¿Qué es DRP (Digital Risk Protection)?
DRP (Digital Risk Protection) es la disciplina de monitorear continuamente amenazas digitales que ocurren fuera del perímetro corporativo — dark web, foros underground, redes sociales, Telegram, sitios de leaks y medios — para detectar credenciales filtradas, suplantación de marca, fugas de datos y mención de ejecutivos antes de que se conviertan en incidentes.
Resumen rápido
- DRP monitorea lo que pasa con tu organización en internet, fuera de tu red.
- Cubre cuatro dominios principales: identidad digital, marca, fugas de datos y ejecutivos.
- Distinto de CTI (Cyber Threat Intelligence): DRP es específico de tu organización; CTI es panorámico.
- Distinto de EASM: EASM monitorea lo que vos exponés; DRP monitorea lo que otros hacen con tu identidad.
- Las plataformas modernas combinan automatización (descubrimiento) con humanos (takedown y negociación).
Los cuatro dominios de DRP
Identidad digital: detección de credenciales filtradas en dumps, infostealer logs, combolists y mercados de credenciales.
Protección de marca: detección de dominios clonados, typosquatting, infraestructura de phishing, suplantación en redes sociales y aplicaciones móviles falsas.
Fuga de datos: monitoreo de menciones a la organización en sitios de ransomware, foros de hacking, paste sites, repositorios públicos con secretos expuestos.
Protección de ejecutivos y VIPs: monitoreo de menciones, doxing, suplantación y amenazas dirigidas a personas clave.
DRP vs CTI vs OSINT
CTI (Cyber Threat Intelligence) es el conocimiento sobre actores, técnicas y motivaciones de adversarios — útil para todos los defensores, no específico de una organización. DRP toma esa inteligencia y la aplica específicamente a tu marca y activos. OSINT (Open Source Intelligence) es la metodología de recolección que ambos usan, pero DRP la operacionaliza con automatización, scoring y workflow.
Cómo se mide la efectividad de DRP
Tiempo medio hasta detección (MTTD): minutos u horas desde que un dato aparece en la fuente hasta que tu equipo es notificado. Las plataformas top apuntan a menos de 30 minutos para señales críticas.
Tasa de falsos positivos: una plataforma DRP madura debe entregar relación señal/ruido alta. Por encima de 30% de falsos positivos, los analistas dejan de atender alertas.
Tiempo de takedown: para suplantación de marca y phishing, cuánto tarda en bajar un dominio o página. Las mejores plataformas combinan automatización con un equipo humano de takedown.
Cobertura multilingüe: por qué importa
Una porción significativa de la actividad criminal digital ocurre en idiomas distintos del inglés: foros y canales en español, portugués, ruso y árabe. Una plataforma DRP que solo cubre fuentes en inglés deja zonas ciegas grandes para cualquier organización con marca global, presencia hispanohablante o exposición a actores no anglófonos.
El diferencial real de una plataforma DRP moderna es la combinación de coverage amplio en inglés con coverage profundo en idiomas adicionales: foros, canales de Telegram y mercados donde realmente operan los actores que afectan a tu negocio, sin importar el idioma.
Preguntas frecuentes
¿Necesito DRP si ya tengo CTI?
Sí. CTI te dice qué actores existen y cómo operan en general. DRP te dice qué están haciendo específicamente contra tu organización. Son capas distintas: CTI es estratégica y tendencial; DRP es operativa y específica.
¿DRP incluye takedowns?
Las plataformas DRP modernas incluyen workflows automáticos de takedown para infraestructura de phishing y suplantación, complementados con un equipo humano que maneja casos complejos (negociación con registrars, denuncias legales). Sin la capa de takedown, DRP es solo una alerta.
¿Cuántas fuentes monitorea una plataforma DRP típica?
Las plataformas líderes monitorean cientos de fuentes: foros de la dark web, canales de Telegram, sitios de leaks de ransomware, mercados de infostealer logs, redes sociales públicas, paste sites y repositorios públicos. La calidad importa más que la cantidad: lo crítico es coverage de las fuentes donde realmente aparecen amenazas para tu industria y tu base de clientes.
¿DRP es lo mismo que dark web monitoring?
No. Dark web monitoring es una capacidad dentro de DRP, pero DRP es más amplio: incluye también redes sociales, surface web, monitoreo de marca, ejecutivos y fuga de datos en general. Una plataforma que solo hace dark web monitoring no es una plataforma DRP completa.