Como administrador de Google Workspace, puedes recibir alertas por correo electrónico para recibir una notificación cuando se cierre la sesión de los usuarios debido a cookies de sesión sospechosas. El robo de cookies o interceptación de sesiones consiste en robar el ID de sesión de un usuario mediante cookies que se generan al iniciar sesión en su cuenta. Cuando se detecta una cookie de sesión sospechosa, la sesión se cierra y el usuario cierra la sesión de su cuenta correspondiente a esa sesión y a las sesiones sospechosas relacionadas en ese dispositivo.
Cuando un usuario intenta volver a iniciar sesión desde el mismo dispositivo, se le muestra un mensaje en el que se le pide que elimine software malicioso o no seguro. El usuario también debe proporcionar un paso de verificación adicional cuando vuelva a iniciar sesión en la cuenta en el dispositivo.
Con la herramienta de investigación de seguridad (SIT) o la herramienta de auditoría e investigación, puedes identificar intentos de hackear cuentas de usuario mediante cookies de sesión en tu organización.
Paso 1: Inicia la investigación
Opción 1: Investigar las cookies de sesiones sospechosas en SIT
Ediciones compatibles con la fuente de datos Eventos de registro de usuarios en la herramienta de investigación:
Enterprise Plus, Education Plus, Cloud Identity Premium, Enterprise Standard y Education Standard
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
Seguridad
Centro de Seguridad
- En el menú Fuente de datos, selecciona Eventos de registro de usuarios.
- En el menú Añadir condición, selecciona Evento y asegúrate de que la condición tenga el valor Es (la opción predeterminada).
- En el menú Evento, selecciona Sesión de usuario cerrada debido a una cookie de sesión sospechosa.
- Haz clic en Buscar.
Los resultados de búsqueda aparecen en la parte inferior de la página.
Opción 2: Investigar las cookies de sesiones sospechosas en la página de auditoría e investigación
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
Informes
- Haz clic en Añadir un filtro y selecciona Evento.
- En la ventana emergente, asegúrate de que el operador del menú superior tenga asignado el valor Es (la opción predeterminada) y, en el menú desplegable, selecciona Sesión de usuario cerrada debido a una cookie de sesión sospechosa y haz clic en Aplicar.
- Haz clic en Buscar.
Los registros se muestran en la parte inferior de la página.
Paso 2: Tomar medidas
En la columna Descripción, haz clic en Cookie de sesión sospechosa para abrir el panel Detalles del registro. Si se muestra el valor Verdadero en la fila Es sospechoso, ayuda a los usuarios afectados a seguir los pasos para quitar malware o software no seguro.
Proteger cuentas vulneradas
Si sospechas que una cuenta puede haber sido vulnerada o hackeada, como administrador puedes comprobar que las cuentas de tus usuarios están protegidas. Trabaja con los usuarios afectados para identificar y proteger las cuentas vulneradas.
