas
╔═══════════════════════════════════════════════════════════════════════╗
║ MONITOREO DE RED ║
╚═══════════════════════════════════════════════════════════════════════╝
$ sudo tcpdump -A -i eth0 'tcp port 80 and tcp[13] & 8 != 0'
$ sudo tcpdump -i eth0 -n 'udp port 53' | grep -E "pastebin|dropbox"
$ sudo ngrep -W byline "Content-Disposition: attachment;"
╔═══════════════════════════════════════════════════════════════════════╗
║ CONTROLES DE PREVENCIÓN ║
╚═══════════════════════════════════════════════════════════════════════╝
$ sudo ufw default deny outgoing
$ sudo ufw allow out 53,80,443,22
$ sudo auditctl -w /ruta/sensible -p rwxa -k dlp_access
$ sudo ausearch -k dlp_access
¡Tutorial completado!
Has implementado técnicas de Data Loss Prevention (DLP): clasificación de datos sensibles, monitoreo de tráfico de red, detección de exfiltración y controles de prevención. Estos conocimientos son fundamentales para cumplir con ISO 27001, GDPR y PCI DSS en la protección de datos contra filtraciones.