DLP en Microsoft 365: cómo proteger tus datos sensibles con Microsoft Purview

La cantidad de datos confidenciales que manejan hoy las empresas se ha disparado: información financiera, datos personales, propiedad intelectual… y todo ello repartido entre correo electrónico, Teams, SharePoint, dispositivos, apps en la nube y ahora también herramientas de IA como Copilot. En este contexto, perder el control de por dónde circula esa información es cuestión de tiempo si no se toman medidas serias.

Ahí es donde entra en juego la Prevención de Pérdida de Datos (DLP) en Microsoft 365 mediante Microsoft Purview. No se trata solo de bloquear archivos de vez en cuando, sino de contar con un sistema centralizado capaz de detectar contenido sensible, vigilar cómo se usa y poner frenos inteligentes cuando alguien intenta compartirlo de forma inadecuada, sin destrozar la productividad del día a día.

Qué es DLP en Microsoft 365 y por qué es tan crítico

Cuando hablamos de DLP en Microsoft 365 nos referimos a un conjunto de directivas que ayudan a evitar que la información sensible salga donde no debe. Está integrado en Microsoft Purview, la plataforma de gobierno y cumplimiento de datos de Microsoft, y actúa sobre casi todo lo que tus usuarios usan a diario.

Las organizaciones manejan datos especialmente delicados como números de tarjeta de crédito, cuentas bancarias, historiales médicos, números de la seguridad social, datos de empleados, secretos comerciales o documentación protegida por contratos y regulaciones (RGPD, HIPAA, PCI-DSS, etc.). Un envío accidental en un correo, un archivo compartido con gente externa o un copiar-pegar al sitio equivocado pueden provocar una fuga con impacto legal y reputacional enorme.

Con Microsoft Purview DLP puedes definir políticas centralizadas que identifican ese contenido sensible, lo supervisan allí donde se encuentre y aplican acciones de protección automáticas: desde avisar al usuario hasta bloquear totalmente una acción o mandar el archivo a cuarentena.

La clave es que DLP en Microsoft 365 no se limita a buscar palabras sueltas, sino que realiza un análisis profundo del contenido combinando tipos de información confidencial (SIT), expresiones regulares, palabras clave, validaciones internas y, en muchos casos, algoritmos de machine learning para reducir falsos positivos.

Ámbitos de protección: aplicaciones de negocio, dispositivos y tráfico web

Una de las grandes fortalezas de Microsoft Purview DLP es que cubre tanto datos en reposo, en uso y en movimiento a través de diferentes ubicaciones. No se queda solo en Exchange o SharePoint, sino que se extiende a dispositivos, aplicaciones de Office, aplicaciones en la nube de terceros, tráfico web, Copilot y mucho más.

DLP en aplicaciones empresariales y dispositivos

En el ámbito de las aplicaciones y dispositivos, DLP puede vigilar y proteger la información en las principales cargas de trabajo de Microsoft 365 y en otros orígenes adicionales que se configuran desde el portal de Purview.

Entre las ubicaciones soportadas encontramos, entre otras, las siguientes:

• Exchange Online (correo electrónico corporativo).
• SharePoint Online (sitios de colaboración y repositorios de documentos).
• OneDrive para la Empresa (carpetas personales de los usuarios).
• Microsoft Teams (mensajes de chat, canales estándar, compartidos y privados).
• Aplicaciones de Office (Word, Excel, PowerPoint, tanto en escritorio como en web).
• Dispositivos Windows 10, Windows 11 y macOS (tres últimas versiones), incluyendo portátiles, sobremesas y VDI compatibles.
• Aplicaciones en la nube que no son de Microsoft, integradas a través de Defender for Cloud Apps.
• Repositorios locales como recursos compartidos de archivos y SharePoint on-premises, mediante analizadores de Information Protection.
• Áreas de trabajo de Fabric y Power BI, cubriendo informes y datasets.
• Microsoft 365 Copilot (versión preliminar en algunos escenarios) y chat de Copilot.

Para estos orígenes creas directivas DLP dirigidas a “aplicaciones empresariales y dispositivos”, lo que permite un control coherente de las reglas sobre todas estas ubicaciones desde un solo panel.

DLP sobre tráfico web y aplicaciones en la nube no gestionadas

Más allá de los servicios “de la casa”, Purview DLP también puede controlar los datos que salen de tu red hacia aplicaciones en la nube no administradas, especialmente cuando los usuarios acceden con Microsoft Edge para empresas o a través de controles de red.

Aquí entran en juego las directivas orientadas a “tráfico web insertado” y “actividad de red” (características en versión preliminar en algunos entornos), que permiten, por ejemplo, controlar lo que se pega en:

• OpenAI ChatGPT.
• Google Gemini.
• DeepSeek.
• Microsoft Copilot en la web.
• Y más de 34.000 aplicaciones cloud catalogadas en Defender for Cloud Apps.

De este modo, aunque un usuario intente copiar información sensible desde un documento interno a una app externa, la directiva DLP puede detectar el contenido y bloquear o auditar la acción según la configuración que hayas definido.

Funcionalidades clave de Microsoft Purview DLP

Purview DLP no es un simple filtro de contenido: es una pieza central de la estrategia de protección y gobierno de datos de Microsoft. Está pensado para integrarse con otras funcionalidades de Purview y ofrecer un enfoque coherente, desde la clasificación hasta la respuesta ante incidentes.

Entre sus características principales destacan:

• Centro único de administración de políticas desde el portal de Microsoft Purview, para crear, editar y desplegar directivas DLP a escala global.
• Integración con Purview Information Protection, reutilizando etiquetas de confidencialidad y tipos de información sensible listos para usar, personalizados o avanzados (incluyendo clasificadores entrenables).
• Alertas y correcciones unificadas que pueden verse tanto en el panel de DLP de Purview como en Microsoft Defender XDR o Microsoft Sentinel para escenarios de SIEM/SOAR.
• Arranque rápido gracias a plantillas de directiva, sin necesidad de montar infraestructuras complejas en la nube.
• Protección adaptativa, con políticas que cambian de rigor según el nivel de riesgo (alto, moderado o bajo) y el contexto.
• Reducción de falsos positivos mediante análisis contextual del contenido y aprendizaje automático.

Todo ello convierte a Purview DLP en una solución especialmente interesante para sectores regulados (sanidad, banca, administración pública, educación, tecnología) y para cualquier organización que deba cumplir requisitos estrictos como RGPD o HIPAA.

Ciclo de vida de una implementación DLP: de la idea a producción

Montar DLP a lo loco suele ser una receta perfecta para bloquear procesos críticos y cabrear a todo el mundo. Microsoft plantea un ciclo de vida claro que conviene respetar para que la implantación sea un éxito y no un dolor de cabeza.

Fase de planificación

En la etapa de planificación debes pensar tanto en tecnología como en procesos de negocio y cultura de la organización. Algunos hitos importantes:

• Identificar a las partes interesadas: responsables de seguridad, legal, negocio, IT, RRHH, etc.
• Definir las categorías de información confidencial que necesitas proteger (datos personales, financieros, IP, etc.).
• Determinar objetivos y estrategia: qué quieres evitar exactamente (envío externo, copia a USB, subida a ciertas apps, etc.).
• Evaluar las ubicaciones en las que vas a aplicar DLP: servicios de Microsoft 365, dispositivos, repositorios locales, aplicaciones en la nube externas…

Además, hay que considerar el impacto en los procesos empresariales. DLP puede bloquear acciones habituales (por ejemplo, mandar determinados informes por correo a un proveedor) y eso implica negociar excepciones, crear flujos alternativos o adaptar hábitos.

Por último, no olvides la parte de cambio cultural y formación. Los usuarios tienen que entender por qué se bloquean ciertas acciones y cómo trabajar de forma segura. Las sugerencias de directiva in-app son una herramienta muy útil para educar sin frenar demasiado.

Preparar el entorno y requisitos previos

Antes de activar políticas que bloqueen cosas, debes asegurarte de que todas las ubicaciones están correctamente preparadas y conectadas a Purview:

• Exchange Online, SharePoint, OneDrive y Teams solo requieren definir directivas que los incluyan.
• Los repositorios de archivos locales y SharePoint on-premise necesitan desplegar el analizador de Information Protection.
• Los dispositivos Windows, macOS y entornos virtualizados se incorporan mediante procedimientos específicos de onboarding.
• Las aplicaciones cloud de terceros se gestionan a través de Microsoft Defender for Cloud Apps.

Una vez preparadas las ubicaciones, lo recomendable es configurar políticas en borrador y probarlas extensivamente antes de que empiecen a bloquear.

Implementación incremental: simulación, ajustes y activación

La implantación de una directiva DLP debería seguir un enfoque por fases, jugando con tres ejes de control: estado, ámbito y acciones.

Los estados principales de una directiva son:

• Mantenerla desactivada: diseño y revisión, sin impacto real.
• Ejecutar la directiva en modo de simulación: se registran los eventos, pero no se aplican acciones bloqueantes.
• Simulación con sugerencias de directiva: se sigue sin bloquear, pero los usuarios reciben avisos y correos (según el caso) que les van entrenando.
• Activarla de inmediato: modo de cumplimiento total, se aplican todas las acciones configuradas.

Durante las fases de simulación, puedes ajustar el ámbito de la directiva: empezar con un conjunto reducido de usuarios o ubicaciones (grupo piloto) e ir ampliando a medida que afinas condiciones, excepciones y mensajes a usuario.

En cuanto a las acciones, conviene iniciar con opciones poco invasivas como “Permitir” o “Solo auditar”, ir introduciendo notificaciones y, finalmente, pasar a bloquear con posibilidad de invalidación y, en los casos más críticos, a bloqueo definitivo.

Componentes de una directiva DLP en Microsoft 365

Todas las directivas DLP de Microsoft Purview comparten una estructura lógica: qué se supervisa, dónde, bajo qué condiciones y qué se hace al detectarlo. A la hora de crearla (desde cero o desde plantilla) tendrás que ir tomando decisiones en cada una de estas áreas.

Qué supervisar: plantillas y políticas personalizadas

Purview ofrece plantillas de directiva DLP ya preparadas para escenarios comunes (por país, normativa, sector, etc.) que incluyen tipos de información confidencial típicos de cada regulación, incluyendo metadatos en PDFs. Si lo prefieres, también puedes crear tu propia política personalizada y elegir los SIT o condiciones que quieras.

Ámbito administrativo y unidades administrativas

En entornos grandes es habitual delegar la gestión en distintas áreas. Para ello puedes usar unidades administrativas en Purview: un administrador asignado a una unidad solo puede crear y administrar políticas para los usuarios, grupos, sitios y dispositivos de su ámbito.

Esto encaja bien cuando quieres que, por ejemplo, el equipo de seguridad de una región gestione sus propias políticas DLP sin tocar el resto del tenant.

Ubicaciones de la directiva

El siguiente paso es seleccionar dónde va a vigilar la directiva. Algunas de las opciones más habituales son:

Ubicación	Criterio de inclusión/exclusión
Correo de Exchange	Grupos de distribución
Sitios de SharePoint	Sitios concretos
Cuentas de OneDrive	Cuentas o grupos de distribución
Chats y canales de Teams	Cuentas o grupos de distribución
Dispositivos Windows y macOS	Usuarios, grupos, dispositivos y grupos de dispositivos
Aplicaciones cloud (Defender for Cloud Apps)	Instancias
Repositorios locales	Rutas de carpetas
Fabric y Power BI	Áreas de trabajo
Microsoft 365 Copilot	Cuentas o grupos de distribución

Condiciones de coincidencia

Las condiciones definen qué debe cumplirse para que una regla DLP “salte”. Algunos ejemplos típicos:

• El contenido contiene uno o varios tipos de información confidencial (p. ej. 95 números de la seguridad social en un email a destinatarios externos).
• El elemento tiene aplicada una etiqueta de confidencialidad concreta (p. ej. “Extremadamente confidencial”).
• El contenido se está compartiendo fuera de la organización desde Microsoft 365.
• Se está copiando un archivo sensible a un USB o recurso compartido de red.
• Se pega contenido confidencial en un chat de Teams o en una app en la nube no gestionada.

Acciones de protección

Una vez que se cumple la condición, la directiva puede ejecutar distintas acciones de protección, dependiendo de la ubicación:

• En Exchange, SharePoint y OneDrive: impedir acceso de usuarios externos, bloquear el uso compartido, mostrar una sugerencia de directiva al usuario y enviarle una notificación.
• En Teams: bloquear que la información sensible aparezca en mensajes de chat o canal; si se comparte, el mensaje puede eliminarse o no mostrarse.
• En dispositivos Windows y macOS: auditar o restringir acciones como copiar a USB, imprimir, copiar al portapapeles, subir a Internet, sincronizar con clientes externos, etc.
• En Office (Word, Excel, PowerPoint): mostrar una advertencia emergente, bloquear el guardado o el envío, permitir invalidación con justificación.
• En repositorios locales: mover archivos a una carpeta de cuarentena segura cuando se detecta información sensible.

Además, todas las actividades supervisadas se registran en el registro de auditoría de Microsoft 365 y pueden consultarse en el Explorador de actividad DLP.

DLP en Microsoft Teams: mensajes, documentos y ámbitos

Microsoft Teams se ha convertido en el epicentro de la colaboración, lo que significa que también es un punto crítico para posibles fugas de datos. DLP en Teams extiende las políticas de Purview a los mensajes y archivos compartidos dentro de la plataforma.

Protección de mensajes y documentos en Teams

Con DLP de Microsoft Purview puedes evitar que un usuario comparta información confidencial en un chat o canal, especialmente cuando hay invitados o usuarios externos involucrados. Algunos escenarios habituales:

• Si alguien intenta publicar en un chat un número de la seguridad social o datos de tarjeta de crédito, el mensaje puede bloquearse o eliminarse automáticamente.
• Si se comparte un documento con información sensible en un canal con invitados, la política DLP puede impedir que esos invitados abran el archivo (gracias a la integración con SharePoint y OneDrive).
• En canales compartidos, se aplica la directiva del equipo host, incluso si el canal se comparte con otro equipo interno o con otra organización (tenant distinto).
• En chats con usuarios externos (acceso externo), cada persona se rige por las DLP de su propio tenant, pero el resultado final es que el contenido sensible de tu empresa se protege por tus políticas, aunque el otro lado tenga otras diferentes.

Ámbitos de protección DLP en Teams

La cobertura DLP en Teams depende del tipo de entidad y del ámbito de la directiva. Por ejemplo:

• Si apuntas a cuentas de usuario individuales o a grupos de seguridad, puedes proteger chats 1:1 o grupales, pero no necesariamente mensajes en canales estándar o privados.
• Si apuntas a grupos de Microsoft 365, la protección puede cubrir tanto chats como mensajes de canales estándar, compartidos y privados asociados a esos grupos.

Para proteger “todo lo que se mueve” en Teams suele recomendarse configurar el ámbito a todas las ubicaciones o asegurarse de que los usuarios de Teams están en grupos bien alineados con las directivas.

Sugerencias de directiva en Teams

En lugar de limitarse a bloquear, DLP en Teams puede mostrar sugerencias de directiva cuando alguien hace algo potencialmente peligroso, como enviar un dato regulado. Estas sugerencias explican el motivo y ofrecen opciones al usuario: corregir el contenido, solicitar revisión o, si la política lo permite, invalidar la regla con una justificación.

Estas sugerencias son altamente personalizables desde el portal de Purview: puedes adaptar el texto, decidir en qué servicios se muestran y si se verán también en modo de simulación.

DLP de punto de conexión: control en Windows, macOS y entornos virtuales

El componente de DLP de punto de conexión extiende la protección a los dispositivos que usan los empleados, tanto físicos como virtuales. Permite saber qué pasa cuando un archivo sensible se copia, se imprime, se sube a la nube o se transfiere por canales “no visibles” desde el lado servidor.

Endpoint DLP soporta Windows 10 y 11, así como macOS (tres últimas versiones). También funciona en entornos virtualizados como Azure Virtual Desktop, Windows 365, Citrix Virtual Apps and Desktops, Amazon Workspaces o máquinas virtuales Hyper-V, con algunas particularidades. Además, puede complementarse con tecnologías como Credential Guard en Windows para fortalecer la protección en endpoints.

En entornos VDI, los dispositivos USB suelen tratarse como recursos compartidos de red, por lo que la política debe incluir la actividad “Copiar a recurso compartido de red” para cubrir la copia a USB. En los registros, estas operaciones se reflejan como copias a recursos compartidos, aunque en la práctica sea un pendrive.

También hay algunas limitaciones conocidas, como la imposibilidad de supervisar ciertas actividades de copia al portapapeles vía navegador en Azure Virtual Desktop, aunque la misma acción sí se vea si se hace a través de una sesión RDP.

DLP y Microsoft 365 Copilot / Copilot Chat

Con la llegada de Copilot, las organizaciones se han dado cuenta de que los datos sensibles también pueden acabar en solicitudes e interacciones con la IA. Microsoft ha incorporado controles DLP específicos para Copilot dentro de Purview, de modo que puedas limitar qué información entra en las peticiones y qué datos se usan para elaborar las respuestas.

Bloquear tipos de información confidencial en los mensajes a Copilot

En versión preliminar, puedes crear directivas DLP destinadas a la ubicación “Microsoft 365 Copilot y Copilot Chat” que bloquean el uso de ciertos tipos de información confidencial (SIT) en las solicitudes. Por ejemplo:

• Evitar que se incluyan números de tarjeta de crédito, identificaciones de pasaporte o números de seguridad social en los prompts.
• Impedir que se envíen direcciones postales de un país concreto o identificadores financieros regulados.

Cuando se da una coincidencia, la regla puede impedir que Copilot procese el contenido, de modo que el usuario recibe un mensaje avisando de que su solicitud contiene datos bloqueados por la organización y no se ejecuta ni se usa para búsquedas internas o web.

Evitar que archivos y correos etiquetados se usen en resúmenes

Otra capacidad es impedir que archivos o correos con ciertas etiquetas de confidencialidad se utilicen para generar el resumen de respuesta de Copilot, aunque puedan seguir apareciendo como citas o referencias.

La directiva, de nuevo orientada a la ubicación de Copilot, utiliza la condición “El contenido contiene > Etiquetas de confidencialidad” para detectar elementos etiquetados, por ejemplo, como “Personal” o “Altamente confidencial”, y aplica la acción “Impedir que Copilot procese contenido”. En la práctica, Copilot no lee el contenido de esos elementos para construir la respuesta, aunque indique que existen.

Informes, alertas y análisis de actividad DLP

Configurar políticas es solo la mitad de la película: la otra mitad es ver qué está pasando y reaccionar a tiempo. Purview DLP envía toda su telemetría al registro de auditoría de Microsoft 365 y desde ahí se distribuye a diferentes herramientas.

Panel de información general

La página de información general de DLP en el portal de Purview ofrece una vista rápida del estado de tus directivas: sincronización, estado de dispositivos, principales actividades detectadas y situación general. Desde ahí puedes saltar a vistas más detalladas.

Alertas DLP

Cuando una regla de DLP está configurada para generar incidentes, las actividades que cumplan los criterios disparan alertas que se visualizan en el panel de alertas DLP de Purview y también en el portal de Microsoft Defender.

Estas alertas se pueden agrupar por usuario, ventana de tiempo o tipo de regla, según tu suscripción, lo que ayuda a detectar patrones de comportamiento de riesgo. En Purview suelen estar disponibles 30 días, mientras que en Defender se pueden conservar hasta seis meses.

Explorador de actividad DLP

El Explorador de actividad de DLP permite filtrar y analizar eventos detallados de los últimos 30 días. Incluye vistas preconfiguradas como:

• Actividades DLP en puntos de conexión.
• Archivos que contienen tipos de información confidencial.
• Actividades de salida (egress).
• Políticas y reglas que han detectado actividades.

También es posible ver invalidaciones de usuario (cuando alguien ha decidido saltarse una regla permitida) o coincidencias de reglas específicas. En el caso de eventos de tipo DLPRuleMatch, incluso se puede consultar un resumen contextual del texto alrededor del contenido coincidente, respetando las políticas de privacidad y versiones mínimas de sistema requeridas.

Con todo este ecosistema de políticas, alertas, exploradores de actividad y controles sobre aplicaciones, dispositivos, Teams, Copilot y tráfico web, Microsoft Purview DLP se convierte en una pieza clave para mantener bajo control los datos sensibles en Microsoft 365, reducir riesgos de fuga, cumplir normativas y, al mismo tiempo, dejar que las personas puedan trabajar con relativa libertad sin vivir en un estado de bloqueo constante.