El riesgo no está solo en los datos regulados: hallazgos reales tras clasificar 800 millones de documentos

July 24, 2025
 - 
4
  min read

Durante años, la ciberseguridad se enfocó en proteger el perímetro. Pero hoy, con entornos distribuidos, trabajo remoto y el uso intensivo de aplicaciones SaaS, el perímetro dejó de ser relevante. Lo que realmente importa es el contenido de los datos, sin importar dónde residan. La seguridad de datos no estructurados se ha convertido en el nuevo campo de batalla para la protección empresarial.

Y ese contenido, en su gran mayoría, no está en bases de datos estructuradas. Está en archivos: documentos, hojas de cálculo, presentaciones, PDFs. De hecho, más del 80% al 90% de la información dentro de una organización es no estructurada, lo que la hace especialmente difícil de visualizar, clasificar y controlar. Aquí radica el verdadero desafío de la protección de datos no estructurados.

Por el contrario, los datos estructurados —como los que residen en CRMs, ERPs o bases relacionales— suelen tener accesos restringidos, monitoreo centralizado y están expuestos solo a un grupo muy reducido de usuarios. En muchas organizaciones, menos del 1% del personal accede directamente a estos entornos críticos.

Sin embargo, el riesgo se manifiesta cuando esa misma información estructurada es exportada: un reporte en CSV o una hoja en Excel, guardada localmente para análisis. En ese instante, los datos se convierten en información no estructurada, que sale del entorno controlado y entra en canales sin trazabilidad ni políticas activas de protección. El control, la visibilidad y la gobernanza se pierden por completo, abriendo la puerta a riesgos de fuga de información.

Hace tiempo que la seguridad dejó de ser una cuestión de perímetro. Hoy, la seguridad debe estar centrada en los datos, y es aquí donde soluciones como las que ofrece Kriptos marcan la diferencia en la clasificación y protección de documentos.

Hallazgos clave: lo que revelan 800 millones de documentos clasificados

En Kriptos hemos clasificado más de 800 millones de documentos no estructurados mediante inteligencia artificial, trabajando con organizaciones de múltiples industrias y geografías. Este volumen de análisis nos ha permitido obtener una visión profunda del contenido real que gestionan las empresas, más allá de lo que está regulado. Estos hallazgos son fundamentales para entender la seguridad de datos no estructurados.

Los resultados son contundentes:

  • Aproximadamente el 30% de la información sensible contiene datos regulados:


    • 25% corresponde a datos personales (PII).
    • 3% corresponde a información de tarjetas de crédito (PCI).

  • Pero más del 70% de los documentos sensibles no contienen PII ni PCI, y aun así representan información estratégica, confidencial y crítica para la operación del negocio: procesos internos, propiedad intelectual, estrategias comerciales, decisiones ejecutivas. Esto subraya la necesidad de una clasificación de datos sensible que vaya más allá de la normativa.

Hallazgo adicional sobre ubicación de los datos

En un análisis complementario realizado sobre una muestra de 233 millones de documentos, correspondientes a 45,000 usuarios de 40 empresas en 8 países, identificamos que:

  • El 68% de la información sensible está almacenada en computadores personales (endpoints), no en servidores centralizados ni en la nube.

Esto significa que una parte significativa de los datos críticos de las organizaciones reside en dispositivos:

  • Con alta rotación de usuarios.
  • Fuera del perímetro corporativo o sin políticas de respaldo estructuradas.
  • Sin trazabilidad ni controles de acceso efectivos.

Esto incrementa el riesgo de fuga por error humano o amenazas internas y también limita severamente la capacidad de detección y respuesta ante incidentes, poniendo en evidencia los riesgos de fuga de información y la complejidad de la gestión de la información no estructurada.

Por qué los datos no regulados representan un riesgo subestimado

Las soluciones tradicionales de DLP (Data Loss Prevention) están optimizadas para detectar datos regulados. Pero en la práctica, la mayoría de los documentos sensibles, especialmente aquellos que constituyen la información confidencial empresarial, presentan un desafío único:

  • No contienen keywords explícitas.
  • No cumplen patrones (regex) para PII o PCI.
  • Están guardados en computadores, carpetas personales, escritorios o rutas de difícil control.

Estos archivos no son visibles, no están clasificados y no están gobernados. Y cuando se filtran, el daño ya está hecho. La subestimación de la seguridad de datos no estructurados es un error crítico, la protección de datos no estructurados debe ir más allá de las regulaciones obvias.

Ejemplos por industria: documentos sensibles sin datos regulados

La información confidencial empresarial es tan diversa como las industrias. Los siguientes ejemplos ilustran cómo documentos estratégicos que no contienen PII o PCI, pueden representar un enorme riesgo si no se gestionan adecuadamente, enfatizando la importancia de la clasificación de datos sensible:

  • Finanzas: Modelos de scoring, reportes internos, minutas de reuniones directivas, documentación de due diligence, reportes de desempeño de carteras.
    • Riesgo: Manipulación de mercado, pérdida de confianza, exposición regulatoria y multas millonarias.
  • Sector Retail / eCommerce: Estrategias de precios para próximas temporadas, acuerdos logísticos con proveedores clave, catálogos de productos no lanzados, litigios en curso con competidores o ex-empleados.
    • Riesgo: Sabotaje comercial, pérdida de ventaja competitiva irreversible, daño reputacional severo.
  • Salud (sin PHI): Protocolos operativos de clínicas, costos internos de tratamientos, acuerdos con aseguradoras, planes de expansión de servicios.
    • Riesgo: Filtración de estrategia operativa, vulnerabilidad contractual que afecte la rentabilidad.
  • Manufactura: Recetas secretas de productos, planos de diseño industrial, planificación de producción, documentación técnica de maquinaria especializada.
    • Riesgo: Robo de propiedad intelectual, disrupción operativa que paralice la producción.

Estos casos demuestran que la gestión de la información no estructurada es un desafío transversal a todas las industrias y requiere de un enfoque proactivo en la seguridad de datos no estructurados.

Más que una herramienta: el problema es la ausencia de contexto

Hoy existen múltiples soluciones para proteger datos: DSPM (Data Security Posture Management), DLP (Data Loss Prevention), CASB (Cloud Access Security Broker), SIEM (Security Information and Event Management). Cada una cumple una función específica, pero la mayoría no tiene visibilidad real sobre el contenido que está intentando proteger. Esto limita su efectividad en la protección de datos no estructurados.

Estas herramientas monitorean accesos, movimientos, comportamientos. Pero no distinguen entre un archivo irrelevante y uno con acuerdos confidenciales, modelos financieros o propiedad intelectual. Detectan actividad, pero no entienden el valor y el riesgo del dato.

El problema no es la falta de tecnología. Es falta de comprensión del contenido.

Para que estas soluciones sean efectivas en la seguridad de datos no estructurados, necesitan apoyarse en una capa de clasificación automatizada que les permita entender el valor, la sensibilidad y el contexto del dato involucrado. Sin esa capa, actúan a ciegas. 

Kriptos ofrece esta capa vital de clasificación de datos sensible, puedes aprender más sobre cómo funciona nuestra tecnología aquí. 

El rol del motor de clasificación en una arquitectura centrada en los datos

Un motor de clasificación transversal, basado en análisis semántico, comportamiento, metadatos y contexto organizacional permite que cada componente del stack de seguridad actúe con mayor precisión y relevancia. La clasificación de datos sensible es el cerebro que alimenta el resto de los sistemas de seguridad:

  • En un DSPM: Habilita el descubrimiento y clasificación de datos no estructurados dispersos en endpoints, servidores y espacios compartidos, donde reside más del 90% de la información empresarial. Esto permite a las organizaciones tener un control real sobre dónde reside su información confidencial empresarial.

  • En un DLP: Permite aplicar políticas basadas en el contenido real, disminuyendo falsos positivos y enfocando los controles en lo que realmente importa. Esto es vital para mitigar los riesgos de fuga de información.

  • En un CASB: Ayuda a identificar documentos sensibles expuestos en aplicaciones SaaS, priorizando incidentes en función de la sensibilidad del dato, no solo del canal. La protección de datos no estructurados se extiende a la nube de manera efectiva.

  • En un SIEM o XDR: Aporta contexto de sensibilidad a los eventos registrados, permitiendo una correlación de alertas que tenga en cuenta el valor del activo, no solo el comportamiento del usuario. Esto mejora la capacidad de respuesta ante amenazas de seguridad de datos no estructurados.

Para comprender mejor cómo la plataforma de Kriptos integra estas capacidades, te invitamos a explorar nuestra solución para empresas para mejorar su seguridad de información. 

Optimización de la visibilidad: el primer paso para una defensa sólida

La seguridad de datos no estructurados comienza con la visibilidad. ¿Cómo puedes proteger lo que no puedes ver o identificar? Muchas empresas operan con una "ceguera de datos" significativa, especialmente en lo que respecta a sus documentos no estructurados. Esto crea un panorama donde los riesgos de fuga de información se multiplican exponencialmente.

La optimización de la visibilidad implica:

  • Inventario completo: Conocer la ubicación exacta de cada archivo sensible, sin importar si está en un servidor local, en la nube, en un dispositivo personal o en un servicio de colaboración.
  • Clasificación inteligente: No solo por tipo de archivo, sino por su contenido real y su nivel de sensibilidad para el negocio. Esto permite diferenciar entre un documento público y información confidencial empresarial.
  • Monitoreo continuo: Establecer mecanismos para rastrear el movimiento y acceso a los datos clasificados, identificando patrones anómalos o sospechosos.

Sin esta visibilidad fundamental, cualquier inversión en ciberseguridad se convierte en un esfuerzo a ciegas, con resultados inciertos. La tecnología de Kriptos está diseñada para proporcionar esta visibilidad sin precedentes, haciendo que la gestión de la información no estructurada sea una tarea manejable y efectiva.

Sin clasificación, todo parece urgente; con contexto, se puede priorizar

La ciberseguridad moderna no puede basarse solo en monitorear eventos. Exige saber con claridad qué se está protegiendo, por qué, y con qué nivel de riesgo. La clasificación de datos sensible es la clave para esta priorización.

Esto es especialmente importante cuando más del 70% de la información sensible no contiene datos regulados. Son archivos que no están bajo el radar del cumplimiento tradicional, pero sí contienen acuerdos críticos, decisiones estratégicas y documentos de alto impacto. Sin una adecuada seguridad de datos no estructurados, estos activos quedan expuestos.

  • Sin una capa de clasificación, todo archivo se ve igual.
  • Cada movimiento genera una alerta. Cada acceso parece una amenaza.

Una clasificación eficaz transforma alertas en decisiones. Permite priorizar lo verdaderamente crítico y reduce el ruido operativo. Les da a las herramientas el contexto que necesitan para cumplir su función, minimizando los riesgos de fuga de información. Descubre cómo la IA de Kriptos puede ayudarte en este proceso explorando nuestros recursos sobre inteligencia artificial.

Sin visibilidad, cualquier defensa es débil

Una herramienta de clasificación o DLP, por sí sola, no es suficiente. La verdadera fortaleza en ciberseguridad no está en el número de alertas ni en el volumen de datos protegidos, sino en saber exactamente qué se quiere proteger y por qué. Como bien resume un enfoque que compartimos plenamente:

"La verdadera fortaleza está en conocer qué es lo que queremos proteger."

✅ Inventariar y clasificar activos     ✅ Evaluar riesgos reales (probabilidad e impacto)

Seguridad centrada en datos = visibilidad + gobernanza

Los datos no estructurados seguirán creciendo. Los endpoints seguirán fuera del radar. Y las amenazas (tanto internas como externas) no van a disminuir. Para contrarrestar los crecientes riesgos de fuga de información y garantizar una seguridad de datos no estructurados robusta, las organizaciones deben adoptar un enfoque centrado en el dato.

Lo único que puede reducir el riesgo es:

  • Tener visibilidad real sobre el contenido.
  • Clasificar automáticamente según contexto.
  • Aplicar controles proporcionales al valor del dato.
  • Gobernar todo esto con procesos claros, roles definidos y alineación al negocio.

El dato más peligroso es el que no sabes que tienes. Con Kriptos, transformamos esa invisibilidad en un control proactivo, permitiéndote tomar decisiones informadas y proteger tu información confidencial empresarial de manera efectiva. No dejes que los datos no estructurados sean tu mayor vulnerabilidad; haz de ellos tu mayor fortaleza.


Por Christian Torres, CEO & Co-Founder de Kriptos

Referencias

https://www.microsoft.com/es-co/security/business/security-101/what-is-a-cloud-access-security-broker-casb 

https://www.kriptos.io/es/es-post/datos-no-estructurados-que-son-y-como-funcionan

https://www.compliance.com.co/la-importancia-de-la-actualizacion-de-datos-en-la-gestion-de-riesgos-la-ft-un-enfoque-normativo-y-practico-para-oficiales-de-cumplimiento/

https://www.astera.com/es/type/blog/introduction-to-metadata-architecture/

https://www.paloaltonetworks.com.au/cyberpedia/what-is-xdr-vs-siem 

https://www.kriptos.io/es/plataforma/clasificacion-de-datos-con-ai-driven 

https://www.kriptos.io/es/es-post/benchmark-de-kriptos-estudio-del-riesgo-de-ciberseguridad

Latest

Related Posts for You

Discover more articles to keep you engaged.
__wf_reserved_heredar
Technology
11
minutos de lectura

¿Cómo crear nuestros propios ''sistemas de cifrado''?

Carlos Vaca, backend de Kriptos, nos habla de Kriptos Enhanced Security, una herramienta de ciberseguridad perfecta para proteger tus datos. ¡Ven a conocerla!

__wf_reserved_heredar
Technology
11
minutos de lectura

Inteligencia Artificial: El mejor aliado contra el ''error humano''

Platicamos sobre la importancia de la IA en la prevención de errores humanos en las empresas con la finalidad de disminuir la fuga de información ocasionada por empleados o colaboradores internos.

__wf_reserved_heredar
Technology
13
minutos de lectura

La importancia del cumplimiento de regulaciones en la seguridad de información

¿Por qué es importante cumplir con las normas que regulan la seguridad en la información? Te contamos todo lo que debes saber sobre este tipo de normas.

View all
__wf_reserved_heredar

Descubre el Poder de la Clasificación

Obtén Visibilidad Completa de tu Información Sensible.

Solicitar DemoContáctenos
Suscríbete a nuestro Newsletter
Permanece actualizado con nuestras últimas noticias y reportes de mercado.
¡Gracias! ¡Su presentación ha sido recibida!
¡Uy! Algo salió mal al enviar el formulario.
casos de uso
Auditoría y cumplimientoDescubrimiento automáticoGestión de riesgos
Por sector
Finanzas y bancaSeguros
plataforma
ProductoIntegracionesCalculadoraIASolicita una demostración
recursos
BlogTodas las publicaciones del blog
empresa
Acerca de nosotrosConviértase en socioCarrerasContáctanosDeclaración de privacidad
casos de uso
por sector
plataforma
recursos
empresa
__wf_reserved_heredar

© 2024 Kriptos. Todos los derechos reservados

__wf_reserved_heredar__wf_reserved_heredar__wf_reserved_heredar__wf_reserved_heredar