Can DLP products detect data pasted into web forms?

Acronis DeviceLock detected SSN data pasted into Pastebin and Google Translate by inspecting HTTP POST bodies. ManageEngine DLP Plus does not inspect clipboard paste. Enabling "Allow Within Trusted Applications" mode indirectly closes this gap by restricting which applications can open sensitive files.

Can the DLP agent be stopped or uninstalled by a standard user?

No. Both products protect against service stop, process kill, and uninstall attempts by standard users. All three tamper tests passed on both. For defense against local administrator accounts, Acronis offers the DeviceLock Administrators list to restrict who can uninstall, stop, or modify the agent. ManageEngine has no equivalent product-level mechanism, so admin rights must be controlled through Active Directory.

Do DLP products detect SSN written in different formats?

Acronis detected SSNs with spaces, dots, and without separators. ManageEngine detected only the standard hyphenated format (XXX-XX-XXXX).

Why are only two of the six products tested hands-on?

Vendor trial availability. ManageEngine and Acronis DeviceLock DLP provided working trials on Windows Server 2022 within our research window. The other four products (Netwrix, Sophos, Teramind, Trellix) required sales-led demo approvals that did not complete in time, so we rely on the prior feature reviews for those. As new trials become available, we will re-run the full 28-scenario benchmark on those products and refresh the findings below.

Ciberseguridad Seguridad de los datos Prevención de pérdida de datos

Análisis de DLP: Pruebas comparativas de 6 productos DLP

Ekrem Sarı

actualizado el Abr 30, 2026

Vea nuestra normas éticas

Aprovechando mis dos décadas de experiencia como profesional de la ciberseguridad, seleccioné el mejor software DLP para proteger información confidencial y cumplir con las normativas. Probé seis soluciones DLP durante un mes, centrándome en características clave como la cobertura de canales, la facilidad de implementación y la precisión de la clasificación. Consulte los resultados a continuación:

Productos	Características existentes	Características faltantes
Netwrix Endpoint Protector	17	0
ManageEngine DLP Plus	16	1
Teramind DLP	14	3
Sophos Intercept X	12	5
Trellix DLP	10	7
Acronis Cyber Protect	6	11

Consulte los resultados de las pruebas comparativas a continuación para ver qué características se ofrecen y cuáles faltan:

Resultados de la prueba comparativa: Comparación de características

Comparamos estos productos en cuatro dimensiones. Puedes consultar las descripciones de estas dimensiones o nuestra metodología de evaluación comparativa . Para ayudar a las empresas a seleccionar el producto DLP adecuado, realizamos un análisis comparativo exhaustivo de seis soluciones DLP populares, todas con pruebas gratuitas.

Cobertura del canal

* Los archivos adjuntos que se clasifican como datos confidenciales pueden bloquearse o auditarse, y los usuarios internos y externos pueden ser bloqueados por software.
** Se permite que determinadas aplicaciones abran, editen o capturen datos confidenciales mediante software.

Administración

Clasificación de datos

Otras capacidades

* Acronis ofrece una opción de filtrado web como complemento, categorizada como "filtrado de URL basado en la nube".

¿Cómo elegir la solución DLP adecuada para su negocio?

Si bien todas las herramientas DLP probadas cubren eficazmente los canales de datos principales, como periféricos, correo electrónico y aplicaciones, la clasificación de datos sigue siendo un desafío constante. Una clasificación precisa es fundamental para prevenir la pérdida de datos y evitar falsos positivos. Basándonos en nuestros hallazgos, ofrecemos las siguientes prácticas recomendadas para probar soluciones DLP de forma segura y eficaz:

Simule datos realistas : Genere conjuntos de datos de prueba para imitar información confidencial. Esto minimiza el riesgo y le permite evaluar las capacidades de la herramienta sin exponer datos comerciales sensibles.
Aproveche los datos de empleados enmascarados : si no es factible crear datos de prueba, utilice conjuntos de datos anonimizados o enmascarados con acceso controlado. Cree una base de datos independiente para este fin a fin de garantizar la integridad y la seguridad de los datos.
Limite el alcance de los datos : Pruebe las soluciones con un conjunto pequeño y controlado de datos de empleados, en lugar de con conjuntos de datos de producción completos, para mitigar el riesgo y mantener el cumplimiento normativo.
Evite utilizar datos de producción en entornos de prueba de concepto : los sistemas de prueba de concepto o de ensayo pueden exponer inadvertidamente información confidencial, por lo que se debe dar prioridad a los entornos de prueba que no contengan datos de producción reales.

Nuestro análisis también destaca que, si bien los clasificadores estándar ofrecen funcionalidades básicas, su eficacia suele ser limitada. Personalizar las políticas de clasificación de datos para adaptarlas a las necesidades específicas de su organización es fundamental para lograr una protección óptima y reducir los falsos positivos.

Protector de endpoints de Netwrix

Probamos Netwrix Endpoint Protector y analizamos sus capacidades de prevención de pérdida de datos (DLP).

Resumen de los hallazgos:

Características efectivas:
- Control granular sobre más de 30 dispositivos.
- Supervisión de dispositivos a través de un panel de control.
- Inspección profunda de paquetes para transferencias de archivos en red.
- Políticas predefinidas y personalizadas.
- Derechos efectivos para la creación de políticas.
- eDiscovery para la detección de datos confidenciales.
- Cifrado USB.
- Notificaciones y alertas para acciones bloqueadas.
- Notificaciones personalizables para el cliente.
- Registro de auditoría.
- Protección contra manipulaciones.
Características ineficaces:
- Sin gestión de dispositivos.

Elija Netwrix Endpoint Protector para obtener una solución DLP integral con sólidas capacidades de control de dispositivos.

Visita el sitio web

1. Cobertura de canales

Endpoint Protector permite un control detallado sobre más de 30 tipos de dispositivos, incluidos dispositivos USB, dispositivos Bluetooth, teléfonos inteligentes y más.

Dispositivos periféricos

Control del dispositivo

Los administradores pueden configurar el control de acceso para dispositivos específicos, permitiendo o bloqueando su conexión a los ordenadores de los clientes.

Aplicaciones

Inspección profunda de paquetes

Permite al administrador gestionar las transferencias de archivos en red. Los administradores pueden configurar controles para el correo web , las unidades de disco y las aplicaciones de terceros que se enumeran a continuación. Cuando están habilitadas, las configuraciones de CAP y de control de dispositivos funcionan de conformidad con los análisis DPI.

2. Clasificación de datos

Protección basada en el contenido (CAP)

Políticas predefinidas

Las políticas predefinidas están disponibles en 3 grupos según el sistema operativo del cliente: Windows, Mac y Linux.
Existen 86 directivas predefinidas para Windows. Estas directivas son, por ejemplo, las siguientes:

Transferencia de archivos: Las transferencias de archivos pueden bloquearse en función de su contenido (gráficos, archivos comprimidos o programas).
HIPAA: Las transferencias de archivos, en función de su contenido, deben cumplir con la ley HIPAA; de lo contrario, se bloquean.
RGPD: Las transferencias de archivos, en función de su contenido, deben cumplir con el RGPD; de lo contrario, serán bloqueadas.

Políticas de personalización

Se pueden definir políticas personalizadas en función de los puntos de salida de la política, los usuarios y la acción de política elegida.

3. Administración

Derechos de acceso

Los derechos efectivos permiten la creación de políticas (reglas de control de acceso adecuadas) basadas en un usuario/dispositivo/formato (tipo de archivo) específico.

Los derechos globales son derechos de control de dispositivos que se aplican de forma general. Puedes configurar diferentes derechos de acceso para diferentes dispositivos.

Creación de políticas

Para crear una política, el administrador puede seleccionar entre opciones predefinidas o personalizadas.

El administrador puede ordenar las políticas por nivel de prioridad (el administrador puede priorizar una política sobre otra).

eDiscovery

Detecta datos confidenciales en reposo y permite el cifrado, descifrado y eliminación en el destino. Puede crear políticas basadas en tipos y contenido de archivos. La política define los objetos que se analizarán.

El resultado del escaneo ayuda al administrador a ver dónde residen los datos confidenciales y a tomar medidas.

Clases personalizadas

Permite la creación de clases personalizadas y la configuración de dispositivos, lo que permite a los administradores asignar un "Dispositivo de confianza (TD)" en función de la información del dispositivo, como su número de serie y tipo.

El módulo eDiscovery de Endpoint Protector permite realizar acciones de cifrado y descifrado.

Listas de denegación y de autorización

Ayuda a definir el contenido sensible. CAP y eDiscovery establecen la detección como su objetivo. Le pide que determine qué tipos de archivos, contenido personalizado, ubicaciones de archivos, ubicaciones de escaneo, patrones de expresiones regulares, dominios, URL y dominios de correo electrónico están permitidos y cuáles no.

Cifrado USB

Endpoint Protector permite el cifrado de dispositivos USB. El administrador puede automatizar esta acción.

Notificaciones y alertas

Al intentar adjuntar un archivo de tipo .xlsx con el nombre "Confidencial" y que contenía información del número de seguridad social en WhatsApp, Endpoint Protector bloqueó la acción y notificó al administrador de la siguiente manera:

El administrador puede ver los registros de eventos en la ventana de Informes con reconocimiento de contenido. El registro de eventos incluye detalles como el evento, la hora, el usuario, el dispositivo, el destino y el archivo.

Otras características

El programa admite la sincronización de Microsoft AD y Microsoft Entra ID.
Las notificaciones para los clientes se pueden personalizar.

ManageEngine Endpoint DLP Plus

Aprovechamos la prueba gratuita de ManageEngine Endpoint DLP Plus. La posibilidad de que los usuarios notifiquen a los administradores sobre falsos positivos fue una función muy útil que no ofrecen todos los demás proveedores.

Resumen de los hallazgos:

Características efectivas:
- Clasificación eficaz de datos.
- Protección eficaz para correos electrónicos y aplicaciones.
- Reglas de datos personalizables.
- Los usuarios pueden notificar a los administradores sobre los falsos positivos.
- Opción para informar sobre falsos positivos.
- Ofrece integración activa de inventario.
- Ofrece protección contra manipulaciones.
- Registro de auditoría completo.
Características ineficaces:
- Sin gestión de dispositivos.
- Sin despliegue en la nube.
- No se permite la búsqueda de archivos.

1. Cobertura del canal basada en la aplicación de políticas o auditorías seleccionadas.

Se pueden agregar impresoras, dispositivos USB, aplicaciones y otros dispositivos a una lista de dispositivos o aplicaciones de confianza. Para especificar un dispositivo, introduzca la ruta de acceso a su instancia.

Las impresoras de red y las impresoras USB son los dos tipos disponibles. Las unidades de disco y los CD-ROM son las dos opciones disponibles para dispositivos de almacenamiento extraíbles.

Si un dispositivo o aplicación no es de confianza, se bloqueará la comunicación con él. También puede optar por auditar los dispositivos o aplicaciones.

ManageEngine Endpoint DLP Plus se puede configurar para proteger los datos confidenciales asignados bloqueando su carga al navegador designado.

¿Cómo bloquea ManageEngine Endpoint DLP Plus los archivos?

Una vez definidos los datos confidenciales en la sección de reglas de datos, ManageEngine Endpoint DLP Plus aplica las políticas especificadas.

Se incluyó la opción de informar al administrador sobre los falsos positivos. Esta funcionalidad no está disponible en todas las soluciones DLP.

2. Descubrimiento y clasificación de datos

La solución permite a los usuarios elegir entre la biblioteca de reglas o crear reglas personalizadas para la detección de datos confidenciales.

Guía paso a paso sobre la configuración de reglas de datos para la detección de datos confidenciales:

La clasificación de datos se basa en expresiones regulares. AIMultiple no ha detectado ninguna capacidad de clasificación semántica.

Regla personalizada basada en la extensión del archivo: Se ofrece la opción de asignar archivos que terminen (por ejemplo) en PNG y JPEG a la categoría de datos confidenciales.

Regla personalizada basada en expresiones regulares (regex): Se ofrece la opción de asignar como datos confidenciales archivos que contengan expresiones como "ba".

3. Experiencia administrativa

Usuarios con diferentes niveles de acceso:

Tras instalar los agentes, se pueden usar grupos de agentes personalizados para asociar políticas según la pertenencia a dichos grupos. La implementación de políticas requiere que el usuario proporcione un grupo de agentes personalizado, la política deseada y las reglas de datos.

Las reglas de datos y las asociaciones de políticas funcionan en conjunto. Las reglas de datos definen los datos confidenciales; por lo tanto, las políticas relacionadas deben proteger este objeto.

La siguiente imagen ofrece un resumen de las unidades de proceso del programa:

En función de los requisitos de auditoría de los agentes, ManageEngine prepara informes de auditoría con la frecuencia deseada:

La interfaz de usuario del programa mantiene al administrador informado sobre los eventos de incumplimiento de políticas en el hogar y los segmentos de informes.

Notificaciones de falsos positivos

El programa permite a los usuarios notificar al administrador sobre los falsos positivos. Esto permite al administrador ajustar las políticas en función de dichos falsos positivos.

Despliegue

La versión gratuita de ManageEngine Endpoint Control Plus está limitada a 30 días de uso y no se puede implementar en la nube; debe instalarse en el dispositivo del administrador.