Configuración de Microsoft Purview para la protección de datos en LLM de terceros

Configuración de Microsoft Purview para la protección de datos en LLM de terceros

18 de febrero de 2026

Introducción: El desafío de la gobernanza de datos en la era de los LLM externos

Para 2026, la adopción de modelos de lenguajes grandes (LLM) y herramientas de inteligencia artificial (IA) generativa se habrá convertido en una realidad en muchas organizaciones. Si bien las soluciones nativas como Microsoft 365 Copilot ofrecen integraciones seguras y gobernanza de datos, muchas empresas también aprovechan una variedad de otros LLM de terceros, accesibles a través de la web o API. Esta proliferación de herramientas externas de IA, si bien es beneficiosa para la innovación y la productividad, introduce un riesgo importante: la exposición involuntaria o maliciosa de datos confidenciales [1].

Los empleados, en aras de la eficiencia o la curiosidad, pueden pegar sin darse cuenta secretos comerciales, información de clientes, datos financieros o propiedad intelectual en interfaces públicas de chat de IA o LLM de terceros que no tienen las mismas garantías de seguridad y privacidad que las soluciones empresariales. Este comportamiento puede provocar filtraciones masivas de datos, infracciones de cumplimiento y graves daños a la reputación. El riesgo de que los empleados "entrenen" modelos públicos de IA con datos confidenciales de la empresa es una de las mayores preocupaciones de gobernanza y seguridad de los datos en 2026 [2].

Para abordar este desafío, Microsoft Purview amplió significativamente en 2026 sus capacidades de Prevención de pérdida de datos (DLP). Purview ahora actúa como una "puerta de enlace de seguridad de IA", monitoreando y bloqueando el envío de datos confidenciales a herramientas de IA externas no autorizadas en tiempo real. Inspecciona el tráfico saliente, identifica patrones de datos confidenciales y aplica políticas para evitar la filtración, garantizando que la innovación en IA no comprometa la seguridad y el cumplimiento de los datos [3].

Este artículo técnico y educativo tiene como objetivo guiar a los administradores de cumplimiento, analistas de seguridad y líderes de TI para que comprendan los riesgos asociados con los LLM de terceros y configuren las defensas de Microsoft Purview para proteger los datos confidenciales. Cubriremos los principios subyacentes, los requisitos previos y una guía detallada paso a paso para implementar políticas DLP específicas para servicios de IA.

Los riesgos de los LLM de terceros y la necesidad de gobernanza

La facilidad de acceso y el poder de los LLM de terceros pueden ser un arma de doble filo. Si bien ofrecen beneficios, también presentan riesgos sustanciales para la seguridad de los datos corporativos:

  • Exfiltración involuntaria de datos: los empleados pueden, sin malicia, copiar y pegar datos confidenciales en mensajes LLM externos para resumir, analizar o generar contenido, sin darse cuenta de que estos datos pueden almacenarse o usarse para entrenar el modelo de IA, haciéndolos públicos o accesibles a terceros.

  • Exfiltración de datos maliciosos: un empleado malintencionado podría utilizar un LLM de terceros como conducto para exfiltrar datos confidenciales, evitando los controles de seguridad tradicionales.

  • Infracciones de cumplimiento: el envío de datos regulados (como PII, PHI, PCI) a LLM externos puede violar las leyes de privacidad de datos (GDPR, LGPD) y regulaciones específicas de la industria, lo que resulta en fuertes multas y daños a la reputación.

  • Propiedad intelectual: Los secretos comerciales, los códigos fuente propietarios y los planes de negocios pueden quedar expuestos si se insertan en LLM de terceros.

  • Falta de visibilidad y control: sin las herramientas adecuadas, las organizaciones carecen de visibilidad sobre qué LLM de terceros se utilizan, qué datos se comparten y si estos servicios cumplen con las políticas de seguridad internas.

Microsoft Purview aborda estos riesgos ampliando sus capacidades de DLP al dominio de los servicios de IA. Permite a las organizaciones identificar, monitorear y controlar el flujo de datos confidenciales a estos servicios, asegurando que las políticas de gobernanza de datos se apliquen de manera consistente en todo el ecosistema digital [4].

Principios de protección de datos para la IA en el ámbito de Microsoft

La protección eficaz de datos confidenciales en LLM de terceros en Microsoft Purview se basa en los siguientes principios:

  1. Descubrimiento y clasificación de IA: identifique a qué servicios de IA de terceros se accede en la red y clasifique su nivel.de riesgo. Esto permite que las políticas de DLP sean específicas y efectivas.

  2. Detección de datos confidenciales en tiempo real: inspeccione el tráfico saliente en tiempo real para identificar la presencia de información confidencial (como números de tarjetas de crédito, números de seguro social, datos de salud) antes de que llegue a un LLM externo.

  3. Control y bloqueo de acceso: aplique políticas para bloquear o alertar sobre intentos de compartir datos confidenciales con LLM no autorizados, garantizando que solo se utilicen los canales aprobados.

  4. Conciencia del usuario: brinde retroalimentación inmediata a los usuarios sobre violaciones de políticas, educándolos sobre el uso seguro de las herramientas de inteligencia artificial y los riesgos asociados con el intercambio de datos confidenciales.

  5. Auditoría e informes: mantenga un registro detallado de todos los intentos de infracción de políticas y proporcione informes para el análisis y la mejora continua de la postura de seguridad.

Requisitos previos para la implementación

Para configurar las protecciones de Microsoft Purview para LLM de terceros, necesitará los siguientes elementos:

  • Licencia de Microsoft 365 E5 o Microsoft Purview Compliance Suite: estos planes incluyen las capacidades avanzadas de gobierno de IA y DLP requeridas.

  • Acceso administrativo: Cuentas con permisos de Administrador de cumplimiento, Administrador de seguridad o Administrador global en el portal de cumplimiento de Microsoft Purview (compliance.microsoft.com).

  • Conocimiento de las políticas de datos: familiaridad con los tipos de datos confidenciales y las políticas de cumplimiento interno de su organización.

  • Implementación del agente DLP: para la supervisión de puntos finales, los agentes DLP de Microsoft Purview deben implementarse en los dispositivos de los usuarios.

Guía paso a paso: Configuración de políticas DLP para IA en Microsoft Purview

Configurar protecciones contra el envío de datos confidenciales a LLM de terceros implica identificar aplicaciones de IA riesgosas y crear políticas de DLP específicas.

Paso 1: Identificar aplicaciones de IA riesgosas

El primer paso es obtener visibilidad sobre a qué servicios de IA de terceros se accede en su red y evaluar su riesgo.

  1. Acceda al Portal de cumplimiento de Microsoft Purview: abra su navegador y navegue hasta compliance.microsoft.com. Inicie sesión con una cuenta que tenga los permisos administrativos necesarios.

  2. Navegue a AI Hub: en el panel de navegación izquierdo, vaya a AI Hub > Discovery. AI Hub es la nueva sección introducida en 2026 para gestionar la seguridad y el cumplimiento de la IA.

  3. Revisar los servicios de IA descubiertos: Purview enumerará todos los sitios web de terceros y servicios de IA a los que se haya accedido en su red. Para cada servicio, asignará una "Puntuación de riesgo" basada en factores como la reputación del proveedor, las políticas de privacidad conocidas, la ubicación de los datos y el tipo de datos que procesa el servicio. Esto le ayuda a identificar qué LLM de terceros representan el mayor riesgo para su organización.

  4. Clasificar aplicaciones: según la puntuación de riesgo y las políticas internas, clasifique las aplicaciones de IA como "Aprobadas", "Monitoreadas" o "No autorizadas".

Paso 2: Creación de políticas de bloqueo de DLP para LLM de terceros

Una vez identificadas las aplicaciones de IA riesgosas, puede crear políticas de DLP para controlar el flujo de datos confidenciales.

  1. Cree una nueva política de DLP: en el portal de cumplimiento de Microsoft Purview, vaya a Prevención de pérdida de datos > Políticas. Haga clic en + Crear política.

  2. Elija una plantilla o personalícela: puede comenzar con una plantilla preexistente (por ejemplo, "Datos financieros", "Datos de salud") o crear una política personalizada. Para los LLM de terceros, una política personalizada ofrece mayor flexibilidad.

  3. Establecer ubicaciones: en la sección de ubicaciones, seleccione "Servicios de IA y chatbots". Esta es una nueva opción introducida en 2026 que le permite orientar políticas específicamente para interacciones con LLM de terceros. También puede incluir otras ubicaciones, como puntos finales, para monitorear copiar y pegar.

  4. Definir condiciones: configure las condiciones que activarán la política. Esto a menudo implica detectar tipos de información confidencial (SIT) específicos, como:

  5. Datos financieros: Números de tarjetas de créditodicho, cuentas bancarias.

  6. Datos Personales: CPF, números de identidad, direcciones de correo electrónico corporativas.

  7. Propiedad intelectual: código fuente, documentos con etiquetas de confidencialidad específicas (por ejemplo, "Confidencial").

  8. Puede refinar las condiciones para incluir palabras clave o expresiones regulares que indiquen datos de propiedad.

  9. Establezca las acciones: para LLM de terceros no autorizados o de alto riesgo, configure la acción en "Bloquear con sugerencia de política". La sugerencia de política informará al usuario que la acción fue bloqueada y por qué, educándolo sobre la política de seguridad. Para los LLM monitoreados, puede elegir "Auditar" o "Bloquear con anulación del usuario" (lo que permite al usuario justificar y continuar).

  10. Guardar y activar la política: revise la política y actívela. Las políticas de DLP pueden tardar algún tiempo en aplicarse por completo en todo su entorno.

Paso 3: Monitoreo y Educación Continua

El seguimiento es esencial para garantizar la eficacia de las políticas de DLP e identificar áreas que necesitan educación adicional.

  1. Utilice informes de AI Hub: en Microsoft Purview AI Hub, encontrará informes detallados sobre infracciones de políticas de DLP relacionadas con LLM de terceros. Estos informes mostrarán:

  2. Qué LLM de terceros se utilizan: Identifique los servicios más populares y aquellos que plantean el mayor riesgo.

  3. Qué datos confidenciales se comparten: comprenda los tipos de información que los usuarios intentan enviar a LLM externos.

  4. Qué usuarios/departamentos están infringiendo las políticas: identifique áreas que necesitan capacitación o concientización adicional.

  5. Investigación de incidentes: use Activity Explorer en Purview para investigar incidentes de DLP en detalle, incluido el usuario, el archivo, el servicio de IA involucrado y el contenido que se bloqueó.

  6. Educación y concientización: utilice datos de informes para impulsar la capacitación en concientización sobre la seguridad de la IA. Explique a los empleados los riesgos de compartir datos confidenciales con LLM de terceros y promueva el uso de herramientas de inteligencia artificial aprobadas por la empresa.

  7. Revisión periódica de políticas: el panorama de la IA está en constante evolución. Revise periódicamente sus políticas de DLP para LLM de terceros para asegurarse de que sigan siendo relevantes y efectivas contra nuevas amenazas y servicios de IA emergentes.

Consideraciones adicionales y mejores prácticas

  • Clasificación de datos: una clasificación sólida de los datos es la base de políticas DLP efectivas. Utilice etiquetas de confidencialidad para clasificar automática o manualmente datos confidenciales.

  • Comunicación clara: comunique claramente las políticas de uso de IA a los empleados. Explique qué está permitido y qué no, y los riesgos asociados con el uso de LLM no autorizados.

  • Enfoque por fases: considere implementar políticas de DLP en fases, comenzando con el modo de auditoría para comprender el comportamiento del usuario antes de aplicar bloques rígidos.

  • Integración SIEM/SOAR: Integre las alertas DLP de Microsoft Purview con su sistema SIEM (como Microsoft Sentinel) para obtener una vista centralizada de los incidentes de seguridad y orquestar respuestas automatizadas.

  • Evaluación de proveedores de IA: al considerar el uso de LLM de terceros, realice una evaluación rigurosa de seguridad y privacidad de los proveedores para garantizar que cumplan con sus requisitos de cumplimiento.

Conclusión

Proteger datos confidenciales en un mundo donde los LLM de terceros son ampliamente accesibles es un desafío crítico de seguridad de la información en 2026. Microsoft Purview, con sus capacidades mejoradas de gobernanza de DLP e IA, ofrece una solución sólida para mitigar los riesgos de exfiltración de datos y violaciones de cumplimiento. Al implementar políticas DLP específicas, identificar aplicaciones de IA riesgosas y educar a los usuarios, las organizaciones pueden aprovechar los beneficios de la inteligencia artificial sin comprometer la seguridad de sus activos más valiosos. Configurar eficazmente Microsoft Purview para la protección de datos en LLM de terceros no es solo una medida técnica, sino un pilar fundamental de una estrategia de seguridad de IA integral y proactiva.

Referencias

[1] Índice de seguridad de datos de Microsoft 2026." Explorarel futuro de la seguridad de los datos, incluidas las innovaciones y estrategias emergentes, además de recomendaciones y mejores prácticas". Disponible en: https://info.microsoft.com/ww-landing-data-security-index-2026.html?lcid=en-us [2] Blog de seguridad de Microsoft. "Cuatro prioridades para la seguridad de acceso a redes e identidades impulsadas por IA en 2026". Disponible en: [https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [3] Hoja de ruta de Microsoft 365. "La hoja de ruta de Microsoft 365 proporciona fechas de lanzamiento estimadas y descripciones de características comerciales". Disponible en: https://www.microsoft.com/microsoft-365/roadmap?featureid=109581 [4] Seguridad de Microsoft. "Fortalecer la seguridad de la identidad con IA". Disponible en: https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id