Servicios
Contáctanos

Realizamos una comparativa de Acronis DeviceLock DLP y ManageEngine DLP Plus en máquinas virtuales idénticas con Windows Server 2022 con 28 escenarios: 23 pruebas de fuga de datos (incluyendo 12 archivos de evasión adversaria), 3 pruebas de seguridad del agente y 2 pruebas bajo alto consumo de CPU y memoria.

Para los otros productos DLP, Netwrix Endpoint Protector, Sophos Intercept X, Teramind DLP y Trellix DLP, revisamos sus características.

Resultados de la comparativa DLP

Loading Chart

Desplegamos cada producto en infraestructura idéntica: 3 instancias Contabo Cloud VPS 10 (4 vCPU, 8 GB RAM, 150 GB SSD) ejecutando Windows Server 2022 Datacenter con Active Directory.

  • Acronis gana en general con una ventaja de 10 puntos impulsada por una inspección de contenido más profunda, integración completa con SIEM, preservación de evidencia de copias de sombra y una biblioteca de plantillas de políticas más rica.
  • Un usuario que copia datos de SSN de una hoja de cálculo y los pega en cualquier formulario web (Pastebin, Google Translate) elude completamente ManageEngine. Cambiar el formato de la SSN de 578-12-3364 a 578 12 3364 también lo elude. Acronis bloquea ambos.
  • Ambos productos aprobaron todas las pruebas de manipulación del agente. El agente DLP no puede ser detenido, terminado o desinstalado por una cuenta de usuario estándar.
  • Ambos productos continuaron bloqueando las cargas bajo una carga del 100% de CPU y durante transferencias de archivos masivas. Esta categoría está documentada pero no puntuada, ya que el rendimiento bajo carga no fue un factor diferenciador.
  • Ningún producto detectó datos de SSN codificados en base64. Ambos bloquearon la suplantación de extensiones, archivos comprimidos cifrados y la detección de una sola SSN en documentos grandes.

La puntuación general es una suma ponderada de 8 categorías. Consulte nuestra metodología de comparativa DLP para conocer los pesos y la justificación de la puntuación.

Pruebas de prevención de fugas de datos


✓: DLP bloqueó el intento, ✗: DLP lo dejó pasar

ManageEngine bloqueó 16 de 23 escenarios (70%). Acronis bloqueó 19 de 23 escenarios (83%). Ambos productos bloquean los canales estándar de exfiltración (cargas de archivos, correo electrónico, transferencias web). Las diferencias surgen en el pegado del portapapeles, variantes de formato de SSN, exfiltración entre clientes y canales de impresión.

Mapeo a OWASP top 10

Nuestros escenarios de fuga se mapean a categorías de vulnerabilidades bien documentadas. La referencia principal es A02:2021 Fallos Criptográficos, anteriormente denominado "Exposición de Datos Sensibles". Esta categoría cubre SSN e información de identificación personal (PII), dejando el punto final en texto plano sin cifrado o tokenización, que es el modo de fallo que cada escenario de exfiltración en nuestro conjunto de pruebas tiene como objetivo. A04:2021 Diseño Inseguro cubre brechas arquitectónicas como la falta de inspección del portapapeles o la indexación entre clientes que no pueden solucionarse solo mediante configuración.

Nuestras pruebas adversarias (codificación en base64, variantes de formato de SSN, texto oculto en HTML, división por fórmula en celdas) se alinean con las técnicas de inyección codificada y evasión de filtros documentadas en la Guía de Pruebas de Seguridad Web de OWASP y la Hoja de trucos de evasión de filtros XSS. Las técnicas difieren en propósito (exfiltración de datos vs inyección de carga útil) pero comparten el mismo patrón subyacente: ofuscar el contenido sensible para que los filtros basados en firmas y expresiones regulares no logren reconocerlo.

Pruebas de seguridad del agente DLP

Ambos productos se protegieron contra los tres intentos de manipulación. Se denegó detener el servicio desde PowerShell. No se pudo terminar el proceso del agente desde el Administrador de tareas. La desinstalación desde Programas y características falló sin privilegios administrativos. Los usuarios estándar no pueden deshabilitar el agente DLP en ninguno de los productos.

Comportamiento bajo alto consumo de CPU y memoria

Ambos productos continuaron bloqueando bajo una carga del 100% de CPU sin degradación. Las cargas masivas también se bloquearon correctamente. Esta categoría se documenta como referencia pero se excluye de la puntuación, ya que ninguno de los productos mostró degradación y no produjo diferenciación entre ellos.

Productos DLP comparados

Las dos secciones de productos a continuación documentan la comparativa completa práctica. Ambos se instalaron en máquinas virtuales idénticas con Windows Server 2022 y se probaron con los mismos 23 escenarios de fuga, 3 pruebas de seguridad del agente y 2 escenarios de alto consumo de CPU y memoria.

1. Acronis DeviceLock DLP

Instalación

Acronis DeviceLock requirió un servidor SQL como prerequisito para la instalación, e instalamos SQL Server 2022 Express.

Una vez que la base de datos estuvo lista, la configuración de DeviceLock continuó con un certificado autofirmado y la configuración de conexión a la base de datos. El despliegue del agente utilizó un archivo MSI de 164 MB copiado mediante recurso compartido de red.

Panel de control e interfaz de usuario

DeviceLock se administra a través de aplicaciones nativas de Windows en lugar de una consola web. La interfaz principal es un complemento MMC (Microsoft Management Console) con una navegación en vista de árbol. Acronis también incluye un complemento DeviceLock Group Policy Manager para entornos gestionados por AD y un DeviceLock Enterprise Manager separado para redes no AD, todos compartiendo las mismas convenciones de interfaz de usuario.

El panel izquierdo tiene tres ramas: DeviceLock Service (configuración del agente), Enterprise Server (gestión central) y Content Security Server (motor de análisis de contenido). La consola MMC se conecta a un cliente a la vez, pero el módulo DeviceLock Reports proporciona informes gráficos en toda la flota, incluidos Gráficos de actividad de usuario, Gráficos de relaciones, Expedientes de usuario e informes de dispositivos plug-and-play.1

La ventaja arquitectónica: cada dispositivo y protocolo se divide en perfiles Regular (en línea) y Offline (desconectado). Una laptop puede tener reglas estrictas en la oficina y reglas relajadas en el camino. ManageEngine no ofrece esta distinción.

Configuración de políticas

La Base de datos de contenido de DeviceLock contiene más de 50 grupos de contenido predefinidos con más de 90 plantillas de expresiones regulares y más de 160 diccionarios de palabras clave. El análisis morfológico soporta 7 idiomas para la coincidencia de palabras clave.

El grupo integrado "Social Security" es de tipo Palabras clave (busca la frase "social security"), no de tipo Patrón. El enfoque correcto: Agregar grupo > Patrón con la validación integrada "US Social Security Number", que utiliza verificación estilo Luhn. Este patrón validado es la razón por la que Acronis detectó las 8 variantes de formato de SSN mientras que ManageEngine solo atrapó el formato con guiones.

Acronis soporta dos rutas de distribución centralizadas: Directiva de grupo de Active Directory (el complemento GPO de DeviceLock) y DeviceLock Enterprise Server, que entrega políticas a los agentes a través de modos push (iniciado por el servidor) o pull (programado por el agente o bajo demanda). En nuestro laboratorio, usamos la exportación de archivos .dls por cliente a través de la Consola de administración, que es la ruta manual; el enfoque de producción es la entrega mediante GPO o Enterprise Server.

Pruebas de fuga

Acronis bloqueó 19 de 23 escenarios (tasa de bloqueo del 83%). Los resultados destacados:

Pegado del portapapeles bloqueado: Los datos de SSN pegados en pastebin.com y enviados mediante "Create New Paste" devolvieron ERR_CONNECTION_RESET. DeviceLock inspeccionó el cuerpo POST de HTTP, encontró contenido de SSN y mató la conexión. La misma prueba en Google Translate: pegar una SSN completa (212-64-6345) activó "Error de traducción". Eliminar los últimos cuatro dígitos permitió la traducción. La regla se activa en patrones de SSN válidos, no en el sitio en sí.

Variantes de formato de SSN detectadas: Acronis bloqueó las 8 representaciones: espaciado (578 12 3364), con puntos (612.34.8876), sin separadores (334721198), grupos invertidos y formatos mixtos. El motor de validación integrado reconoce el número independientemente del formato.

Exfiltración entre clientes bloqueada: ssn_data.xlsx tomado de la carpeta compartida y cargado mediante WeTransfer desde una máquina diferente fue bloqueado. Acronis escanea el contenido en el punto de exfiltración, no en el punto de creación.

Borrado de archivo bloqueado: ManageEngine permitió a los usuarios borrar archivos sensibles desde el escritorio. Acronis lo impidió. Esto significa que Acronis protege contra la destrucción de datos, no solo contra la exfiltración de datos.

Elusión de impresión: La impresión no se bloqueó en nuestra prueba (limitación de configuración). La impresión de confidential_report.docx desde WordPad tuvo éxito porque las Reglas sensibles al contenido estaban configuradas solo bajo Protocolos. La arquitectura de dos capas de DeviceLock requiere una regla separada bajo Dispositivos > Reglas sensibles al contenido para impresoras; con la regla del lado de Dispositivos en su lugar, el bloqueo de impresión también se activaría. Esto no es una capacidad faltante, pero es un paso adicional que los administradores deben recordar al cubrir tanto canales de red como físicos.

Control de acceso y AD

DeviceLock ofrece integración nativa con Active Directory basada en GPO. Agrega su propio complemento (DeviceLock Group Policy Manager) a la Consola de administración de directivas de grupo, permitiendo la distribución de políticas a través de la infraestructura estándar de AD. La diferenciación basada en OU está técnicamente soportada: diferentes OUs pueden recibir diferentes políticas de DeviceLock.

En nuestro laboratorio, usamos la distribución de archivos .dls en lugar de las rutas de producción GPO/Enterprise Server. También vimos que la consola solicitaba reautenticación al vincular usuarios/grupos de AD a Reglas sensibles al contenido en clientes remotos, lo que tratamos como un artefacto de caché de credenciales de nuestro pequeño entorno de prueba. Como alternativa a AD GPO, DeviceLock Enterprise Server entrega políticas a través de modos push o pull, que se adaptan a entornos no AD y despliegues ad hoc.

Integración

Acronis lidera en integración con tres canales de exportación SIEM (Syslog, SNMP, SMTP) que soportan formatos de registro CEF y JSON. La copia de sombra preserva una copia completa de cada archivo bloqueado o monitoreado en el servidor para la respuesta a incidentes. El Content Security Server incluye un módulo de Descubrimiento que escanea puntos finales, NAS y recursos compartidos de archivos en busca de datos sensibles mal ubicados.

RBAC tiene tres niveles (Acceso completo, Cambio, Solo lectura) con un interruptor separado de Acceso a datos de sombra en cada nivel. La integración programática se basa en el reenvío de SIEM (Syslog/SNMP/SMTP) y la entrega de registros de sombra a un servidor central en lugar de una API REST pública.

Seguridad del agente

Acronis se protegió contra las tres pruebas de manipulación como usuario estándar. Stop-Service en el servicio DeviceLock devolvió acceso denegado. El Administrador de tareas se negó a terminar el proceso del agente. La desinstalación desde Programas y características requirió elevación administrativa y fue bloqueada sin ella.

Para la defensa contra la manipulación a nivel de administrador, Acronis ofrece la lista de Administradores de DeviceLock. Cuando se configura, solo las cuentas en la lista pueden desinstalar, modificar o detener el agente. Incluso los administradores locales fuera de la lista son bloqueados.

Comportamiento bajo alto consumo de CPU y memoria

Bajo una carga del 100% de CPU (4 trabajos de PowerShell de bucle infinito), Acronis continuó bloqueando cargas sin degradación. Los 100 archivos cargados consecutivamente fueron escaneados y bloqueados correctamente. Esta categoría no fue puntuada.

Análisis de contenido

El análisis de contenido es el área más fuerte de Acronis. El patrón validado de SSN con detección independiente del formato es la característica más impactante que probamos. Más allá de las expresiones regulares, Acronis documenta varias capacidades2

Registro y alertas

DeviceLock proporciona tres visores de registros separados: Registro de auditoría (todos los intentos de acceso y cambios de política), Registro de sombra (copias de archivos bloqueados/mostrados) y Registro UAM (monitoreo de actividad de usuario con capturas de pantalla y uso de aplicaciones).

Los canales de alerta incluyen SMTP, Trampas SNMP y Syslog. Se pueden configurar cuatro categorías de alerta: acceso a dispositivo/protocolo, violaciones de Reglas sensibles al contenido, reglas de firewall y cambios administrativos. La exportación de informes soporta HTML, PDF y RTF.

La copia de sombra es la característica destacada para la respuesta a incidentes. Cuando se bloquea una transferencia de archivos, se preserva el contenido completo del archivo en el servidor. ManageEngine registra el evento pero descarta el archivo. Ningún producto tiene un flujo de trabajo completo de incidentes (asignación, escalado, seguimiento de estado).

3 , página de características y guía de usuario no mencionan Syslog, CEF o reenvío de SIEM. Otros productos de ManageEngine (DataSecurity Plus, ADAudit Plus, Endpoint Central) sí soportan Syslog, pero DLP Plus como producto independiente no. RBAC está disponible y es más granular que Acronis: 4 roles predefinidos (Administrador, Administrador de Endpoint DLP, Técnico, Invitado), roles personalizados con permisos a nivel de módulo (Control total, Escritura, Lectura, Sin acceso), asignación basada en alcance (restringir administradores a grupos de computadoras específicos) y soporte 2FA (Email OTP o Google Authenticator). A pesar de un mejor RBAC, la puntuación general de integración es más baja porque SIEM y copia de sombra están ausentes. Seguridad del agente ManageEngine se protegió contra las tres pruebas de manipulación como usuario estándar. Stop-Service en el servicio del agente DLP devolvió acceso denegado. El Administrador de tareas no terminó el proceso del agente. La desinstalación desde Programas y características requirió elevación administrativa y fue rechazada sin ella. A diferencia de Acronis, ManageEngine no ofrece una lista de administradores nombrados para restringir la desinstalación a nivel de administrador. Cualquier cuenta con derechos de administrador local puede desinstalar el agente desde Programas y características. Para implementaciones de producción, esto significa que los derechos de administrador de punto final deben controlarse estrictamente a través de la membresía de grupos de Active Directory y la política de administrador local, ya que no hay restricción a nivel de producto. Comportamiento bajo alto consumo de CPU y memoria Bajo una carga del 100% de CPU, ManageEngine continuó bloqueando cargas sin degradación. Los 100 archivos en una prueba de carga masiva fueron escaneados y bloqueados correctamente. Análisis de contenido El análisis de contenido de ManageEngine se basa en expresiones regulares y palabras clave. Analiza correctamente múltiples formatos de archivo (xlsx, docx, csv, json, html, py, log) y escanea dentro de comentarios de código, entradas de registro y campos de datos estructurados. La suplantación de extensiones no lo engaña. Los archivos ZIP cifrados se bloquean por análisis de metadatos/encabezado. Las limitaciones: solo se detecta el formato estándar de SSN con guiones (XXX-XX-XXXX). Sin decodificación base64, sin escaneo de PDF cifrados. ManageEngine ofrece huella digital de documentos y OCR vía Endpoint Central, pero el motor de expresiones regulares no incluye validación de SSN independiente del formato como Acronis. La biblioteca de reglas es rica (más de 20 países, múltiples marcos de cumplimiento). Registro y alertas La página Auditoría de archivos sensibles registra eventos con detalles útiles: nombre de la computadora, usuario conectado, tipo de evento, nombre de archivo, dominio web, aplicación empresarial, estado del evento y la regla de clasificación específica que activó. Este nivel de detalle es suficiente para la investigación. ManageEngine tiene una útil función de informe de falso positivo: cuando se bloquea un archivo, el usuario ve una opción "Reportar este bloqueo como falso positivo". El informe aparece en la página de Auditoría de anulación de la consola de administración. Acronis maneja las excepciones a través de reglas del lado del administrador y alcance de usuario/grupo en la Consola de administración en lugar de un botón dirigido al usuario final. Los canales de alerta están limitados al correo electrónico SMTP. No hay reenvío de SNMP o Syslog. La exportación de informes solo soporta CSV y PDF. Los informes programados están disponibles. No hay copia de sombra ni recopilación de evidencia. Sin flujo de trabajo de incidentes. Metodología y entorno de la comparativa DLP Provisionamos 3 instancias Contabo Cloud VPS 10 ejecutando Windows Server 2022 Datacenter. Active Directory: Dominio dlptest.local con dos OUs (Finanzas, IT), cuatro usuarios de prueba (user.finance1, user.finance2, user.it1, user.it2) y un recurso compartido de red en \vmi3184661\share. Pruebas secuenciales: ManageEngine se instaló primero, se probó en todas las 8 categorías puntuadas, luego se desinstaló completamente. Acronis se instaló en las mismas máquinas virtuales y se probó con escenarios y archivos idénticos. Ambos productos enfrentaron el mismo entorno. Todas las pruebas fueron realizadas por la misma persona. Conjunto de datos de prueba 8 archivos base y 12 archivos de evasión adversaria, todos conteniendo Números de Seguro Social de EE. UU. (SSN) como el tipo principal de datos sensibles: Archivos base: ssn_data.xlsx (hoja de cálculo de SSN), credit_cards.csv (números de tarjeta de crédito), confidential_report.docx (SSN con palabra clave "CONFIDENTIAL"), health_records.docx (datos HIPAA), source_code.py (credenciales en código), ssn_image.png (SSN en imagen para OCR), confidential_archive.zip (archivo cifrado), normal_file.docx (archivo limpio para control de falso positivo). Archivos adversarios (12): Archivo de registro con SSN incrustado, CSV con nombre inocente con columna de SSN oculta, JSON con SSN en campos de datos, comentarios de Python con SSN, 8 variantes de formato de SSN (espaciado/con puntos/sin separador), SSN codificado en base64, HTML con SSN de texto oculto, SSN dividido por fórmula en celdas de hoja de cálculo, suplantación de extensión (.txt a .jpg, .xlsx a .png), ZIP protegido con contraseña, aguja en un pajar (1 SSN en 80 líneas de texto limpio). Ejemplos de pruebas de fuga Cada prueba sigue el mismo patrón: intentar exfiltrar un archivo sensible a través de un canal específico y registrar si el agente DLP lo bloquea o lo permite. Prueba básica de fuga (carga): Abrir un navegador en el cliente, navegar a WeTransfer, seleccionar ssn_data.xlsx desde el escritorio, hacer clic en cargar. Si el agente DLP bloquea la carga, el navegador muestra un error o la conexión se reinicia. Si lo permite, el archivo se carga correctamente a WeTransfer. Prueba de elusión de canal (portapapeles): Abrir ssn_data.xlsx en Notepad, seleccionar todo el texto, copiar (Ctrl+C). Abrir un navegador, navegar a pastebin.com, pegar (Ctrl+V) en el área de texto, hacer clic en "Create New Paste". Un producto DLP con inspección de portapapeles mata el HTTP POST antes de que se complete. Un producto sin inspección de portapapeles permite el pegado porque los datos nunca salieron como un archivo. Prueba de elusión de contenido (variantes de formato): Crear un archivo de texto que contenga 8 representaciones diferentes de SSN: estándar (578-12-3364), espaciado (578 12 3364), con puntos (578.12.3364), sin separador (578123364), invertido (3364-12-578) y formatos mixtos. Cargar el archivo a WeTransfer. Un producto DLP con patrones de SSN validados reconoce todos los formatos. Un producto solo de expresiones regulares detecta solo los formatos que cubre su expresión regular. Prueba de fuga indirecta (entre clientes): En Cliente 1, tomar una captura de pantalla de datos sensibles mostrados en pantalla. Guardar la captura de pantalla. Copiarla al recurso compartido de red (\server\share). En Cliente 2, extraer el archivo del recurso compartido y cargarlo a WeTransfer. Un producto que escanea en el momento de la carga bloquea independientemente de dónde se originó el archivo. Un producto que depende de la preindexación pierde archivos que nunca ha visto. Prueba de carga de CPU: Ejecutar 4 trabajos de PowerShell de bucle infinito para saturar los 4 vCPUs: 1..4 | ForEach-Object { Start-Job { while($true){} } }. Confirmar que la CPU está al 99-100% en el Administrador de tareas. Mientras la CPU está fija, intentar cargar ssn_data.xlsx a WeTransfer. Si el agente DLP aún bloquea la carga bajo carga completa, el comportamiento bajo carga es aceptable. Limpiar con Get-Job | Stop-Job; Get-Job | Remove-Job. Puntuaciones por categoría de la comparativa DLP Cada categoría tiene una puntuación máxima igual a su peso asignado. Los pesos suman 50 y el total bruto se escala a 100 para la puntuación final. Las puntuaciones son números enteros vinculados directamente a resultados medidos o características documentadas, no calificaciones subjetivas. El registro y las alertas contribuyen con la brecha individual más grande (+6). Acronis exporta a SMTP, SNMP y Syslog, ejecuta tres visores de registros (Auditoría, Sombra, UAM) y preserva el contenido completo del archivo mediante copia de sombra. ManageEngine solo tiene SMTP, un solo registro de auditoría y no tiene copia de sombra. La integración agrega otros +3 a través del soporte SIEM de Acronis, módulo de descubrimiento y perfil dual sin conexión, ninguno de los cuales existe en ManageEngine DLP Plus independiente. La configuración de políticas agrega +2 a través de las más de 90 plantillas preconstruidas de Acronis y el análisis morfológico de palabras clave en 9 idiomas. Las pruebas de fuga agregan +1, reflejando directamente la tasa de bloqueo del 83% frente al 70%. ManageEngine recupera +2 de la instalación, +4 del panel de control (interfaz web moderna con gráficos frente a complemento MMC sin panel de control) y +1 del control de acceso (2FA, roles personalizados, administración basada en alcance). La seguridad del agente empató en 6 cada uno después de que las tres pruebas de manipulación fueron aprobadas. Metodología de puntuación (justificación de pesos) 8 categorías puntuadas en escalas enteras proporcionales a su peso. La puntuación máxima posible de cada categoría es igual a su valor de peso. Los pesos suman 50 y el total bruto se escala a 100 para la puntuación final. Los pesos fueron asignados por el revisor senior basándose en qué categorías producen diferenciación significativa y cuáles se correlacionan directamente con las operaciones diarias de DLP. Cada puntuación se deriva de resultados medidos (tasas de bloqueo de pruebas de fuga) o de la matriz de características documentada en la sección de Comparación de características, no de evaluación subjetiva. El comportamiento bajo alto consumo de CPU y memoria se probó por separado pero se excluyó de la puntuación, ya que ambos productos se comportaron idénticamente bajo carga. Comparación de características Configuración y despliegue ManageEngine se despliega 6 veces más rápido y no requiere dependencias externas. Acronis requiere SQL Server y un certificado, pero incluye un kit de herramientas de despliegue más amplio (complemento de directiva de grupo, push/pull de Enterprise Server, exportación manual .dls). Registro y evidencia La copia de sombra es la brecha más grande. Cuando Acronis bloquea una transferencia de archivos, el contenido completo del archivo se preserva en el servidor para revisión forense. ManageEngine registra los metadatos del evento pero descarta el archivo real. Ningún producto tiene un flujo de trabajo completo de incidentes (asignación, escalado, seguimiento de estado). Capacidades de análisis de contenido Acronis tiene un análisis de contenido más profundo en cada método. Las más de 90 plantillas de expresiones regulares y los más de 160 diccionarios de palabras clave con análisis morfológico en 9 idiomas le dan una superficie de detección más amplia. ManageEngine ofrece OCR a través de la plataforma Endpoint Central y huella digital de documentos a través de su módulo de clasificación, pero Acronis publica números específicos (33 idiomas de OCR, más de 5,300 tipos de archivos) mientras que ManageEngine no. Ningún producto utiliza aprendizaje automático o NLP para la clasificación.4 5 6 7 Limitaciones Dos productos comparados en la práctica: La comparativa cubre ManageEngine DLP Plus y Acronis DeviceLock DLP. Los otros cuatro productos cubiertos (Netwrix, Sophos, Teramind, Trellix) no fueron reprobados bajo la misma metodología de 28 escenarios; sus secciones reflejan revisiones de características anteriores. Las puntuaciones comparativas (76/100 y 66/100) son, por lo tanto, solo entre los dos productos probados en la práctica, no entre los seis. Prueba de USB o medios extraíbles no realizada: El control de dispositivos USB es uno de los casos de uso DLP más comunes. Ambos productos lo soportan, pero nuestra infraestructura (instancias de VPS en la nube) no tiene puertos USB físicos. El bloqueo de USB, la aplicación de cifrado y la lista blanca de dispositivos no fueron probados. Solo se probaron patrones de SSN: Todas las pruebas de fuga utilizaron el Número de Seguro Social de EE. UU. como tipo de dato sensible. La detección de tarjetas de crédito (validación Luhn), patrones de HIPAA y reglas específicas de GDPR no fueron probadas por separado, aunque ambos productos incluyen plantillas preconstruidas para estos. Productos DLP revisados anteriormente Tuvimos acceso de prueba a los cuatro productos a continuación en un ciclo de investigación anterior. Los hallazgos reflejan la cobertura de características y las pruebas en ese momento, no una reevaluación de 2026. Las capturas de pantalla son del entorno de revisión original. Donde los proveedores enviaron actualizaciones después de la revisión original, estas se señalan en línea. Netwrix Endpoint Protector Netwrix Endpoint Protector es una solución DLP centrada en canales construida alrededor del control de dispositivos, inspección profunda de paquetes y eDiscovery. La revisión cubrió su flujo de trabajo de creación de políticas, cobertura de periféricos y características administrativas. Características efectivas: Control granular sobre más de 30 tipos de dispositivos, inspección profunda de paquetes para transferencias de archivos de red, políticas predefinidas y personalizadas, derechos efectivos para la creación de políticas, eDiscovery para datos en reposo, cifrado de USB, notificaciones y alertas para acciones bloqueadas, notificaciones de cliente personalizables, registro de auditoría y protección contra manipulación. Características inefectivas: Sin gestión de dispositivos (MDM se ofrece como complemento, no incluido en la prueba básica). Cobertura de canales: Endpoint Protector habilita el control granular sobre más de 30 tipos de dispositivos, incluidos dispositivos USB, dispositivos Bluetooth, teléfonos inteligentes y más. Los administradores pueden configurar el control de acceso para dispositivos específicos para permitir o bloquear su conexión a computadoras cliente. La inspección profunda de paquetes permite al administrador gestionar transferencias de archivos de red a través de webmail, unidades y aplicaciones de terceros. Cuando está habilitado, la Protección sensible al contenido (CAP) y la configuración de control de dispositivos funcionan en cumplimiento con los escaneos DPI. Clasificación de datos: La Protección sensible al contenido incluye políticas predefinidas en tres grupos basados en el sistema operativo del cliente (Windows, Mac, Linux). Hay 86 políticas predefinidas para Windows que cubren transferencias de archivos por tipo de contenido (gráficos, archivos comprimidos, programación), cumplimiento de HIPAA y cumplimiento de GDPR. Se pueden definir políticas personalizadas basadas en puntos de salida de políticas, usuarios y acción de política elegida. eDiscovery detecta datos sensibles en reposo y habilita cifrado, descifrado y eliminación en el destino. Administración: Los derechos efectivos permiten la creación de políticas basadas en un usuario, dispositivo o tipo de archivo específico. Los derechos globales son derechos de control de dispositivos que se aplican en general, y los administradores pueden establecer diferentes derechos de acceso para diferentes dispositivos. Para crear una política, el administrador selecciona entre opciones predefinidas o personalizadas, y las políticas se pueden ordenar por prioridad. Las clases personalizadas permiten asignar un "Dispositivo de confianza (TD)" basado en información del dispositivo como número de serie y tipo. Notificaciones y alertas: Cuando un administrador intenta adjuntar un archivo .xlsx con el nombre "Confidencial" que contiene información de número de seguro social en WhatsApp, Endpoint Protector bloquea la acción y notifica al administrador. Los registros de eventos son visibles en la ventana de Informe sensible al contenido con detalles que incluyen evento, hora, usuario, dispositivo, destino y archivo. Otras características: La sincronización con Microsoft AD y Microsoft Entra ID es compatible. Las notificaciones de cliente se pueden personalizar. Las listas de denegar y permitir ayudan a definir contenido sensible a través de tipos de archivo, contenido personalizado, ubicaciones de archivo, ubicaciones de escaneo, patrones de expresiones regulares, dominios, URLs y dominios de correo electrónico. El cifrado de dispositivos USB se puede automatizar. 8 Teramind DLP Teramind DLP es una solución DLP impulsada por políticas con un fuerte posicionamiento de análisis de comportamiento. La revisión se centró en la cobertura de canales, la profundidad de personalización y la sobrecarga administrativa. Características efectivas: Protección efectiva para periféricos, correo electrónico y aplicaciones, personalización detallada de clasificación de datos, registro de auditoría completo, integración con Active Directory, búsqueda de archivos. Características inefectivas: La clasificación de datos tuvo dificultades para distinguir datos confidenciales de no confidenciales. Las políticas personalizadas son difíciles de gestionar. Sin protección contra manipulación, sin OCR en la prueba gratuita. Cobertura de canales: Las políticas de bloqueo de USB fueron efectivas pero también bloquearon la copia de archivos no confidenciales a dispositivos periféricos. Los tipos de dispositivos no se mencionaron en las políticas de dispositivos extraíbles. Las políticas de correo electrónico son efectivas pero impiden que los usuarios internos envíen correos electrónicos como efecto secundario. La política de protección de aplicaciones restringe todas las transferencias de datos a aplicaciones como Google Drive. Se pueden excluir correos electrónicos o dominios específicos de las políticas. Clasificación de datos: La clasificación de datos fue inefectiva porque no pudo distinguir entre datos confidenciales y no confidenciales en las pruebas de prueba. Las opciones de personalización son detalladas pero requieren familiaridad con la plataforma. Los datos clasificados son verificables. Administración: La protección contra manipulación fue inefectiva, ya que los usuarios podían manipular el archivo del agente. La actividad de cada usuario fue monitoreada con alertas enviadas al correo electrónico del administrador. La identificación de datos OCR no está incluida en la prueba gratuita. Actualización del agente Mac. A partir de enero de 2026, el agente Mac de Teramind soporta la grabación de pantalla solo cuando se viola una regla de comportamiento, reduciendo el uso de almacenamiento y mejorando la privacidad mientras captura evidencia relevante.9 Trellix DLP Trellix DLP (anteriormente McAfee Total Protection for DLP) cubre una amplia gama de canales de punto final y red pero muestra inconsistencia en ciertas áreas. La revisión se centró en la cobertura de canales, políticas predefinidas frente a personalizadas y capacidades administrativas. Características efectivas: Amplia cobertura de canales, protección completa de correo electrónico y aplicaciones, reglas de datos personalizables, registro de auditoría, protección contra manipulación, filtrado web. Características inefectivas: Sin integración con Active Directory en la prueba, sin búsqueda de archivos, sin análisis de comportamiento de usuario, sin soporte completo de OCR para detección y prevención web. Cobertura de canales: Trellix puede detectar cuando un usuario configura Outlook para enviar archivos sensibles a través de cuentas de correo electrónico personales y puede poner en cuarentena correos electrónicos que contienen información sensible. Liberar correos electrónicos en cuarentena puede ser engorroso, requiriendo aprobación manual del remitente, el gerente del remitente o el propietario de los datos a través de notificaciones por correo electrónico en lugar de un flujo de trabajo automatizado. Trellix no soporta completamente el filtrado de datos sensibles sincronizados a dispositivos móviles a través de ActiveSync para ciertos grupos de usuarios. El monitoreo y control de dispositivos periféricos es posible, pero Trellix no soporta una política unificada en todos los canales, lo que limita la flexibilidad en entornos con múltiples tipos de dispositivos periféricos. Los administradores pueden configurar controles de acceso para dispositivos USB y otros periféricos, pero la implementación de políticas puede ser inconsistente en canales más nuevos como dispositivos móviles. El soporte avanzado como el cifrado de dispositivos USB requiere suscripciones adicionales. Para aplicaciones, Chrome no está completamente soportado y los usuarios pueden eludir las políticas DLP en ciertos escenarios, como al cargar archivos desde una red Wi-Fi pública. Clasificación de datos: Las políticas predefinidas de Trellix cubren marcos regulatorios comunes incluyendo PCI DSS y GDPR, aunque las plantillas de políticas son menos completas y precisas que las de los competidores, creando posibles brechas de detección. El administrador puede crear políticas personalizadas usando palabras clave, expresiones regulares y huella digital de archivos. Trellix no soporta características avanzadas como aprendizaje automático o protección basada en riesgo de comportamiento. OCR está limitado a documentos gráficos para descubrimiento, no para prevención. Administración: Los administradores pueden asignar derechos basados en usuarios o grupos, pero Trellix carece de administración delegada basada en roles, limitando la capacidad de asignar roles específicos para la gestión de políticas y el manejo de incidentes. El cifrado de USB y la aplicación de políticas de DLP de punto final son estándar, pero las opciones avanzadas como protección adaptativa al riesgo y análisis de comportamiento nativo están limitadas o requieren integración de terceros. Se generan alertas para transferencias de datos sensibles a través de correo electrónico, pero la personalización limitada de informes y las capacidades de gestión de incidentes pueden requerir supervisión manual adicional. ¿Qué hace el software DLP? El software DLP monitorea y controla el flujo de datos sensibles a través de los puntos finales, la red y los servicios en la nube de una organización. Previene transferencias de datos no autorizadas a través de canales como cargas de archivos, adjuntos de correo electrónico, copiar y pegar del portapapeles, impresión, unidades USB y captura de pantalla. Los productos DLP suelen combinar tres métodos de detección: inspección de contenido (escaneando el contenido de archivos en busca de patrones como SSN o números de tarjeta de crédito), análisis de contexto (evaluando el canal, usuario y destino) y aplicación de políticas (bloqueando, alertando o registrando según reglas). Capacidades comunes de DLP Conclusión Para equipos que necesitan integración con SIEM, evidencia de copia de sombra o detección de SSN multi-formato, Acronis es el producto más fuerte. Bloqueó el 83% de los escenarios de fuga, previene el borrado de archivos, reenvía eventos a Syslog/CEF y preserva el contenido completo del archivo para revisión forense a través de copia de sombra. Para equipos que priorizan un despliegue rápido y una interfaz de usuario utilizable, ManageEngine se instala en 15 minutos sin dependencias. El costo: sin integración con SIEM, sin copia de sombra, sin inspección de portapapeles y una tasa de bloqueo 13 puntos porcentuales más baja. ¿Pueden los productos DLP detectar datos pegados en formularios web? Acronis DeviceLock detectó datos de SSN pegados en Pastebin y Google Translate inspeccionando cuerpos POST de HTTP. ManageEngine DLP Plus no inspecciona el pegado del portapapeles. Habilitar el modo "Permitir dentro de aplicaciones de confianza" cierra indirectamente esta brecha al restringir qué aplicaciones pueden abrir archivos sensibles. ¿Puede un usuario estándar detener o desinstalar el agente DLP? No. Ambos productos se protegen contra detener el servicio, terminar el proceso y intentos de desinstalación por parte de usuarios estándar. Las tres pruebas de manipulación fueron aprobadas en ambos. Para la defensa contra cuentas de administrador local, Acronis ofrece la lista de Administradores de DeviceLock para restringir quién puede desinstalar, detener o modificar el agente. ManageEngine no tiene un mecanismo equivalente a nivel de producto, por lo que los derechos de administrador deben controlarse a través de Active Directory. ¿Detectan los productos DLP SSN escritos en diferentes formatos? Acronis detectó SSN con espacios, puntos y sin separadores. ManageEngine solo detectó el formato estándar con guiones (XXX-XX-XXXX). ¿Por qué solo dos de los seis productos fueron probados en la práctica? Disponibilidad de prueba del proveedor. ManageEngine y Acronis DeviceLock DLP proporcionaron pruebas funcionales en Windows Server 2022 dentro de nuestra ventana de investigación. Los otros cuatro productos (Netwrix, Sophos, Teramind, Trellix) requirieron aprobaciones de demostración lideradas por ventas que no se completaron a tiempo, por lo que nos basamos en las revisiones de características anteriores para esos. A medida que estén disponibles nuevas pruebas, volveremos a ejecutar la comparativa completa de 28 escenarios en esos productos y actualizaremos los hallazgos a continuación.

Visita el sitio web
No te pierdas nuestros análisis comparativos e insights basados en datos. El botón abre Google; seleccionar AIMultiple confirma que deseas ver AIMultiple con más frecuencia en los resultados de búsqueda de Google.
GoogleAñadir como fuente preferida

Cita este benchmark

Elige el formato que se ajuste al lugar donde vas a publicar. Pegar la versión con enlace en tu CMS conserva el enlace de retroceso.

Ekrem Sarı (2026) - "Comparativa de Software DLP". Publicado en línea en AIMultiple.com. Recuperado el 30 de Abril de 2026, de: https://aimultiple.com/dlp-review [Recurso en línea]

Sarı, E. (2026, 30 de Abril). Comparativa de Software DLP. AIMultiple. https://aimultiple.com/dlp-review

@misc{sar2026,
  author = {Sarı, Ekrem},
  title  = {{Comparativa de Software DLP}},
  year   = {2026},
  month  = apr,
  howpublished    = {\url{https://aimultiple.com/dlp-review}},
  note   = {AIMultiple. Recuperado el 30 de Abril de 2026}
}
Ekrem Sarı
Ekrem Sarı
Investigador de IA
Ekrem es investigador de IA en AIMultiple, donde se centra en la automatización inteligente, las GPU, los agentes de IA y los marcos de trabajo RAG.
Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios. Los comentarios se dejan en su idioma original.

0/450