DLP en Microsoft 365: proteger datos sensibles paso a paso

  • Microsoft Purview DLP permite identificar, supervisar y proteger datos sensibles en aplicaciones, dispositivos y tráfico web.
  • Las directivas DLP se basan en tipos de información confidencial, etiquetas, ubicaciones y acciones de protección configurables.
  • Una buena implantación exige planificación, modo simulación, formación a usuarios y revisión continua de alertas y actividades.
  • La integración con otras soluciones de Purview y Defender XDR refuerza el cumplimiento normativo y la gestión de riesgos.
Lorena Figueredo

17 minutos

DLP en Microsoft 365

La información sensible es uno de los activos más importantes de cualquier empresa: datos financieros, datos personales, propiedad intelectual… Si todo eso se filtra o se comparte sin control, el problema ya no es solo técnico, es legal, económico y reputacional. Y hoy en día, con usuarios trabajando desde cualquier sitio y usando mil aplicaciones, el riesgo de fuga de datos se multiplica.

Para reducir ese riesgo, Microsoft 365 incorpora una solución muy potente: Microsoft Purview Data Loss Prevention (DLP). Hablamos de una tecnología nativa de la nube que permite detectar, supervisar y bloquear el uso inadecuado de datos sensibles, sin necesidad de montar una infraestructura compleja y, sobre todo, sin frenar la productividad si se diseña bien.

Qué es DLP en Microsoft 365 y por qué es clave para los datos sensibles

Cuando hablamos de DLP nos referimos a un conjunto de directivas que evitan la pérdida o filtración de información, ya sea de forma intencionada o accidental. En Microsoft 365 esa capacidad se ofrece a través de Microsoft Purview, que unifica gobierno, protección y cumplimiento de datos en una misma plataforma.

Las organizaciones manejan todo tipo de datos confidenciales: números de tarjeta de crédito, datos financieros, información médica, datos de clientes, secretos comerciales, números de la seguridad social o de documento de identidad, etc. Sin un sistema automatizado, es casi imposible controlar quién comparte qué, con quién y por qué canal.

El enfoque de Microsoft Purview DLP se basa en definir políticas que identifican contenido sensible y aplican acciones de protección en múltiples servicios y dispositivos. No se limita a hacer búsquedas de texto simples, sino que realiza un análisis profundo del contenido combinando palabras clave, expresiones regulares, funciones de validación y modelos avanzados, incluidos algoritmos de machine learning, para reducir falsos positivos y ser más preciso.

Además, DLP forma parte de una oferta más amplia de cumplimiento y gobernanza de datos que incluye clasificación y etiquetado, cifrado, administración del ciclo de vida, gestión de riesgos internos, CASB y más. El objetivo es cubrir el ciclo completo de la información: desde que se crea hasta que se comparte, se archiva o se elimina.

Ámbitos de protección: aplicaciones, dispositivos y tráfico web

Una de las grandes ventajas de Microsoft Purview DLP es que no se queda solo en el correo o en un único servicio. Las políticas pueden abarcar aplicaciones de Microsoft 365, dispositivos de los usuarios, repositorios locales y el tráfico web hacia aplicaciones cloud.

Aplicaciones empresariales y dispositivos

En el ámbito de las aplicaciones y equipos, DLP permite vigilar y proteger datos en reposo, en uso y en tránsito en las principales cargas de trabajo de Microsoft 365 y en otras ubicaciones adicionales que la organización decida incluir. Entre ellas se encuentran:

  • Exchange Online: correos electrónicos enviados y recibidos.
  • Sitios de SharePoint Online y SharePoint local.
  • Cuentas de OneDrive para la Empresa.
  • Mensajes de chat y de canal de Microsoft Teams.
  • Aplicaciones de Office (Word, Excel, PowerPoint) tanto online como de escritorio.
  • Dispositivos Windows 10, Windows 11 y macOS (tres versiones más recientes), a través de Endpoint DLP.
  • Recursos compartidos de archivos locales mediante analizadores de Purview Information Protection.
  • Áreas de trabajo de Fabric y Power BI, donde se almacena y comparte analítica de negocio.
  • Copilot y chat de Microsoft 365 Copilot (en versión preliminar), para controlar los datos que consume e interpreta la IA.
  • Aplicaciones en la nube de terceros gestionadas mediante Defender for Cloud Apps (MCAS).

Creando directivas específicas para aplicaciones empresariales y dispositivos, se cubren estos escenarios sin tener que mantener soluciones desconectadas entre sí. Todo se administra desde el portal de Microsoft Purview.

Tráfico web y aplicaciones en la nube no administradas

Otro frente crítico son las aplicaciones en la nube no gestionadas, a las que los usuarios acceden a través del navegador. Aquí entran en juego el tráfico web insertado y las directivas orientadas a actividad de red, que aprovechan Microsoft Edge para empresas y la integración con Defender for Cloud Apps.

Con estas capacidades, se pueden supervisar y controlar datos que se suben o introducen en servicios como:

  • Chatbots y asistentes de IA como OpenAI ChatGPT, Google Gemini, DeepSeek o Microsoft Copilot en su versión pública.
  • Más de 34 000 aplicaciones en la nube identificadas en el catálogo de Defender for Cloud Apps, únicamente mediante directivas de red.

El resultado es una protección mucho más completa, que no solo vigila lo que ocurre dentro de Microsoft 365, sino también lo que se escapa hacia fuera por el navegador.

Licenciamiento y relación con otras soluciones de Microsoft Purview

Antes de lanzarse a configurar políticas, conviene tener claro qué licencias incluyen cada capacidad de DLP. Microsoft Purview se distribuye principalmente a través de planes de Microsoft 365 y Office 365 de nivel empresarial.

De forma general, la prevención de pérdida de datos está disponible en:

  • O365 DLP para correo y archivos: Microsoft 365 E3, E5, F5, F5 Compliance; Office 365 E3 y E5.
  • DLP para Teams: Microsoft 365 E5 y E5 Compliance; Office 365 E5; Microsoft F5 y F5 Compliance.
  • Endpoint DLP: Microsoft 365 E5 y E5 Compliance; Microsoft F5 y F5 Compliance.

Además, existe el Conjunto de aplicaciones de Microsoft Purview como complemento para clientes con licencias Enterprise Mobility Security y Office E3 o Microsoft 365 E3 (incluyendo variantes sin Teams). Este addon permite ampliar las capacidades de cumplimiento sin migrar de plan principal.

DLP es solo una pieza de todo el puzzle de Microsoft Purview, que también incluye:

  • Information Protection para clasificación y etiquetado de datos.
  • Cifrado de mensajes y protección de contenido.
  • Gestión del ciclo de vida de la información (retención, archivado, eliminación).
  • Administración de riesgos internos para vigilar conductas potencialmente peligrosas desde dentro.
  • CASB (Defender for Cloud Apps) para control granular sobre aplicaciones cloud.

La combinación de estas herramientas ofrece una protección de datos avanzada y multinivel, que resulta especialmente relevante para organizaciones sometidas a normativas como GDPR, HIPAA u otras regulaciones sectoriales.

Fases del ciclo de vida de un proyecto DLP

Implantar DLP no es simplemente activar un botón. Requiere planificación, pruebas, adaptación cultural y mejora continua. Microsoft propone un ciclo de vida dividido en varias fases bien diferenciadas.

1. Planificación: tecnología, procesos y cultura

El primer paso consiste en definir qué se quiere proteger y por qué. Aquí entran en juego varias tareas clave:

  • Identificar a las partes interesadas: responsables de TI, seguridad, cumplimiento, negocio y, en algunos casos, recursos humanos o legal.
  • Describir categorías de información sensible: datos financieros, sanitarios, propiedad intelectual, PII, etc.
  • Establecer objetivos y estrategia: qué riesgos se quieren mitigar y hasta qué punto se quiere ser restrictivo.

A nivel tecnológico, hay que decidir en qué ubicaciones y servicios se aplicarán las políticas (Exchange, SharePoint, OneDrive, Teams, dispositivos, repositorios locales, Power BI, Copilot, etc.) y qué tipo de acciones de protección se van a permitir (solo auditoría, advertencias, bloqueo con opción de anulación o bloqueo total).

En cuanto a procesos de negocio, conviene mapear cómo se usan realmente los datos sensibles en el día a día. Los responsables de proceso pueden ayudar a distinguir qué comportamientos son normales y necesarios, y cuáles representan un riesgo que debe bloquearse.

Por último, está la parte cultural: un proyecto DLP exitoso implica explicar a los usuarios el porqué de los cambios, ofrecer formación y concienciación, y usar herramientas como las sugerencias de directiva para educar antes de activar bloqueos estrictos.

2. Preparación del entorno

La fase de preparación se centra en dejar listo el entorno técnico para que las directivas puedan aplicarse correctamente a datos en reposo, en uso y en movimiento. Según la ubicación, los requisitos previos varían:

  • En Exchange Online, bastará con habilitar políticas que se apliquen al correo.
  • En Sitios de SharePoint y OneDrive, las bibliotecas se pondrán bajo el paraguas de DLP al asociarlas a una directiva.
  • Para repositorios locales, será necesario desplegar el analizador de Purview Information Protection.
  • En dispositivos Windows y macOS, habrá que habilitar Endpoint DLP y asegurarse de que los equipos cumplen los requisitos (incluyendo la instalación de determinadas actualizaciones).
  • En aplicaciones cloud de terceros, será clave la integración con Defender for Cloud Apps.

Durante esta etapa se suelen redactar las primeras políticas en modo borrador y preparar su despliegue controlado, sin activar todavía acciones de bloqueo.

3. Implementación en modo simulación

Una buena práctica, casi imprescindible, es empezar con las políticas en modo de simulación o modo prueba. En este estado, las reglas se evalúan y generan resultados, pero las acciones de protección no se aplican realmente (no se bloquea, no se mueve nada a cuarentena, etc.).

El administrador puede usar el centro de cumplimiento de Microsoft 365 o el portal de Microsoft Purview para:

  • Crear políticas usando plantillas predefinidas (por ejemplo, para datos financieros o sanitarios de diferentes países).
  • Configurar ámbitos, ubicaciones y condiciones, pero manteniendo la directiva en estado de prueba.
  • Realizar pruebas silenciosas para ver qué incidentes aparecerían sin notificar aún a los usuarios.

Esta fase permite descubrir comportamientos reales de los usuarios, ajustar las reglas para evitar un tsunami de falsos positivos y empezar a medir el impacto potencial sin interferir todavía en los procesos de negocio.

4. Ajuste fino de las directivas

Mientras la política está en modo simulación, la clave está en analizar resultados y refinar la configuración. Algunos ajustes típicos incluyen:

  • Modificar ubicaciones incluidas o excluidas, así como usuarios, grupos o sitios específicos.
  • Retocar las condiciones que determinan cuándo un elemento coincide con la directiva (tipos de información sensible, volúmenes de datos, contexto, destinatarios internos/externos…).
  • Ajustar la definición de tipos de información confidencial (SIT), combinando palabras clave, patrones y validaciones.
  • Añadir nuevos controles o reglas para escenarios que no se habían contemplado inicialmente.
  • Actualizar la lista de aplicaciones y sitios restringidos o permitidos.

El objetivo es llegar a un punto en el que la política cumpla sus metas de seguridad sin entorpecer en exceso el trabajo legítimo de los usuarios. Para ello es muy útil escuchar el feedback de los equipos afectados y, si procede, permitir opciones de anulación con justificación en determinados casos.

5. Activación en producción y mejora continua

Cuando la organización considera que la política está madura, se pasa a habilitar el control real. A partir de ese momento, DLP comienza a aplicar las acciones configuradas: advertencias, bloqueos, movimientos a cuarentena, eliminación de contenido visible en chats, etc.

Aun así, el trabajo no termina ahí. Es importante seguir:

  • Supervisando las alertas y las actividades registradas.
  • Realizando ajustes periódicos en reglas, umbrales y excepciones.
  • Revisando la efectividad de las políticas ante nuevos riesgos o cambios regulatorios.

En paralelo, conviene mantener iniciativas de formación y concienciación para que los empleados entiendan por qué aparecen advertencias, qué implican los bloqueos y cómo deben manejar datos sensibles en su trabajo diario.

Cómo se detecta y protege la información sensible

DLP en Microsoft 365 proteger datos sensibles

El motor de DLP utiliza varias técnicas para identificar contenido sensible con precisión. No se limita a buscar cadenas de texto concretas, sino que combina distintos niveles de análisis para reducir errores.

Entre las capacidades principales destacan:

  • Coincidencia de datos primarios mediante palabras clave y patrones claros (por ejemplo, la estructura de un número de tarjeta de crédito).
  • Expresiones regulares para detectar formatos específicos (NIF, IBAN, números de póliza, etc.).
  • (como comprobaciones de dígitos de control) para descartar coincidencias que no sean válidas.
  • Coincidencias de datos secundarios que añaden contexto y aumentan la confianza en que se trata de información real.
  • Algoritmos de machine learning u otros métodos avanzados para identificar patrones de contenido que coinciden con lo definido en las políticas.

Una vez detectados los datos sensibles, las políticas DLP pueden aplicar acciones de protección diferentes según la ubicación y el tipo de actividad:

  • Mostrar una sugerencia de directiva emergente avisando al usuario de que puede estar compartiendo algo delicado.
  • Bloquear el envío o compartición y permitir que el usuario lo anule con justificación, quedando todo registrado.
  • Bloquear sin posibilidad de anulación en escenarios de máximo riesgo.
  • Mover archivos a una cuarentena segura cuando se trata de datos en reposo en algunas ubicaciones.
  • En Teams, impedir que el contenido sensible sea visible en mensajes de chat o de canal.
  • En dispositivos, auditar o impedir acciones como copiar a USB, imprimir, subir a determinadas webs o aplicaciones, etc.

Todas estas actividades quedan recogidas en el registro de auditoría de Microsoft 365 y se pueden consultar más tarde en las herramientas de informes y exploración de actividad.

Diseño de una directiva DLP paso a paso

Desde el portal de Microsoft Purview, el proceso para crear una política sigue siempre una estructura parecida, independientemente de si se parte de una plantilla predefinida o se crea algo desde cero.

1. Elegir qué se quiere supervisar

Primero se define el tipo de información que se quiere controlar. Aquí se pueden usar:

  • Plantillas para datos financieros, médicos, de privacidad o regulaciones concretas.
  • Tipos de información confidencial (Sensitive Information Types) ya definidos por Microsoft.
  • Tipos personalizados que la organización diseñe a medida.

2. Definir el ámbito administrativo

Si se utilizan unidades administrativas, se puede limitar la gestión de políticas a determinados subconjuntos de usuarios, grupos o sitios. De esta forma, los administradores delegados solo pueden crear y gestionar directivas para los objetos que les corresponden, reduciendo el riesgo de errores a gran escala.

3. Seleccionar ubicaciones

A continuación se decide dónde se aplicará la política. Entre las opciones habituales están:

Ubicación Incluir/excluir por
Correo de Exchange Online Grupos de distribución
Sitios de SharePoint Online Sitios concretos
Cuentas de OneDrive Cuentas o grupos de distribución
Chats y canales de Teams Cuentas o grupos de distribución
Dispositivos Windows y macOS Usuarios, grupos, dispositivos y grupos de dispositivos
Instancias de Microsoft Defender for Cloud Apps Instancia
Repositorios locales Ruta de archivo del repositorio
Fabric y Power BI Áreas de trabajo
Microsoft 365 Copilot (versión preliminar) Cuentas o grupos de distribución

4. Establecer condiciones

Las condiciones definen cuándo un elemento se considera una coincidencia. Algunos ejemplos:

  • Un mensaje que contiene un determinado número de identificadores personales enviados a destinatarios externos.
  • Un archivo con una etiqueta de confidencialidad específica compartido fuera de la organización.
  • Un documento con datos sensibles almacenado en un sitio donde no debería estar.

5. Configurar acciones y nivel de protección

En función de las condiciones, se eligen las acciones a realizar en cada ubicación:

  • En SharePoint, OneDrive o Exchange: bloquear acceso externo, enviar notificaciones por correo, mostrar sugerencias de directiva.
  • En Teams: impedir que se muestre la información sensible en chats y canales.
  • En dispositivos: auditar o bloquear copias a USB, impresión, carga a webs o aplicaciones específicas.
  • En Office: mostrar un mensaje emergente que advierte al usuario y, si procede, permitir anulación con justificación.
  • En repositorios locales: mover el archivo a una ubicación de cuarentena segura.

Muchas organizaciones optan por un enfoque de protección adaptativa, con políticas diferentes para situaciones de riesgo alto, medio o bajo. De esta forma se consigue equilibrio entre seguridad y productividad.

Supervisión, alertas y análisis de actividad

La efectividad real de DLP depende en gran medida de cómo se monitorizan y analizan los resultados. Microsoft Purview ofrece varias herramientas para ello.

Página de información general de DLP

En el portal de Microsoft Purview, la página de Información general de DLP muestra de un vistazo el estado de la solución:

  • Estado de sincronización de políticas.
  • Estado de dispositivos y nivel de cobertura.
  • Principales actividades detectadas por las políticas.

Desde ahí se puede saltar rápidamente a otras vistas para investigar incidentes o ajustar la configuración.

Alertas de DLP

Cuando una actividad de usuario coincide con una regla que tiene informes de incidentes habilitados, se genera una alerta. Dependiendo de la suscripción, las alertas pueden agregarse por regla, por usuario y por ventana de tiempo, reduciendo el ruido.

Las alertas se visualizan en el panel de Alertas DLP y también se integran en el portal de Microsoft Defender XDR, donde es posible:

  • Ver detalles del evento y el contexto.
  • Asignar estados e investigadores.
  • Registrar medidas de corrección tomadas.

En el portal de Microsoft Defender, las alertas DLP se conservan hasta seis meses, mientras que en el panel específico de Purview suelen estar disponibles unos 30 días.

Explorador de actividad DLP

La pestaña de Explorador de actividad dentro de la sección DLP permite filtrar eventos relacionados con datos sensibles en los últimos 30 días. Incluye filtros preconfigurados para ver, por ejemplo:

  • Actividades DLP de punto de conexión.
  • Archivos con tipos de información confidencial.
  • Actividades de salida (egress) de datos.
  • Políticas y reglas DLP que han detectado actividad.

También se pueden localizar invalidaciones de usuario (cuando un usuario decide anular un bloqueo con justificación) o elementos concretos que han coincidido con reglas determinadas.

Una función especialmente útil es el resumen contextual, que muestra el texto que rodea al contenido coincidente (por ejemplo, un número de tarjeta de crédito) asociado a un evento de tipo DLPRuleMatch. Este se suele presentar junto a la actividad de salida correspondiente (copiar al portapapeles, subida a la nube, etc.), lo que permite entender mejor el escenario.

Acceso mediante PowerShell

Para integraciones avanzadas o automatización, los datos de informes DLP se pueden extraer vía PowerShell conectándose a Security & Compliance PowerShell o a Exchange PowerShell, utilizando los cmdlets específicos de informes DLP que proporcionan información consolidada de Microsoft 365.

Otras piezas clave: cifrado, etiquetas, CASB y riesgos internos

Un programa de protección de datos robusto no se limita a DLP. Microsoft recomienda combinarlo con otras tecnologías del ecosistema Purview y de seguridad cloud para cubrir más escenarios.

Entre los componentes más relevantes encontramos:

  • Cifrado de mensajes de Microsoft Purview para convertir el contenido del correo en texto cifrado, de modo que solo los destinatarios autorizados con la clave adecuada puedan leerlo. Es posible crear reglas de flujo de correo que cifren automáticamente mensajes basados en criterios como destino externo o palabras clave.
  • Etiquetas de confidencialidad disponibles en Outlook, Word, Excel y PowerPoint, con categorías como Normal, Personal, Privado, Confidencial o etiquetas personalizadas. Estas etiquetas no solo informan al usuario, también pueden interactuar con DLP para reforzar la protección.
  • CASB (Cloud Access Security Broker) mediante Defender for Cloud Apps, que aplica políticas de seguridad entre usuarios y aplicaciones cloud, mitigando riesgos y ayudando al cumplimiento.
  • Gestión de riesgos internos para detectar comportamientos sospechosos desde dentro de la organización, como filtrado de datos accidental o malintencionado.
  • Análisis de comportamiento de usuarios para identificar patrones anómalos antes de que se materialicen en una fuga real.
  • Programas de educación y concienciación en seguridad, enseñando al personal a reconocer y reportar incidentes, y a reaccionar correctamente ante pérdidas o robos de dispositivos.

Todo esto contribuye a crear un entorno en el que la seguridad y el cumplimiento no dependen solo de una herramienta concreta, sino de un ecosistema bien integrado y de una cultura corporativa orientada a la protección de la información.

Beneficios reales y retorno para la organización

Las empresas que gestionan datos altamente regulados (sanidad, finanzas, administración pública, tecnología, etc.) son las que más partido sacan de una solución DLP completa como la de Microsoft Purview. Pero en realidad, cualquier organización con necesidades serias de cumplimiento se beneficia.

Entre las ventajas más destacadas se encuentran:

  • Protección más sencilla y centralizada de los datos en múltiples servicios y ubicaciones.
  • Visión global de la postura de seguridad gracias a paneles unificados y telemetría detallada.
  • Cumplimiento proactivo y menos complejo, al poder demostrar con evidencias el control sobre la información durante auditorías.
  • Reducción de falsos positivos utilizando reglas precisas, machine learning y ajustes continuos.
  • Configuraciones muy flexibles de DLP, etiquetas, cifrado y otras controles, integrados sobre los mismos recursos cloud.
  • Mayor foco en alertas críticas, al filtrar ruido y centrar al equipo de seguridad en lo realmente importante.

En términos de negocio, todo esto se traduce en un retorno de inversión elevado: menos incidentes, menor impacto de las fugas que pudieran producirse, mejor posición frente a reguladores y auditores, y más confianza por parte de clientes y socios.

Eso sí, para aprovechar todo el potencial de DLP, es fundamental realizar una buena clasificación previa de datos, evaluar los riesgos, definir políticas claras y asegurarse de que los usuarios han recibido la formación adecuada. DLP no sustituye la estrategia, la refuerza.

Con una combinación adecuada de políticas DLP bien diseñadas, etiquetas de confidencialidad, cifrado, CASB y gestión de riesgos internos, Microsoft 365 y Purview permiten construir una defensa robusta frente a la fuga de datos sensibles, manteniendo a la vez la agilidad y la colaboración que las organizaciones necesitan para seguir siendo competitivas en el entorno digital actual.

Tipos de backups
Artículo relacionado:
Tipos de backups y diferencias: guía para elegir el mejor método