Identificar y proteger cuentas vulneradas

Como administrador, si sospechas que es posible que se haya vulnerado una cuenta, puedes seguir la lista de comprobación que aparece más adelante para verificar que las cuentas de tus usuarios sean seguras (p. ej., para comprobar que no haya cuentas vulneradas ni interceptadas). Trabaja con los usuarios cuyas cuentas estén afectadas para completar la lista de verificación de seguridad de Gmail para cuentas personales.

Sigue estos pasos para aumentar la seguridad:

Paso 1. Suspender temporalmente la cuenta de usuario vulnerada
  1. Suspende a un usuario para impedir el acceso no autorizado.

    Nota: Si suspendes al usuario, se vaciarán las cookies de inicio de sesión y los token de OAuth de su cuenta.

  2. Investiga la actividad potencialmente no autorizada y restaura la cuenta. También te recomendamos que registres el dominio en la verificación en dos pasos (2SV).
  3. Pide al usuario afectado que revise su dirección de recuperación y complete la lista de verificación de seguridad de Gmail.
Paso 2. Investigar la cuenta para detectar actividad no autorizada
  1. Si la cuenta de usuario vulnerada pertenece a un administrador de G Suite, consulta los registros de auditoría del administrador para ver los cambios de configuración que ha realizado recientemente dicho usuario. Puedes saltarte este paso, si no fuera necesario.
  2. Revisa los dispositivos móviles asociados a la cuenta afectada y borra los datos de los dispositivos sospechosos.
  3. Investiga la posible actividad no autorizada:
    1. Utiliza el Registro de auditoría de inicio de sesión de la consola de administración para ver una lista completa de los inicios de sesión basados en la Web que ha habido en tu dominio (tanto los que se han realizado correctamente como los que no) en los últimos seis meses. Los inicios de sesión sospechosos se marcan con un icono de advertencia. También puedes recuperar los inicios de sesión de la cuentas del dominio a través de la API G Suite Reports.
    2. Utiliza la búsqueda en el registro de correo electrónico para revisar los registros de entrega de tus dominios y evaluar el tránsito de los mensajes procedentes de cuentas posiblemente vulneradas o enviados a estas. Si una cuenta está gestionada con Vault, puedes revisar la actividad de correo electrónico con esta búsqueda.
      Nota: Si tus usuarios actualizan sus ediciones de G Suite a G Suite Business o G Suite Enterprise con Vault, podrán recuperar los correos electrónicos y los documentos que se hayan eliminado definitivamente.
    3. Evalúa la exposición del dominio a riesgos de seguridad de datos con el informe de seguridad. Debes revisar estos informes:
    4. Comprueba si se ha establecido alguna configuración maliciosa. Puedes obtener ajustes de cuentas de usuario (por ejemplo, la configuración de reenvío) con la API de Gmail. Si sospechas que se ha utilizado una cuenta del tipo usuario@gmail.com para poner en riesgo la seguridad, notifícalo.
Paso 3. Revocar el acceso a la cuenta afectada
  1. Sigue los pasos que se describen en Restablecer la contraseña de un usuario.
  2. Revoca los tokens de OAuth para el usuario. 
  3. Al cambiar la contraseña de un usuario, algunas aplicaciones que utilizan el método de autenticación OAuth 2.0 dejarán de tener acceso a los datos. El usuario deberá iniciar sesión con el nombre de su cuenta y la contraseña nueva para recibir un nuevo token de OAuth 2.0.
  4. Revoca las contraseñas de aplicación que haya creado el usuario.
Paso 4. Restablecer el acceso del usuario
  1. Anula la suspensión de la cuenta.
  2. Informa a los usuarios de sus nuevas contraseñas temporales y pídeles que establezcan contraseñas únicas (que no utilicen en otros sitios web o aplicaciones).
  3. Habilita la verificación en dos pasos en el dominio y registra a los usuarios con llaves de seguridad U2F (opción preferida a los códigos de verificación en dos pasos).
  4. Colabora con los usuarios para completar la lista de verificación de seguridad de Gmail para cuentas personales. Por ejemplo, asegúrate de que los filtros y las opciones de reenvío de todos tus usuarios finales se hayan configurado correctamente.
    1. Actualiza las opciones de recuperación de la cuenta.
    2. Comprueba si ha habido actividad inusual en la cuenta.
    3. Comprueba si faltan mensajes o hay alguno sospechoso.
    4. Comprueba si hay errores en tus contactos.
    5. Revisa la configuración de Gmail.  

Realizar otros pasos para aumentar la seguridad 

Te recomendamos que realices estos pasos adicionales para proteger la seguridad de las cuentas de G Suite de tus usuarios.

Paso 1. Inscribirse en la verificación en dos pasos con llaves de seguridad

Con la verificación en dos pasos se añade un nivel extra de seguridad a las cuentas de G Suite de tus usuarios. Los usuarios deben introducir un código de verificación, además de su nombre de usuario y contraseña, cuando inicien sesión en sus cuentas. Consulta el artículo Añadir verificación en dos pasos para obtener más información. Recomendamos utilizar llaves de seguridad en lugar de códigos de seguridad de verificación en dos pasos para proteger mejor la cuenta contra la suplantación de identidad (phishing).

Paso 2. Añadir, proteger o actualizar las opciones de recuperación

Consulta el artículo Cómo añadir opciones de recuperación a la cuenta de administrador para ver instrucciones sobre cómo añadir direcciones de correo electrónico secundarias y números de teléfono. Te recomendamos que protejas las direcciones secundarias cambiando las contraseñas o que sustituyas la dirección secundaria por una nueva.

Paso 3. Habilitar las alertas de actividad de la cuenta

Como administrador, puedes recibir alertas de actividad de la cuenta cuando se produzcan eventos importantes, como inicios de sesión potencialmente sospechosos o cambios en la configuración del servicio realizados por otros administradores.

Consulta el Centro de seguridad de Google para ver recomendaciones generales sobre cómo proteger la seguridad de tu cuenta.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?