Módulo 3: Prevención de Filtración (DLP)

# Arquitectura y Fundamentos de DLP

1.1 ¿Qué es la Filtración de Datos (Data Leakage)?

La filtración de datos no siempre es el resultado de un ataque externo sofisticado. En el 60% de los casos, ocurre debido a negligencia interna, errores de configuración o empleados malintencionados. La Prevención de Filtración de Datos (DLP) es una estrategia que combina herramientas tecnológicas y procesos de inspección de contenido para garantizar que la información sensible no salga del perímetro de control de la organización.

1.2 Los Tres Estados del Dato en DLP

Para implementar una estrategia efectiva, debemos entender dónde residen los datos y cómo se mueven:

Data in Use

(Datos en Uso): Información que está siendo procesada activamente por aplicaciones, endpoints o usuarios. El DLP aquí se enfoca en controlar acciones como "copiar y pegar", capturas de pantalla o impresión de documentos.

Data in Motion

(Datos en Movimiento): Datos que atraviesan la red (email, tráfico web, mensajería instantánea). Las herramientas de DLP de red inspeccionan los paquetes para detectar patrones sensibles antes de que crucen el firewall.

Data at Rest

(Datos en Reposo): Archivos almacenados en servidores, bases de datos o servicios en la nube (SaaS). El objetivo es el descubrimiento y la clasificación: saber qué datos tenemos y dónde están para aplicar políticas de cifrado o restricción.

1.3 Técnicas de Identificación de Contenido

¿Cómo sabe una máquina que un archivo contiene información secreta? Se utilizan tres técnicas principales:

Fingerprinting (Huella Digital): Se crea un hash de un documento original "maestro". Si un usuario intenta enviar incluso un fragmento de ese documento, el sistema lo reconoce por su estructura de hash.
Exact Data Matching (EDM): Se conecta a una base de datos y busca coincidencias exactas (ej. un nombre de cliente junto a su RFC).
Análisis de Contenido y Reglas (RegEx): Uso de expresiones regulares para identificar patrones numéricos, como el algoritmo de Luhn para tarjetas de crédito o formatos de CURP.

# Implementación de Políticas y Clasificación

2.1 Taxonomía de los Datos

Antes de prevenir la filtración, debemos clasificar. No podemos proteger lo que no conocemos. Una política de DLP exitosa comienza con una taxonomía clara:

PII Datos de Identificación Personal: Nombres, direcciones, números de seguridad social.

PHI Información de Salud: Historiales clínicos (protegidos por leyes como HIPAA).

IP Propiedad Intelectual: Planos de ingeniería, fórmulas químicas, código fuente.

PCI Datos Financieros: Números de tarjetas y transacciones bancarias.

2.2 DLP en el Endpoint

Como experto en redes, sabes que el eslabón más débil suele ser el dispositivo final (el puesto de trabajo). El DLP de endpoint instala agentes que monitorean:

Puertos USB: Bloqueo de escritura en medios no autorizados o cifrado forzado de memorias externas.
Impresión: Evitar que documentos clasificados como "Confidenciales" se envíen a impresoras físicas o PDF.
Cifrado de Disco: Asegurar que si el dispositivo se pierde, los datos sigan siendo inaccesibles.

2.3 Inspección SSL/TLS

El tráfico web moderno está cifrado. Para que un DLP de red sea efectivo, debe realizar una técnica conocida como Inspección HTTPS (SSL Decryption):

El firewall intercepta la conexión.
Descifra el tráfico para inspeccionar el contenido del mensaje o archivo adjunto.
Lo vuelve a cifrar y lo envía a su destino.

Nota crítica: Esto presenta dilemas éticos y de privacidad que deben ser gestionados mediante políticas claras de exclusión (ej. no inspeccionar tráfico bancario personal del empleado).

# Respuesta ante Incidentes y Cumplimiento

3.1 Anatomía de una Respuesta de DLP

Cuando una política se dispara (un "Trigger"), el sistema puede reaccionar de varias formas:

Notificación

Aviso al usuario: "¿Estás seguro de enviarlo?".

Cuarentena

Archivo bloqueado y enviado a un oficial para revisión.

Bloqueo Total

Acción impedida de inmediato con log de auditoría.

Cifrado Auto

Cifra el archivo antes de salir si el canal no es seguro.

3.2 El Factor Humano: Shadow IT

El Shadow IT (uso de aplicaciones no autorizadas por el departamento de IT) es la mayor pesadilla del DLP. Un empleado que usa su Dropbox personal para llevarse trabajo a casa está creando una filtración. El DLP también es una herramienta de visibilidad para descubrir qué aplicaciones "en la sombra" están usando los empleados.

3.3 El Rol del Analista de Ciberseguridad

Configurar un DLP es un proceso iterativo. Un exceso de reglas estrictas genera Falsos Positivos que detienen la productividad del negocio. Un sistema demasiado relajado genera Falsos Negativos (filtraciones no detectadas). El equilibrio se logra mediante el ajuste fino (Tuning) constante de las expresiones regulares y las huellas digitales.

/ Laboratorio: El Guardián de los Secretos

Actúa como el motor de DLP. Define las expresiones regulares (RegEx) para detectar tarjetas de crédito y dominios corporativos. Escanea los paquetes interceptados de la red y observa cómo reacciona tu lógica.

Definición de Reglas (RegEx)

Ajusta las expresiones regulares. Usa el "Modo Hacker" para ver por qué reglas simples pueden ser evadidas.

Regla 1: Tarjeta de Crédito (PCI)

Por defecto: Encuentra 4 bloques de números separados por guiones.

Regla 2: Correo Interno Permitido

Desafío Hacker: El Paquete #4 intenta evadir la regla 1 usando espacios en lugar de guiones. ¡Mejora tu RegEx de tarjeta para detectarlo! (Tip: usa [\s-]? en lugar de -)

Tráfico Interceptado (Data in Motion)

Paquete #1

Destino: juan@gmail.com

Cuerpo: Hola jefe, le mando el reporte final al correo personal.

Paquete #2

Destino: pagos@empresa.com

Cuerpo: El pago se hizo con la tarjeta 4512-8890-1122-3344. Saludos.

Paquete #3

Destino: interno@empresa.com

Cuerpo: Adjunto lista de precios pública para revisión.

Paquete #4 (Evasión)

Destino: hacker@anon.com

Cuerpo: Extraje los datos. Mi tarjeta es 4512 8890 1122 3344, deposita ahí.