Evitar que se filtren datos en correos y archivos adjuntos (beta)

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard y Enterprise Plus y Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus. Comparar ediciones

La función DLP de Gmail también está disponible para los usuarios de Cloud Identity Premium con licencias de ediciones de Google Workspace que incluyan Gmail.

Puedes crear reglas de prevención de la pérdida de datos (DLP) en la consola de administración de Google para gestionar el contenido sensible que comparten tus usuarios en los mensajes de correo. Con DLP para Gmail, las reglas se aplican a los mensajes enviados a usuarios tanto dentro como fuera de tu organización. Usa reglas para identificar información sensible y evitar que se comparta dentro y fuera de tu organización.

En esta página

Funciones de DLP en Gmail

Con DLP Gmail, los administradores pueden hacer lo siguiente:

  • Crear reglas de protección de datos para Gmail u otras aplicaciones de Google Workspace que usen DLP, como Gmail, Google Chat y Drive.
  • Implementar distintas acciones cuando se cometan infracciones de reglas. Por ejemplo, puedes bloquear la entrega de mensajes de correo y enviar al usuario una notificación (Bloquear mensaje), advertir a los usuarios sobre la información sensible detectada en el mensaje, pero permitir que la envíen de todos modos (Advertir a los usuarios), poner un mensaje en cuarentena para que un administrador lo revise antes de que se envíe o se devuelva (Poner mensaje en cuarentena), o enviar el mensaje y registrar el evento de prevención de la pérdida de datos para una auditoría futura y evaluar el impacto de las nuevas reglas (solo auditoría).
  • Definir condiciones mediante cadenas de texto y detectores predefinidos y personalizados, como palabras clave y expresiones regulares.
  • Añadir reglas que añadan automáticamente etiquetas de clasificación a los mensajes nuevos en función de las condiciones que especifiquen. Por ejemplo, puedes aplicar la etiqueta de clasificación Confidencial cuando los mensajes contengan información sensible, financiera o personal identificable.  
  • Detectar cuándo se ha habilitado el modo confidencial en un mensaje y usar el estado del modo confidencial como condición para permitir que los usuarios envíen mensajes con contenido sensible.
  • Implementar obligatoriamente reglas a unidades organizativas o grupos concretos, o a toda la organización.
  • Informar a los administradores cuando se han infringido las reglas en el Centro de alertas para que puedan investigar el problema.
  • Utilizar el reconocimiento óptico de caracteres (OCR) para escanear el texto de las imágenes de todos los archivos adjuntos de los mensajes.

¿En qué consiste la función DLP de Gmail?

Cuando un usuario envía un mensaje de correo, DLP lo analiza en busca de contenido sensible. Si un mensaje o un archivo adjunto infringe una regla, se le aplicará la acción definida en la regla.

Resumen del flujo:

  1. Creas reglas de DLP para determinar qué contenido es sensible y debe protegerse.
  2. Cuando un usuario envía un mensaje de correo, DLP analiza el contenido para ver si coincide con alguna regla. 
  3. Si se encuentra una coincidencia, DLP aplica la acción definida en la regla.
  4. Todos los eventos se registran en los eventos de registro de reglas para que se revisen. Más información sobre los eventos de registro de reglas

Acerca de la búsqueda síncrona y asíncrona

Con DLP para Gmail, las reglas de protección de datos se pueden analizar de forma síncrona o asíncrona: 

  • Análisis síncrono: las reglas de protección de datos se analizan cuando el usuario hace clic en el botón Enviar. Los usuarios reciben una notificación sobre el contenido sensible antes de que el mensaje de correo salga de su buzón de correo cuando utilizan Gmail en la Web o con una aplicación móvil.
  • Análisis asíncrono: las reglas de protección de datos se analizan después de que el mensaje de correo salga del buzón de correo del remitente. Los usuarios reciben un mensaje en el que se les indica que el mensaje se ha bloqueado o puesto en cuarentena antes de enviarlo al destinatario. El análisis asíncrono se produce cuando un usuario envía un mensaje mediante una aplicación de correo de terceros y el análisis sincrónico no se realiza correctamente.

Resultados de los análisis síncronos y asíncronos

Escaneo síncrono: Gmail en la Web o en móviles

Cuando se activa una regla con la acción Bloquear mensaje

  • Se abre un cuadro de diálogo que advierte al usuario de que el mensaje no se puede enviar en su estado actual. Puedes añadir un mensaje personalizado en la regla de esta alerta.
  • El cuadro tiene la opción Volver a editar para que el usuario pueda volver a editar el mensaje.
  • Cuando el usuario vuelve a enviar el mensaje después de editarlo, el mensaje se vuelve a analizar con todas las reglas aplicables.

Cuando se activa una regla con la acción Advertir a los usuarios:

  • Se abre un cuadro de diálogo para avisar al usuario de que el mensaje puede incluir contenido sensible. Puedes añadir un mensaje personalizado en la regla de esta alerta.
  • El cuadro tiene la opción Volver a editar para que el usuario pueda volver a editar el mensaje.
  • El cuadro incluye la opción Enviar de todos modos para que el usuario pueda enviar el mensaje en su estado actual.

Cuando se activa una regla con la acción Poner mensaje en cuarentena:

  • Se abre un cuadro de diálogo para alertar al usuario sobre el posible contenido sensible del mensaje. Puedes añadir un mensaje personalizado en la regla de esta alerta.
  • El cuadro tiene la opción Volver a editar para que el usuario pueda volver a editar el mensaje.
  • El cuadro tiene un botón Enviar para revisión, de forma que el usuario puede enviar el mensaje para que lo revise un administrador u otro usuario autorizado. Después de revisar el mensaje, el administrador puede aprobar que se envíe al destinatario o rechazarlo y bloquearlo para que no se envíe.

Cuando se activa una regla con la acción Solo auditoría:

Nota: Los mensajes que se analizan de forma sincrónica pueden analizarse una vez más de forma asíncrona como medida de seguridad adicional. Esto puede provocar que el mensaje se bloquee, aunque no se muestre ningún cuadro de diálogo durante el análisis síncrono.

Análisis asíncrono: Gmail con SMTP y una aplicación de correo de terceros

Cuando se activa una regla con la acción Bloquear mensaje

  • El remitente verá el mensaje en su buzón de correo Enviados.
  • Poco después, el remitente recibe un mensaje en el que se indica que el mensaje se ha bloqueado. Puedes añadir un mensaje personalizado en la regla de esta alerta.

Cuando se activa una regla con la acción Advertir a los usuarios

  • El remitente verá el mensaje en su buzón de correo Enviados.
  • El remitente recibirá un mensaje poco después de enviarlo, indicando que el mensaje se ha bloqueado. Puedes añadir un mensaje personalizado en la regla de esta alerta.

  • En el caso de los mensajes enviados mediante aplicaciones de correo de terceros conectadas a Gmail con SMTP, las reglas con la acción Advertir a los usuarios se comportan como las reglas con la acción Bloquear mensaje.

Cuando se activa una regla con la acción Poner mensaje en cuarentena

  • El remitente verá el mensaje en su buzón de correo Enviados.
  • Si el administrador ha bloqueado el mensaje, es posible que el remitente reciba una alerta que indique que el mensaje se ha puesto en cuarentena. Puedes añadir un mensaje personalizado en la regla de esta alerta.

Cuando se activa una regla con la acción Solo auditoría:  

  • El remitente no recibe ninguna notificación y el mensaje se entrega normalmente al destinatario.

Escaneo asíncrono: Gmail en la Web o en móviles

Cuando usas Gmail en la Web o en una aplicación móvil, los mensajes se analizan de forma asíncrona una vez más como medida de seguridad adicional.

Cuando se activa una regla con la acción Bloquear mensaje

  • El remitente verá el mensaje en su buzón de correo Enviados.
  • Poco después, el remitente recibe un mensaje en el que se indica que el mensaje se ha bloqueado. Puedes añadir un mensaje personalizado en la regla de esta alerta.

Cuando se activa una regla con la acción Advertir a los usuarios, se envía el mensaje:

  • El remitente puede ver el mensaje en el buzón de correo Enviados.
  • El evento de mensaje se registra en Eventos de registro de reglas.

Cuando se activa una regla con la acción Poner mensaje en cuarentena

  • El remitente puede ver el mensaje en el buzón de correo Enviados.
  • Es posible que reciba una notificación más adelante si el revisor ha impedido el envío del mensaje.

Cuando se activa una regla con la acción Solo auditoría:  

  • El remitente no recibe ninguna notificación y el mensaje se entrega al destinatario.

Mensajes creados automáticamente por otros productos de Google

Gmail envía notificaciones automáticas y mensajes creados por otros servicios de Google y de Google Workspace, como Calendar, Documentos y Drive. Por ejemplo, cuando alguien crea un evento en Google Calendar e invita a otros usuarios, se crea un mensaje de Gmail con los detalles del evento y se envía a los participantes. El mensaje se analiza en el servidor. Si el contenido de un mensaje cumple las condiciones de alguna regla, se aplica la acción de la regla.

Cuando se activa una regla con la acción Bloquear mensaje

  • El remitente verá el mensaje en su buzón de correo Enviados.
  • Poco después, el remitente recibe un mensaje en el que se indica que el mensaje se ha bloqueado. Puedes añadir un mensaje personalizado en la regla de esta notificación.

Cuando se activa una regla con la acción Advertir a los usuarios, el mensaje se envía.

  • El mensaje se envía normalmente.
  • El remitente puede ver el mensaje en el buzón de correo Enviados.
  • El evento de mensaje se registra en Eventos de registro de reglas

Cuando se activa una regla con la acción Poner mensaje en cuarentena

  • Es posible que el remitente reciba una notificación más adelante si el revisor ha impedido el envío del mensaje.

Cuando se activa una regla con la acción Solo auditoría:  

  • El mensaje se envía normalmente.
  • El remitente no recibe ninguna notificación.

¿Qué se analiza?

Solo se analizan los mensajes salientes. El tipo de contenido que se va a analizar seleccionado en la regla determina qué parte del mensaje se analiza:

  • Todo el contenido: se analizan de forma sincrónica el asunto, los campos Para, De, Cco y Cc, y el cuerpo del mensaje. Los archivos adjuntos se analizan de forma asíncrona. Los archivos adjuntos incluyen archivos e imágenes. También se analizan los nombres de archivo de los archivos adjuntos. Ve a la sección Tipos de archivos admitidos de esta página.
    Importante: Solo se analizan 5 tipos de encabezados (Asunto, Para, De, Cco y Cc) en la condición Todo el contenido, ya que están disponibles inmediatamente para el análisis síncrono. Para analizar todos los encabezados de mensajes, te recomendamos que uses una de estas opciones:
    • Añada una condición con el operador OR para analizar los encabezados de correo
    • Crea una regla independiente para analizar los encabezados de correo
  • Cabeceras de correo electrónico: todo el contenido de las cabeceras de correo (además de los campos Asunto, Para, De, Cco y CC). Todos los encabezados de mensajes se analizan de forma asíncrona porque algunos no están disponibles para el análisis síncrono.
  • Cuerpo: el cuerpo del mensaje se analiza de forma sincrónica y los archivos adjuntos, de forma asíncrona. 
  • Asunto: se analiza el asunto de forma sincrónica.
  • Etiqueta de clasificación: etiquetas de clasificación que un usuario ha aplicado manualmente o que se han aplicado automáticamente mediante una regla de DLP. Una regla no puede tener Etiquetas de clasificación como condición y Aplicar clasificación como acción
  • Estado del modo Confidencial: indica si el mensaje tiene habilitado el modo Confidencial. Te recomendamos que uses esta condición con otras condiciones de regla. Por ejemplo, si el cuerpo del mensaje contiene un ID fiscal y el mensaje no utiliza el modo Confidencial, se bloqueará el envío del mensaje. Más información sobre el modo Confidencial

Tipos de archivos adjuntos admitidos

Las reglas de protección de datos analizan estos tipos de archivos adjuntos:

  • Tipos de archivos de documentos: TXT, DOC, DOCX, RTF, HTML,XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON y SH
  • Tipos de archivos de imagen (cuando el OCR está activado): EPS, BMP, GIF, JPEG, PNG e imágenes incluidas en archivos PDF
  • Tipos de archivos comprimidos: BZIP, RAR, TAR y ZIP
  • Tipos de archivos personalizados: HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML y XPS

¿Cómo interactúa DLP con otras reglas de correo?

Las reglas de protección de datos se evalúan antes que las reglas de cumplimiento de las normas de contenido y las de enrutamiento.

Si las reglas de protección de datos no bloquean o ponen en cuarentena un mensaje, se evalúan las reglas de cumplimiento de las normas de contenido y de enrutamiento. Si una regla de enrutamiento o de cumplimiento de las normas de contenido aplica una acción que crea otra copia del mensaje (por ejemplo, se añade un destinatario nuevo), DLP analiza las nuevas copias del mensaje antes de enviarlas.
Para obtener más información sobre las reglas de cumplimiento de las normas de contenido, consulta el artículo Configurar reglas avanzadas para filtrar el contenido de mensajes de correo.

Limitaciones conocidas

  • Durante la fase beta, las reglas de protección de datos con la acción Aplicar etiqueta de clasificación se aplican solo de forma asíncrona.
    • No uses la acción Advertir en las reglas. Durante la fase beta, esta acción se ignora.
    • El remitente no recibe ninguna notificación sobre las etiquetas de clasificación que se aplican a un mensaje y no ve la etiqueta aplicada al mensaje en su buzón de correo Enviados.
  • Las direcciones de correo electrónico de alias de grupo se tratan como destinatarios internos. Si el grupo tiene miembros externos, no se aplican las reglas destinadas a los mensajes externos.
  • Las reglas no se aplican a los grupos. Si un mensaje se envía en nombre de un grupo, no se aplican reglas.

Para conocer los límites de análisis de mensajes, consulta Límites de contenido de DLP de Gmail.

Crear una regla de protección de datos para Gmail

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Reglas.
  3. En la página Clasificación y protección del contenido sensible, haz clic en Crear regla.
  4. Haz clic en Nombre y escribe el nombre de la regla y, si quieres, una descripción.
  5. En Ámbito, elige una opción:
    • Para aplicar la regla a toda tu organización, selecciona Todo en domain.name.
    • Para aplicar la regla a unidades organizativas o grupos específicos, selecciona Unidades organizativas o grupos e incluye o excluye las unidades organizativas y los grupos.
  6. Haz clic en Continuar.
  7. (Opcional) Para comprobar si el OCR está activado, haz clic en Comprobar y marca la casilla Gmail para activar el OCR en Gmail.
  8. En Gmail, marca la casilla Mensaje enviado.
  9. Haz clic en Continuar.
  10. Para añadir una condición, haz clic en Añadir condición y selecciona la parte del mensaje que se escanea:

    Si creas una regla sin ninguna condición, se aplicará la acción especificada a todos los mensajes de Gmail y a todas las partes del mensaje.

    • Todo el contenido: se analizan la cabecera, el asunto, el cuerpo y los archivos adjuntos del mensaje.
    • Cuerpo: se analizan el cuerpo del mensaje y los archivos adjuntos.
    • Cabeceras de correo electrónico: se analizan la cabecera y el asunto del mensaje. Si el mensaje se envía con el cifrado del lado del cliente de Google Workspace (CLC), solo se podrá analizar el contenido de las cabeceras del correo electrónico (incluido el asunto).
    • Asunto: solo se analiza el asunto del mensaje.
    • Etiquetas de clasificación (beta): escanea las etiquetas de clasificación aplicadas a los mensajes.  Durante la fase beta, las reglas con esta condición se aplican de forma asíncrona. No utilices la acción Advertir como condición de una regla, ya que solo se usa para operaciones sincrónicas.
    • Estado del modo Confidencial (beta): comprueba si el modo Confidencial está activado para los mensajes.
  11. Haz clic en Continuar
  12. Haz clic en Acción y elige una opción:

    Todas las acciones se registran en eventos de registro de reglas.

    • Bloquear mensaje: no envía el mensaje de inmediato y muestra una alerta al remitente sobre la información potencialmente sensible que contiene. El remitente puede editar el mensaje y volver a intentar enviarlo.
    • Advertir a los usuarios (no disponible en la versión beta): no envíe el mensaje de inmediato y muestre una alerta al remitente. El remitente puede enviar el mensaje tal cual o editarlo y volver a intentarlo.
    • Poner mensaje en cuarentena: no envíes el mensaje de inmediato y muestra una alerta al remitente. El remitente puede enviar el mensaje tal cual o enviarlo para que lo revise un administrador u otra persona cualificada. Debes seleccionar una opción del menú Condición de cuarentena.
    • Solo auditoría: el mensaje se envía normalmente. No se muestra ninguna alerta. El mensaje se analiza en busca de infracciones de las reglas y se registra como un evento que un administrador puede revisar más adelante.
    • Aplicar etiqueta de clasificación: aplica una etiqueta de clasificación a los mensajes que cumplan las condiciones. Debes seleccionar una opción de los menús Campo de etiqueta y Opciones de campo. Durante la fase beta, las reglas con esta acción solo se aplican de forma asíncrona.
  13. En Selecciona cuándo debe realizarse esta acción, elige si la acción se debe aplicar a los mensajes internos, a los mensajes externos o a ambos. 
  14. (Opcional) Para crear una alerta personalizada, marca la casilla Personalizar mensaje e introduce el texto de la alerta. Las alertas pueden tener hasta 300 caracteres (incluidos los caracteres de las URLs) y pueden incluir URLs. Si no creas un mensaje personalizado, en el cuadro se mostrará el mensaje predeterminado.
  15. (Opcional) En el menú Alertas, elige un nivel de gravedad para los eventos de mensajes notificados: Baja, Media o Alta. El nivel de gravedad se registra en los eventos de registro de reglas y se puede utilizar para investigar el incidente.
  16. (Opcional) Para elegir si quieres enviar una alerta sobre los eventos de mensajes (un mensaje activado por esta regla), marca la casilla Enviar al Centro de alertas. También puedes enviar una notificación de alerta a los superadministradores con la opción Todos los superadministradores. Introduce otra notificación de alerta para otros destinatarios.
  17. Haz clic en Continuar y revisa los detalles de la regla. 
  18. Elige un estado para la regla:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla se ha añadido, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros usuarios antes de implementarla. Para activar la regla más adelante, en la consola de administración, ve a Seguridady luegoAcceso y control de datosy luegoProtección de datosy luegoGestionar reglas, cambia el estado a Activo y haz clic en Confirmar
  19. Haz clic en Crear.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Investigar eventos de reglas de DLP con la herramienta de investigación de seguridad

Buscar eventos de registro de reglas

En el ejemplo siguiente se hace una búsqueda para investigar los mensajes de Gmail que activaron una regla de DLP. Puedes utilizar otras condiciones en la búsqueda o no incluir ninguna.

  1. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  2. Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.
  3. Haz clic en Añadir condicióny luegoAtributoy luegoTipo de regla.
  4. Selecciona DLP.
  5. Haz clic en Buscar.
    En los resultados de búsqueda que aparecen en la parte inferior de la página, verás una lista de eventos con detalles sobre cada uno de ellos.

    Nota: Los fragmentos de contenido sensible no son compatibles con DLP de Gmail (beta). Por lo tanto, en la columna Incluye contenido sensible se mostrará el valor Falso aunque un mensaje contenga contenido sensible que haya activado una regla de DLP.

  6. Desplázate hasta el ID de recurso y haz clic en Menú para hacer el cambio de Eventos de registro de Gmail > ID de mensaje.
  7. Haz clic en Buscar para abrir una nueva página de búsqueda en la que la fuente de datos es Eventos de registro de Gmail.
  8. Para ver más detalles, haz clic en el ID de mensaje de cualquier fila de los resultados de búsqueda. Aparecerá un panel lateral con más detalles sobre la investigación.
  9. Si se te solicita, indica la necesidad de la empresa para ver el contenido de Gmail y haz clic en Confirmar.

Exportar infracciones de DLP con BigQuery

Puedes exportar las infracciones de DLP registradas en eventos de registro de reglas a tablas personalizadas para investigarlas más a fondo. Para obtener más información, consulta el artículo Configurar exportaciones de registros de servicios a BigQuery.

Enviar comentarios

En la consola de administración de cualquier página de protección de datos, haz clic en Enviar comentarios.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
2010418697524073343
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false