En octubre de 2024, un atacante que operaba con credenciales legítimas de un proveedor externo extrajo 3.7 TB de información de Interbank, incluyendo datos de aproximadamente 3 millones de clientes peruanos. Los archivos terminaron en foros de la Dark Web. El extorsionador exigía USD 4 millones. La SBS, la ANPDP y el INDECOPI abrieron investigaciones simultáneas. Este incidente no fue una intrusión técnica sofisticada: fue una fuga documental habilitada por controles de acceso insuficientes sobre un repositorio de información sensible.
La mayoría de empresas peruanas invierte en antivirus y firewall. Pocos invierten en controlar qué información sale, por qué canal y hacia dónde. Facturas, contratos, planillas, expedientes de crédito, historias clínicas — toda la información que las empresas están digitalizando activamente — genera repositorios de alto valor sin controles de salida. El resultado es una paradoja: cuanto más avanza la digitalización, mayor es la superficie de riesgo si no se implementa una capa de protección sobre los datos que ese proceso produce.
Data Loss Prevention (DLP) es esa capa. No es una solución exclusiva para grandes bancos ni para departamentos de TI con presupuestos amplios. Es el paso lógico siguiente para cualquier empresa que ha digitalizado sus archivos y quiere que esa inversión no se convierta en su próximo pasivo legal y reputacional.
DLP: Qué es y por qué es diferente a un antivirus
El problema que el antivirus no resuelve
Un antivirus detecta y bloquea amenazas que entran: virus, ransomware, troyanos, exploits. Un sistema DLP controla lo que sale: documentos, datos y archivos que abandonan el perímetro de la organización, ya sea por un canal autorizado usado de forma indebida o por uno que nunca debió existir.
La distinción es fundamental en el contexto documental:
| Escenario | ¿Antivirus actúa? | ¿DLP actúa? |
|---|---|---|
| Malware descargado desde un correo | Sí | No |
| Empleado que envía planilla por Gmail personal | No | Sí |
| Proveedor que descarga 500 contratos antes de terminar el servicio | No | Sí |
| Copia de expedientes de clientes a USB antes de renunciar | No | Sí |
| Ransomware que cifra el repositorio documental | Sí (si lo detecta) | No |
| Acceso de empleado a carpetas fuera de su área funcional | No | Sí (DLP discovery) |
Ambos sistemas son complementarios. Pero para el riesgo específico de fuga documental — el más frecuente en organizaciones con repositorios digitalizados — el antivirus es insuficiente por diseño.
Los tres tipos de DLP
DLP de Red inspecciona el tráfico que sale por los puntos de conexión a internet. Detecta, por ejemplo, el PDF de planillas adjunto en un correo enviado a una dirección Gmail externa, o una carga masiva hacia un servidor FTP no autorizado.
DLP de Endpoint opera directamente en el dispositivo del usuario. Bloquea la copia de un contrato de crédito a un pendrive, impide la captura de pantalla de un expediente sensible y restringe la subida de archivos a Dropbox personal desde el equipo corporativo.
DLP de Almacenamiento (Discovery) escanea repositorios en reposo: el servidor NAS, SharePoint, el servidor de archivos local. Identifica, por ejemplo, 12,000 contratos sin clasificar que contienen RUC de clientes y llevan años almacenados sin control de acceso ni etiqueta de confidencialidad.
En la práctica, una estrategia DLP completa requiere los tres tipos. Comenzar solo con uno deja vectores de fuga completamente abiertos.
El punto ciego: documentos escaneados y PDFs de imagen
Por qué el repositorio digitalizado es el activo más vulnerable
Cuando una empresa digitaliza sus archivos físicos — contratos, fichas de clientes, historias clínicas, expedientes tributarios — produce archivos PDF que son, en su estructura interna, imágenes. No texto. El escáner toma una fotografía de cada página y la empaqueta en un contenedor PDF.
Las reglas DLP estándar funcionan mediante expresiones regulares: buscan patrones de texto como el DNI de 8 dígitos, el RUC de 11 dígitos, el número de tarjeta de 16 dígitos o el código de cuenta interbancario (CCI). Si el documento es una imagen, no hay texto que analizar. El archivo pasa invisible a través de cualquier regla DLP convencional.
Esta es la ironía de la digitalización sin DLP: las empresas invierten en escanear y preservar su información más sensible, y ese mismo proceso crea el punto ciego más grande de su postura de seguridad.
Cómo el OCR convierte imágenes en texto inspeccionable
La solución es integrar reconocimiento óptico de caracteres (OCR) directamente en el flujo de inspección DLP. El proceso funciona así:
flowchart LR
A[PDF escaneado\nentra al canal] --> B{¿Contiene\ntexto extraíble?}
B -- Sí --> D[Motor de reglas DLP]
B -- No\nes imagen --> C[Motor OCR\nextrae texto]
C --> D
D --> E{¿Coincide con\nregla de detección?}
E -- No --> F[Paso libre]
E -- Sí --> G{Nivel de\nclasificación}
G -- Interno --> H[Alerta al\nadministrador]
G -- Confidencial --> I[Alerta + log\nde auditoría]
G -- Restringido --> J[Bloqueo +\nalerta urgente]
Microsoft Purview DLP incorpora OCR nativo disponible desde mediados de 2026. Soporta PDFs, JPG, PNG, TIFF y BMP, archivos de hasta 50 MB, y opera sobre Exchange, SharePoint, OneDrive, Teams y endpoints Windows y macOS. Para empresas que ya operan en el ecosistema Microsoft 365, esta capacidad elimina la necesidad de una solución OCR separada.
Para quienes usan otras plataformas DLP, la integración con un motor OCR externo — ABBYY, Tesseract en implementaciones on-premise, o servicios de Azure y AWS — es factible, pero agrega complejidad al pipeline de inspección. En cualquier caso, para una organización con repositorios de documentos físicos digitalizados, el soporte OCR no es opcional: es el requisito mínimo para que el DLP tenga cobertura real.
Marco normativo peruano: lo que la ley exige
Ley 29733 y DS 016-2024-JUS (vigente desde marzo 2025)
La Ley de Protección de Datos Personales y su nuevo reglamento establecen obligaciones concretas que se traducen directamente en requisitos DLP:
| Obligación | Detalle | Sanción máxima |
|---|---|---|
| Notificación de incidentes | 48 horas a la ANPDP y a los afectados | 100 UIT (~S/ 535,000) |
| Oficial de Protección de Datos (ODP) | Cronograma escalonado 2025–2028 según tamaño | Infracción grave |
| Medidas de seguridad documentadas | Técnicas y organizativas, con registros de auditoría | 50–100 UIT |
| Datos sensibles (salud, biometría) | Máxima protección, consentimiento expreso, controles reforzados | Infracción muy grave |
El cronograma del ODP es escalonado: las grandes empresas y entidades públicas tienen obligación inmediata; las medianas tienen plazo hasta 2026; las pequeñas hasta 2027–2028. Sin embargo, la obligación de implementar medidas de seguridad técnicas aplica a todas las organizaciones desde la entrada en vigor del DS 016-2024-JUS.
SBS: Resolución 504-2021 y SBS 01029-2026
Para el sector financiero, la regulación es más específica. La Resolución SBS 504-2021 exige clasificar los activos de información, implementar controles de acceso basados en necesidad y mantener monitoreo continuo. La SBS 01029-2026 eleva las sanciones: las infracciones graves arrancan en 20 UIT y las muy graves superan los 100 UIT. Un repositorio de expedientes KYC o contratos de crédito sin controles de salida es una exposición directa a estas sanciones.
Ley 30024: historias clínicas electrónicas
MINSA consolidó la obligatoriedad del Sistema de Información de Historias Clínicas Electrónicas (SIHCE) desde 2025. Los datos de salud son datos sensibles bajo la Ley 29733, lo que los ubica en el nivel de máxima protección. Una historia clínica escaneada en PDF que sale de la red de una clínica por correo sin detección constituye una infracción muy grave. El único mecanismo técnico capaz de detectar ese PDF escaneado es un DLP con OCR integrado.
Tabla resumen de normativas y su implicación DLP
| Normativa | Sector | Datos protegidos | Implicación DLP |
|---|---|---|---|
| Ley 29733 + DS 016-2024-JUS | Todos | Datos personales y sensibles | Clasificar y monitorear todo repositorio con datos de personas |
| SBS Res. 504-2021 + 01029-2026 | Financiero | Expedientes, KYC, créditos | Control de descarga masiva, auditoría de accesos, alerta ante transferencias con PAN |
| Ley 30024 | Salud | Historias clínicas | DLP con OCR obligatorio para PDFs médicos escaneados |
| Ley 27806 | Sector público | Información reservada | Taxonomía DLP alineada a criterios de información reservada |
Clasificación de información: la base de toda política DLP
No es posible proteger lo que no se ha categorizado. Antes de configurar cualquier regla DLP, la organización necesita una taxonomía de clasificación funcional. El siguiente esquema de cuatro niveles está adaptado al contexto peruano:
| Nivel | Nombre | Ejemplos en contexto peruano | Canal de riesgo principal |
|---|---|---|---|
| 1 | Público | Comunicados de prensa, catálogo de productos, web corporativa | Sin restricción |
| 2 | Interno | Procedimientos operativos, memos, informes de gestión, actas internas | Correo externo inadvertido |
| 3 | Confidencial | Contratos, planillas, declaraciones SUNAT, expedientes de clientes, estados financieros | USB, correo externo, nube personal |
| 4 | Restringido | DNI + biometría, historias clínicas, PAN de tarjetas, secretos comerciales, planos de exploración minera | Cualquier canal no autorizado |
Cómo el DLP detecta automáticamente la clasificación
Las herramientas DLP modernas combinan cuatro métodos de detección:
- Expresiones regulares: patrones de RUC (11 dígitos), DNI (8 dígitos), CCI (20 dígitos), PAN de tarjeta (16 dígitos). Alta precisión para identificadores nacionales con formato predecible.
- Diccionarios de palabras clave: términos como “remuneración neta”, “historia clínica”, “declaración jurada”, “cuarta categoría” o “valor referencial de licitación”. Adaptables al vocabulario específico de cada sector.
- Fingerprinting de documentos tipo: el sistema aprende el patrón estructural de un contrato de crédito estándar o una planilla de remuneraciones, y detecta variaciones del mismo aunque el texto específico haya cambiado.
- Clasificación semántica por ML: identifica contenido sensible aunque el documento no contenga palabras clave exactas ni patrones RegEx — especialmente útil para formatos no estandarizados o redacciones informales.
Los canales de fuga: dónde se pierde la información
El repositorio documental no fuga por un solo canal. Los vectores son múltiples y simultáneos:
flowchart TD
R[Repositorio\nDocumental] --> E[Correo externo\nGmail / Hotmail]
R --> U[Dispositivo USB\no disco externo]
R --> P[Impresora no\nautorizada]
R --> C[Aplicaciones cloud\nDropbox / WeTransfer / WhatsApp Web]
R --> S[Captura de\npantalla]
R --> D[Descarga masiva\nantes de cese]
R --> T[Acceso de\ntercero / proveedor]
Controles DLP por canal
| Canal | Tipo de control | Acción posible | Ejemplo concreto |
|---|---|---|---|
| Correo externo | DLP de red | Alerta / bloqueo / cifrado forzado | PDF con DNIs enviado a dominio externo no corporativo |
| USB | DLP de endpoint | Bloqueo total / solo lectura / log de auditoría | Copia de contratos de crédito antes de una renuncia |
| Impresión | DLP de endpoint | Bloqueo / marca de agua automática / log | Historia clínica impresa en equipo sin control físico |
| Nube personal | DLP de endpoint | Bloqueo de subida a dominios no autorizados | Upload de planilla a Dropbox personal |
| Descarga masiva | DLP de almacenamiento | Alerta + limitación de velocidad de descarga | 500 escrituras descargadas en 10 minutos |
| Captura de pantalla | DLP de endpoint | Bloqueo / imagen en negro en zona sensible | Pantalla de expediente judicial capturada |
| Acceso de tercero | DLP de red + identidad | Alerta ante volumen inusual, revocación automática | Proveedor que descarga más archivos que en toda su historia de accesos |
Herramientas: qué usar según el perfil de la empresa
| Herramienta | Tipo | OCR para docs escaneados | Precio orientativo | Mejor para |
|---|---|---|---|---|
| Microsoft Purview DLP | Nube + Endpoint | Sí (desde mid-2026) | USD 15+/usuario/mes (E5 o add-on) | Empresas ya en Microsoft 365 |
| Forcepoint DLP | Red + Endpoint | Parcial | USD 52+/usuario/año | Entornos mixtos, multicanal |
| ManageEngine Endpoint DLP Plus | Endpoint | No especificado | Económico, por endpoint | PYME, foco en control de dispositivos |
| Endpoint Protector (CoSoSys) | Endpoint | Vía integración externa | Moderado | Control granular de USB y aplicaciones |
| Kriptos (clasificación IA) | Clasificación | Sí (docs digitales) | Cotización directa | Complemento de clasificación para DLP existente |
Precios referenciales, sujetos a volumen y condición comercial local.
“Ya tenemos Microsoft 365”: Microsoft Purview DLP es el camino natural. Sin infraestructura adicional, con integración nativa en Teams, SharePoint, Exchange y endpoints Windows y macOS. La adición de OCR desde mediados de 2026 lo convierte en la opción más completa para repositorios de documentos escaneados en el ecosistema Microsoft.
“Tenemos infraestructura mixta (on-premise + nube)”: Forcepoint o Endpoint Protector ofrecen cobertura multicapa desde una sola consola, lo que simplifica la gestión donde coexisten servidores locales y servicios cloud.
“Somos PYME y el presupuesto es ajustado”: ManageEngine Endpoint DLP Plus es un punto de entrada razonable para controlar endpoints y dispositivos removibles. Kriptos como capa de clasificación agrega valor cuando el volumen documental es alto y la organización necesita visibilidad rápida sobre qué información sensible tiene y dónde está almacenada.
Hoja de ruta de implementación: cinco fases realistas
gantt
title Hoja de ruta DLP — empresa mediana peruana
dateFormat WW
axisFormat Sem %W
section Fase 1
Descubrimiento e inventario :f1, 01, 4w
section Fase 2
Taxonomía de clasificación :f2, 03, 4w
section Fase 3
Despliegue en modo monitoreo :f3, 05, 6w
section Fase 4
Activación progresiva de controles :f4, 10, 10w
section Fase 5
Capacitación y mantenimiento :f5, 18, 10w
Fase 1 — Descubrimiento e inventario (semanas 1–4)
Mapear dónde residen los documentos sensibles: servidores de archivos, SharePoint, NAS, correo corporativo, equipos locales. Identificar flujos: quién envía qué, a quién y por qué canal. Definir los datos corona de la organización — RUC, DNI, CCI, PAN, historias clínicas, contratos, planillas, planos técnicos — y el área funcional responsable de cada tipo. Sin este inventario, cualquier política DLP opera a ciegas.
Fase 2 — Taxonomía de clasificación (semanas 3–6)
Aplicar los cuatro niveles de clasificación al inventario identificado. Construir diccionarios de palabras clave con terminología peruana, incluyendo jerga sectorial: “SUNAT”, “ESSALUD”, “INGEMMET”, “SUNAFIL”. Configurar patrones RegEx para identificadores nacionales. La decisión central de esta fase: clasificación manual, automática con IA o mixta. Para repositorios de decenas de miles de documentos, la clasificación automática con revisión humana de los resultados de alta confianza es el balance más práctico entre velocidad y precisión.
Fase 3 — Despliegue en modo monitoreo (semanas 5–10)
Regla de oro: comenzar sin bloqueos. Activar una sola política en modo observación y recopilar métricas de línea base durante al menos cuatro semanas: volumen de documentos sensibles en movimiento, canales más utilizados, endpoints más activos, patrones por hora y usuario. Este periodo permite calibrar las reglas y eliminar falsos positivos antes de que generen fricción operativa. Activar bloqueos sobre reglas mal calibradas es la causa más frecuente de proyectos DLP abandonados en los primeros tres meses.
Fase 4 — Activación progresiva de controles (semanas 10–20)
La secuencia recomendada, de menor a mayor impacto operativo:
- Alertas de monitoreo con notificación al administrador
- Bloqueo de USB para documentos nivel 4 (Restringido)
- Bloqueo de adjuntos por correo externo con datos sensibles confirmados
- Control de impresión para documentos clasificados
- Bloqueo de subida a aplicaciones cloud no autorizadas
Cada paso debe estabilizarse antes de avanzar al siguiente. Activar todos los controles simultáneamente genera resistencia organizacional que detiene el proyecto.
Fase 5 — Capacitación y mantenimiento continuo
Solo alrededor de un tercio de las empresas peruanas capacita a sus empleados en seguridad de la información de manera sistemática. La capacitación DLP debe ser práctica y concreta: simulaciones del tipo “¿qué ocurre si envías este PDF por WhatsApp?”, con demostración real de la alerta que genera el sistema. Las políticas deben comunicarse a los usuarios antes de activar cualquier bloqueo. El DLP requiere revisiones trimestrales y actualización inmediata ante cambios normativos — el DS 016-2024-JUS, por ejemplo, introdujo modificaciones que obligan a revisar taxonomías de clasificación existentes.
Errores comunes y cómo evitarlos
| Error | Consecuencia | Solución |
|---|---|---|
| Políticas demasiado amplias desde el inicio | Fricción operativa masiva, presión para desactivar | Comenzar en modo monitoreo; restringir gradualmente |
| Exceso de falsos positivos (alert fatigue) | El equipo deja de responder a alertas reales | Fingerprinting más preciso; depurar datos de prueba antes de activar |
| Proteger el repositorio pero no el tránsito | El correo saliente sin control sigue siendo el vector más frecuente | DLP de red obligatorio además del de almacenamiento |
| Shadow IT sin visibilidad | WhatsApp Web y Dropbox personal son puntos ciegos totales | Bloqueo de aplicaciones no autorizadas en endpoint + política de uso aceptable |
| Sin integración con directorio corporativo | Las políticas no diferencian por rol ni área | Integrar con Active Directory o Azure AD antes de activar controles |
| Ignorar PDFs de imagen (documentos escaneados) | El mayor repositorio sensible es invisible al DLP | Seleccionar herramienta con OCR nativo o integrado |
| Implementación sin mantenimiento posterior | Reglas obsoletas ante nuevos vectores o cambios normativos | Revisión trimestral de políticas y patrones de detección |
Casos de uso por sector en Perú
Sector financiero
Los expedientes KYC escaneados, los contratos de crédito, las fichas con DNI y los datos biométricos forman el núcleo del repositorio documental de bancos, financieras y cooperativas. El caso Interbank ilustra el vector más subestimado: credenciales de un tercero con acceso legítimo pero sin controles de volumen. Un DLP bien configurado genera alerta ante una descarga masiva inusual, independientemente de si el usuario tiene credenciales válidas. La integración con los requisitos de la SBS Res. 504-2021 exige que estos controles estén documentados y sean auditables.
Sector salud
Las historias clínicas escaneadas, los resultados de laboratorio en PDF y las evaluaciones psicológicas digitalizadas son datos sensibles bajo la Ley 29733, con el nivel de protección más alto. El vector más frecuente no es el ataque externo: es el acceso de personal de una sucursal a expedientes de otra sede, o la impresión de imágenes de diagnóstico en equipos sin trazabilidad. DLP con OCR sobre PDFs médicos, control de impresión en imagenología y alertas ante acceso fuera de horario o desde ubicación inusual son los controles mínimos para cumplir simultáneamente con la Ley 30024 y la Ley 29733.
Sector legal y notarial
Escrituras públicas escaneadas, contratos con RUC de empresas, poderes notariales y expedientes judiciales digitalizados. El vector específico de este sector es la extracción de la base de clientes antes de la salida de un asociado o socio. Un DLP configurado para alertar cuando se descarga más de un umbral definido de escrituras en una sesión — o cuando se accede a expedientes activos desde fuera de la red corporativa — cubre el riesgo más frecuente con una regla relativamente simple.
Sector público
Los expedientes de licitación con valores referenciales, los padrones de beneficiarios (MIDIS, RENIEC, ESSALUD) y las planillas de empleados públicos constituyen información que la Ley 27806 distingue entre pública y reservada. La taxonomía DLP en entidades públicas debe alinearse explícitamente a esos criterios de reserva e incluir bloqueo de acceso cruzado entre unidades orgánicas sin autorización formal — configuración que también previene la filtración de información de licitación antes de su publicación oficial.
Sector minero y agroindustrial
Los planos de exploración, los informes geológicos, los contratos con comunidades y los expedientes INGEMMET son información estratégica de alto valor competitivo. El vector más frecuente no es el empleado disconforme: son los contratistas especializados con acceso técnico legítimo que no deberían poder extraer información de proyectos que no les corresponden. Un DLP con control de acceso a planos técnicos segmentado por proyecto y empresa contratista, y bloqueo de transferencia de archivos geológicos en etapas de evaluación confidencial, reduce este riesgo sin obstaculizar la operación normal.
Conclusión
La digitalización de documentos físicos concentra el valor informacional de años de operación en un repositorio accesible. Esa concentración es exactamente su fortaleza — y exactamente su riesgo si no se añade una capa de control sobre qué puede salir de ese repositorio y hacia dónde.
El DLP es la capa que hace sostenible la inversión en digitalización. Sin él, los repositorios de documentos escaneados son activos de alto valor sin protección de salida: invisibles para las reglas DLP estándar, expuestos a los vectores de fuga más frecuentes y potencialmente en incumplimiento de la Ley 29733, la normativa SBS o la Ley 30024, según el sector.
Implementar DLP correctamente — con soporte OCR para documentos escaneados, políticas calibradas en modo monitoreo antes de activar bloqueos, y capacitación práctica antes de cada fase de restricción — es lo que separa un proyecto que protege a la organización de uno que el equipo de TI desactiva en semanas por presión operativa. La tecnología está disponible y es accesible para empresas medianas. La diferencia está en el método de implementación.
Una vez que sus documentos físicos están digitalizados con valor legal, el paso siguiente es proteger ese repositorio. En AyP Digital acompañamos ese proceso completo: desde la producción de microformas certificadas según la NTP 392.030-2:2015 hasta la consultoría en protección de repositorios documentales. Puede contactarnos al +51 942 867 653 o escribirnos a ventas@aypdigital.com.
Preguntas frecuentes
¿DLP y antivirus hacen lo mismo?
No. Un antivirus detecta y bloquea software malicioso externo — virus, ransomware, troyanos. Un DLP controla qué información sale de la organización y por qué canal, sin importar si el actor es malicioso o simplemente descuidado. Un empleado que envía una planilla por Gmail personal no activa ninguna alerta de antivirus, pero sí activa una regla DLP configurada para detectar datos de remuneraciones. Los dos sistemas son complementarios, no sustitutos.
¿El DLP puede leer documentos escaneados en PDF?
Depende de la herramienta. La mayoría de sistemas DLP basados en expresiones regulares solo analiza texto extraíble, no imágenes. Un PDF generado por escáner contiene internamente una imagen y pasa completamente invisible. Microsoft Purview DLP incorpora OCR nativo disponible desde mediados de 2026, que extrae el texto de PDFs escaneados, JPG, TIFF y PNG antes de aplicar las reglas de detección. Para empresas con repositorios de documentos físicos digitalizados, el soporte OCR no es una característica adicional: es el requisito mínimo para tener cobertura real.
¿Cuánto tarda implementar DLP en una empresa mediana peruana?
Una implementación realista tiene cinco fases y toma entre 20 y 28 semanas: descubrimiento e inventario (4 semanas), diseño de taxonomía (4 semanas), despliegue en modo monitoreo (6 semanas), activación progresiva de controles (10 semanas) y capacitación continua. Comprimir el proceso — en especial activar bloqueos antes de calibrar las políticas — genera falsos positivos masivos y resistencia organizacional que termina frenando o cancelando el proyecto.
¿Qué pasa si un empleado usa WhatsApp Web o Dropbox personal para evadir el DLP?
Este es el problema del Shadow IT: aplicaciones no autorizadas que crean puntos ciegos en la cobertura. La solución opera en dos niveles. A nivel técnico, el DLP de endpoint puede bloquear aplicaciones de transferencia no autorizadas y restringir la capacidad de captura de pantalla en documentos clasificados. A nivel operativo, una política de uso aceptable clara y capacitación con simulaciones reales reducen el incentivo de buscar canales alternativos. Sin ambas capas actuando en paralelo, la cobertura técnica sola no es suficiente.
