Identificar y proteger cuentas vulneradas

1. Suspende a un usuario para impedir que haya accesos no autorizados.

   Nota: Si lo suspendes, se vaciarán las cookies de inicio de sesión y los tokens de OAuth de su cuenta.

2. Investiga la actividad potencialmente no autorizada y restaura la cuenta. También te recomendamos habilitar la verificación en dos pasos (2SV) en el dominio.
3. Pide al usuario afectado que revise su dirección de recuperación y que siga los pasos de la lista de comprobación de seguridad de Gmail.

1. Si la cuenta de usuario vulnerada pertenece a un administrador, consulta los registros de auditoría del administrador para ver los cambios que ha hecho recientemente ese usuario en la configuración. Si no es de un administrador, sáltate este paso.
2. Revisa los dispositivos móviles asociados a la cuenta afectada y borra los datos de los dispositivos sospechosos.
3. Investiga la posible actividad no autorizada:
   1. Utiliza los eventos de registro de usuarios de la consola de administración para ver la lista de los intentos de inicio de sesión basados en la Web que ha habido en tu dominio durante los últimos seis meses. Figuran tanto los intentos que sirvieron para iniciar sesión correctamente como los que no. Los inicios de sesión sospechosos aparecen marcados con un icono de advertencia. También puedes generar la lista de inicios de sesión con cuentas de dominio a través de la API Reports.
   2. Utiliza la búsqueda en el registro de correo electrónico para revisar los registros de entrega de tus dominios y evaluar el tránsito de los mensajes procedentes o destinados a cuentas posiblemente vulneradas. Si una cuenta está gestionada con Vault, con esta búsqueda puedes revisar su actividad de correos electrónicos.
      Nota: Si tus usuarios pasan a utilizar una edición mejorada que incluya Vault, pueden recuperar los correos electrónicos y los documentos que se hayan eliminado definitivamente.
   3. Evalúa la exposición del dominio a riesgos de seguridad de datos con el informe de seguridad. Debes revisar estos informes:
      • Eventos de registro de OAuth
      • Eventos de registro de Grupos
      • Eventos de registro de Drive

        Ediciones compatibles con esta función: Frontline Starter y Frontline Standard; Business Starter, Business Standard y Business Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus; Essentials Starter, Essentials, Enterprise Essentials y Enterprise Essentials Plus; G Suite Business.  Comparar ediciones

      • Eventos de registro de Calendar
   4. Comprueba si se ha hecho alguna configuración maliciosa. Con la API de Gmail, puedes ver los ajustes de cuentas de usuario (por ejemplo, la configuración de los reenvíos). Si sospechas que se ha utilizado una cuenta de tipo [usuario]@gmail.com para poner en riesgo la seguridad, notifícalo.

1. Sigue los pasos que se describen en Cambiar la contraseña de un usuario.
2. Revoca los tokens de OAuth 2.0 del usuario. 
3. Al cambiar la contraseña de un usuario, algunas aplicaciones que utilizan el método de autenticación OAuth 2.0 dejarán de tener acceso a los datos. El usuario deberá iniciar sesión con el nombre de su cuenta y la contraseña nueva para recibir un nuevo token de OAuth 2.0.
4. Revoca las contraseñas de aplicación que haya creado el usuario.

1. Anula la suspensión de la cuenta.
2. Informa a los usuarios de sus nuevas contraseñas temporales y pídeles que pongan contraseñas únicas (que no utilicen en otros sitios web o aplicaciones).
3. Habilita la verificación en dos pasos en el dominio y registra a los usuarios con llaves de seguridad, una opción que es preferible a los códigos de verificación en dos pasos.
4. Consulta a los usuarios para completar los pasos indicados en la lista de comprobación de seguridad de Gmail para cuentas personales. Por ejemplo, asegúrate de que los filtros y las opciones de reenvío de todos tus usuarios finales estén configuradas correctamente.
   1. Actualiza las opciones de recuperación de la cuenta.
   2. Comprueba si ha habido actividad inusual en la cuenta.
   3. Comprueba si faltan mensajes o hay alguno sospechoso.
   4. Comprueba si hay errores en tus contactos.
   5. Revisa la configuración de Gmail.  

Con la verificación en dos pasos, se añade un nivel adicional de seguridad a las cuentas de tus usuarios. Los usuarios deben introducir un código de verificación, además de su nombre de usuario y contraseña, cuando inicien sesión en sus cuentas. Consulta Verificación en dos pasos para obtener más información. Recomendamos utilizar llaves de seguridad en vez de códigos de seguridad de verificación en dos pasos, ya que protegen mejor las cuentas contra la suplantación de identidad (phishing).

Consulta el artículo Añadir opciones de recuperación a una cuenta de administrador para ver instrucciones sobre cómo añadir direcciones de correo electrónico secundarias y números de teléfono. Te recomendamos que protejas las direcciones secundarias cambiando las contraseñas o que sustituyas la dirección secundaria por una nueva.

Como administrador, puedes activar la recepción de alertas de actividad de la cuenta cuando se produzcan eventos importantes, como inicios de sesión potencialmente sospechosos o cambios en la configuración del servicio que hayan hecho otros administradores.

Consulta el Centro de seguridad de Google para ver recomendaciones generales sobre cómo proteger tu cuenta.