defensiva
DLP
Data Loss Prevention
RGPD

Qué es DLP: tipos, encaje NIS2/RGPD y errores en despliegues

Qué es DLP (Data Loss Prevention), tipos (endpoint, network, cloud, email), cómo se implanta, encaje NIS2/DORA/RGPD/ISO 27001 y errores típicos.

Secra10 de mayo de 202612 min de lectura

DLP es el conjunto de controles que detectan, monitorizan y bloquean la salida no autorizada de información sensible de una organización. Las siglas vienen del inglés Data Loss Prevention. Cubre la fuga accidental (un empleado adjunta el cuaderno de tarifas confidencial a un correo equivocado) y la exfiltración intencional (un atacante con acceso interno o un empleado descontento que se lleva la base de datos de clientes). En 2026 el mercado lo divide entre DLP clásico (Symantec, Forcepoint, Trellix), DLP integrado en suites cloud (Microsoft Purview, Google Workspace DLP) y la nueva categoría DSPM (Data Security Posture Management) orientada a multi-cloud.

Esta guía explica qué es DLP en concreto, los cuatro tipos según punto de control (endpoint, red, email, cloud), cómo se implanta paso a paso, cómo encaja en NIS2, DORA, RGPD e ISO 27001, los siete errores que más se ven en despliegues reales y qué métricas miden si el programa funciona o solo está marcando casillas.

Qué es DLP

Un sistema DLP es una pila de controles que identifica datos sensibles, observa cómo se mueven y aplica políticas que bloquean, alertan o cifran la salida no autorizada. Las tres preguntas que responde:

  1. ¿Qué datos tenemos que proteger? Identificación y clasificación: PII, datos financieros, propiedad intelectual, secreto comercial, credenciales, claves criptográficas.
  2. ¿Por dónde podrían salir? Email, USB, impresoras, almacenamiento cloud (Dropbox, Google Drive, OneDrive personal), apps de mensajería, web upload, AI generativa.
  3. ¿Qué hacemos cuando alguien intenta sacarlos? Bloquear, alertar, cifrar, registrar, justificar.

Lo que aporta operativamente:

  • Visibilidad. Mapa real de qué datos sensibles existen, dónde viven, quién los toca.
  • Reducción de fuga accidental. La mayoría de incidentes no son atacantes sofisticados sino empleados despistados.
  • Trazabilidad ante auditoría e incidente. Logs detallados de movimiento de datos.
  • Cumplimiento documentable. NIS2, DORA, RGPD, ISO 27001 piden controles sobre datos sensibles. DLP los materializa.
  • Disuasión interna. Saber que existe un control reduce la tentación.

Lo que limita al DLP:

  • No detiene a un atacante con tiempo y privilegios. Quien lleva meses dentro y conoce los controles encuentra rutas.
  • Genera muchos falsos positivos en la primera fase. Si no se ajusta, ahoga al equipo y se acaba ignorando.
  • Coste operativo alto. Un DLP no operado es decoración.

Los cuatro tipos según punto de control

Endpoint DLP

Agente instalado en cada equipo. Monitoriza copia a USB, captura de pantalla, drag-and-drop a aplicaciones cloud, impresión. Suele integrarse con el EDR o existir como agente independiente.

Casos típicos: bloqueo de copia a USB no cifrado, marca de agua en documentos sensibles, justificación obligatoria antes de subir un fichero clasificado a un dominio externo.

Productos: Microsoft Purview Endpoint DLP, Forcepoint, Trellix, CrowdStrike Falcon Data Protection.

Network DLP

Sensores en la red corporativa que inspeccionan tráfico saliente buscando datos sensibles. Detección por firmas, patrones regex (DNI español, IBAN, número de tarjeta), exact data match (hash de la base real), machine learning sobre documentos clasificados.

Caveat moderno: con TLS 1.3 generalizado y ECH en marcha, la inspección de red sin endpoint pierde mucha visibilidad. La tendencia es desplazar el control al endpoint o al gateway con TLS termination autorizado.

Email DLP

Subcategoría histórica con peso propio porque el correo sigue siendo el vector principal de fuga. Se integra en Microsoft 365 (Exchange Online Protection + Purview) o Google Workspace, en servidores SMTP corporativos o en gateways de correo (Proofpoint, Mimecast).

Casos típicos: bloqueo de envíos a dominios externos con adjuntos clasificados, cifrado automático de correos con contenido sensible, escaneo de adjuntos sospechosos en sandbox.

Cloud DLP / DSPM

Categoría que más crece. Inspecciona buckets S3, Azure Blob, Google Cloud Storage, SharePoint, Salesforce, ServiceNow, Jira, Confluence buscando datos sensibles mal almacenados. La submarca DSPM (Data Security Posture Management) extiende el problema a entornos multi-cloud y SaaS sin que haya un único agente que cubra todo.

Productos: Microsoft Purview, Varonis, Wiz, Cyera, Sentra, Symmetry Systems.

Cómo se implanta DLP paso a paso

El despliegue serio sigue siempre estas fases.

1. Definir qué proteger

Antes que nada, política de clasificación de datos: público, interno, confidencial, restringido. Con criterios claros (financieros, PII, propiedad intelectual, secreto comercial, credenciales). Documento aprobado por el CISO y el comité de dirección.

Sin esto, el DLP no sabe qué buscar y se generan reglas genéricas que no funcionan.

2. Descubrir los datos existentes

Discovery sobre todas las ubicaciones posibles: file shares, SharePoint, OneDrive, Google Drive, Dropbox business, S3, Azure, bases de datos, equipos cliente. Resultado: mapa real de dónde viven los datos sensibles, no donde se asume que viven.

Es la fase que más sorprende. Aparecen carpetas con bases de datos completas en OneDrive personal, hojas de Excel con tarjetas de crédito en buzones compartidos, repositorios de código con secretos.

3. Diseñar políticas

Reglas concretas por tipo de dato y canal: "los DNIs españoles no pueden salir por correo a dominios externos", "los ficheros marcados como confidencial no pueden copiarse a USB sin justificación", "los repos GitHub corporativos no pueden contener secretos cloud". Cada política con acción (bloquear, alertar, justificar, cifrar) y excepciones documentadas.

4. Despliegue en modo monitor primero

Las políticas se activan en modo solo-alerta durante 4-8 semanas. El equipo revisa el volumen de incidencias, ajusta umbrales, refina patrones, comunica con áreas afectadas. Sin esta fase, el DLP rompe procesos legítimos y genera oposición política interna que lo termina desactivando.

5. Activación con bloqueo

Tras la calibración, se pasa a modo bloqueo en políticas críticas. El usuario afectado recibe un mensaje claro de por qué se bloqueó y cómo justificar si es legítimo. La tasa de falsos positivos en este punto debería estar por debajo del 5% para que el sistema sea sostenible.

6. Operación continua

Revisión periódica de incidencias, ajuste de patrones, formación a usuarios reincidentes, reporte mensual al CISO y al comité. Las políticas evolucionan con la organización: nuevos servicios cloud, nuevas aplicaciones SaaS, nuevas categorías de datos críticos.

Encaje con compliance

Un programa DLP serio aporta evidencia directa en varios marcos.

NIS2 (artículo 21)

Pide medidas técnicas y organizativas de seguridad de la información, incluyendo gestión de la información, tratamiento de incidentes y acceso lógico. DLP cubre estos tres frentes: clasificación de datos, detección de exfiltración, evidencia para análisis forense post-incidente.

DORA (artículo 9)

Resiliencia operacional digital en servicios financieros. DLP es un control habitual en bancos, aseguradoras y entidades de pago, especialmente para datos de clientes (PII), información de mercados y datos transaccionales.

RGPD (artículos 5, 32)

Principio de seguridad e integridad de datos personales. RGPD no exige DLP nominalmente pero la AEPD valora positivamente su despliegue en empresas grandes y, en sanciones recientes, ha citado la ausencia de controles de prevención de fuga como agravante.

ISO 27001:2022

Controles relevantes:

  • 5.10 Aceptable use of information.
  • 5.12 Classification of information.
  • 5.13 Labelling of information.
  • 5.14 Information transfer.
  • 8.10 Information deletion.
  • 8.11 Data masking.
  • 8.12 Data leakage prevention. Control específico introducido en la versión 2022, que pide mecanismos para prevenir fuga de información en redes, sistemas y dispositivos.

DLP aporta evidencia directa para 8.12 y soporta varios de los anteriores.

PCI DSS v4.0

Para entornos que procesen datos de tarjeta, los requisitos 3 (datos almacenados protegidos) y 4 (transmisión cifrada) se apoyan en DLP para detectar leaks en correo, tickets, repositorios y backups.

ENS Real Decreto 311/2022

Medidas op.exp.10 (información en tránsito), op.exp.7 (gestión de incidentes), mp.info (protección de la información). DLP encaja directamente.

Errores típicos en despliegues reales

Lo que se ve en auditorías y proyectos de consultoría con clientes que ya tienen DLP comprado pero mal operado.

Comprar antes de clasificar. El cliente despliega Forcepoint o Microsoft Purview sin haber definido qué datos son críticos. El sistema arranca con políticas plantilla que generan miles de falsos positivos y nadie las ajusta. Coste hundido sin valor.

Confiar solo en patrones regex. Detección que solo cubre formatos genéricos (DNI, IBAN, tarjeta) deja fuera la propiedad intelectual real (código fuente, planes estratégicos, contratos). El exact data match y el machine learning sobre documentos clasificados son críticos.

Modo bloqueo desde el día uno. La política bloquea antes de calibrar, los usuarios pierden días de productividad, el área de negocio fuerza la desactivación general. El programa muere en semanas.

Ignorar la nube no corporativa. El DLP corporativo cubre Microsoft 365 y file shares pero no la cuenta personal de Dropbox a la que un empleado se reenvía documentos para "trabajar en casa". DLP de endpoint o CASB es la respuesta.

No incluir AI generativa. Empleados pegando información confidencial en ChatGPT, Claude, Gemini o copilots cloud sin política. Las plataformas DLP modernas tienen detección específica para este caso, pero la organización debe activarla.

Alertas que nadie revisa. El SIEM recibe los eventos DLP, nadie los mira, las brechas se detectan meses después por terceros. El programa solo funciona si hay equipo dedicado a triage e investigación.

Sin formación al usuario. El bloqueo aparece sin explicación, el usuario percibe el sistema como obstrucción de IT. Debería haber programa de concienciación que explique qué se busca proteger y por qué.

Métricas que demuestran si funciona

Un programa DLP maduro reporta:

  • Cobertura del inventario. Porcentaje de endpoints con agente activo, porcentaje de servicios cloud cubiertos.
  • Volumen de incidencias por categoría. Tendencia mensual, no solo total.
  • Tasa de falsos positivos. Objetivo realista inferior al 5% en políticas críticas.
  • Tiempo medio de triage. Cuánto tarda el equipo en revisar y resolver una alerta.
  • Tasa de justificaciones legítimas. Porcentaje de alertas que el usuario justifica correctamente y que se aceptan.
  • Reincidencia. Usuarios que disparan políticas más de N veces por mes. Indica formación pendiente o intención maliciosa.
  • Cobertura de canales. Email, USB, cloud, web, IM, AI generativa. Cada uno con su política activa o documentación de por qué no.

Sin estas métricas, el programa solo "existe" en el papel.

Preguntas frecuentes

¿DLP es obligatorio bajo NIS2?

NIS2 no nombra DLP específicamente. Pide medidas de gestión de riesgos que en empresas medianas-grandes prácticamente requieren un control de prevención de fuga para ser defendibles. Para entidades esenciales o importantes con datos críticos, su ausencia es difícil de justificar ante una auditoría.

¿Diferencia entre DLP y DSPM?

DLP clásico se centra en flujos de salida (qué intenta moverse). DSPM (Data Security Posture Management) se centra en posición estática (dónde están los datos sensibles, quién tiene acceso, si los buckets están bien configurados). En 2026 los proveedores serios ofrecen ambos integrados; conceptualmente son complementarios.

¿Microsoft Purview vale para todo?

Cubre bien Microsoft 365 y endpoints Windows. Tiene presencia en macOS reducida. Para multi-cloud (AWS, GCP) o SaaS terceros (Salesforce, ServiceNow), requiere integraciones adicionales o complementarse con CASB y DSPM. Para empresas mayoritariamente Microsoft, es punto de entrada razonable.

En España y UE sí, con condiciones. El empleado debe ser informado por escrito (protocolo interno, política comunicada, contrato), la finalidad debe ser legítima y proporcional, no se pueden inspeccionar comunicaciones manifiestamente personales, y los datos resultantes están sujetos a RGPD. La sentencia López Ribalda contra España (TEDH 2019) marcó el estándar. Sin información previa adecuada, las pruebas obtenidas pueden ser inválidas en juicio y la AEPD sanciona.

¿Qué pasa con la AI generativa en DLP?

Es la frontera 2024-2026. Empleados pegando información confidencial en ChatGPT, Claude o Gemini sin política. Microsoft Purview, Forcepoint y Symantec tienen detección específica. La política realista es categorizar usos permitidos por rol, exigir versiones empresariales con DPA en lugar de cuentas gratuitas, y bloquear copia/pega masiva a interfaces no autorizadas.

¿DLP y EDR son lo mismo?

No. EDR detecta y responde a amenazas en endpoints (malware, comportamiento anómalo). DLP previene fuga de datos. Se solapan parcialmente porque ambos viven en el endpoint y muchos vendors integran las dos funciones, pero son disciplinas distintas con métricas distintas.

¿Cuánto tiempo lleva un despliegue DLP serio?

Para una empresa mediana de 500-1000 empleados: 6-12 meses desde definición de política hasta operación estable. Acelerarlo por debajo de eso garantiza falsos positivos descontrolados y rechazo interno. La fase de discovery y clasificación es la que más se subestima.

Recursos relacionados

  • Cómo cumplir NIS2 en España: el marco que más empuja la formalización de controles tipo DLP en empresas afectadas.
  • DORA cumplimiento: exige controles ICT en servicios financieros que apoyan despliegue DLP.
  • ISO 27001 explicada: la versión 2022 introduce el control 8.12 Data Leakage Prevention.
  • Qué es un CISO: el rol que típicamente lidera la implantación y operación de DLP.
  • Qué es ransomware: escenario donde la prevención de exfiltración (parte del double extortion moderno) tiene impacto directo.
  • Qué es un EDR: control complementario que comparte agente en el endpoint pero cubre amenazas distintas.

Implantación y auditoría DLP en Secra

En Secra trabajamos del lado del cliente en tres situaciones típicas con DLP: análisis previo a la compra (qué proveedor encaja con la pila Microsoft o multi-cloud existente, qué controles del marco regulatorio cubre cada uno), validación de despliegue existente (auditoría de cobertura real, política, falsos positivos, métricas), y diseño de programa cuando la empresa parte de cero (clasificación, discovery, política técnica, plan de operación). El entregable habitual es un mapa de riesgos por categoría de dato con prioridades concretas. Si tu organización está empezando por NIS2, DORA o ISO 27001:2022 y necesita encaje DLP defendible ante auditoría, escríbenos a través de contacto o consulta nuestros servicios de consultoría GRC.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Tipos de phishing: spear, BEC, vishing, smishing y cómo identificarlos

Los 12 tipos de phishing más comunes (spear, whaling, BEC, vishing, smishing, clone, evil twin, AitM), señales de identificación y defensa práctica.

2026-05-1216 min
defensiva

Qué es SHA-256: función hash, usos reales y comparativa

Qué es SHA-256, cómo funciona como función hash criptográfica, propiedades, usos (TLS, Bitcoin, integridad, JWT) y comparativa con SHA-1, SHA-3 y BLAKE3.

2026-05-1112 min
defensiva

Qué es una botnet: arquitectura, ejemplos reales y cómo defenderse

Qué es una botnet, arquitecturas (C2 centralizado, P2P, Fast Flux, DGA), usos (DDoS, ad fraud, distribución), ejemplos (Mirai, Emotet, Mozi) y defensa.

2026-05-1113 min