Preguntas frecuentes sobre la extensión Alerta de Protección de Contraseña para prevenir la suplantación de identidad (phishing)

Alerta de Protección de Contraseña es una extensión de Chrome que protege a los usuarios de Google Workspace y Cloud Identity frente a ataques de suplantación de identidad (phishing), ya que detecta cuándo escriben su contraseña de Google en sitios web que no son la página de inicio de sesión de Google.

Los administradores también pueden implementar el servidor de Alerta de Protección de Contraseña para habilitar la auditoría de alertas de contraseña, enviar alertas por correo y obligar a los usuarios a cambiar su contraseña de Google si la han introducido en sitios web que no son de confianza.

Mediante la política de Alerta de Protección de Contraseña de Chrome, puedes obtener muchas de las funciones de esta extensión. Esta política está integrada de forma nativa en Chrome y permite implementar las mismas reglas y recoger datos en todas las plataformas compatibles con Chrome.

Tu organización no necesita Google Workspace ni Cloud Identity para utilizar la política de Alerta de Protección de Contraseña de Chrome. Por el momento, esta política no tiene un servidor específico para auditar alertas y hacer controles.

Si se configuran tanto la política de Alerta de Protección de Contraseña de Chrome como la extensión de Chrome, se pueden recibir dos conjuntos de alertas, aunque puedes desactivar la extensión para evitar alertas duplicadas.

No. Si escribes la contraseña de tu cuenta de Google gestionada (por ejemplo, de Google Workspace o de Cloud Identity) en un sitio que no es de Google, se activará Alerta de Protección de Contraseña. Cada vez que utilices esa contraseña por primera vez en otras cuentas, recibirás una alerta. Puedes elegir entre cambiar la contraseña o ignorar la alerta en la cuenta en cuestión.

Los usuarios de Gmail tienen la opción de silenciar todas las alertas de un sitio web. Si utilizas la misma contraseña en varias cuentas y la seguridad de una de ellas se ve vulnerada, con frecuencia los atacantes probarán a usar también esta contraseña en otras cuentas para acceder con esas credenciales.

Alerta de Protección de Contraseña está dirigida a los usuarios de Google Workspace y Cloud Identity y, por el momento, solo funciona como extensión del navegador Chrome. Como administrador, puedes implementarla en tus dominios mediante políticas de Chrome y configurar una instancia de Google App Engine para monitorizar alertas en esos dominios. Si utilizas navegadores antiguos, comprueba la compatibilidad con navegadores antiguos de Chrome.

La extensión Alerta de Protección de Contraseña utiliza el perfil de Chrome activo para determinar qué cuenta se está protegiendo. Por lo tanto, si quieres instalar esta extensión para varias cuentas de Google, utiliza varios perfiles de Chrome.

Una vez instalada, esta extensión empezará a funcionar la próxima vez que inicies sesión en accounts.google.com. Es necesario que JavaScript esté habilitado y que los usuarios con cuentas de Google gestionadas hayan iniciado sesión en Chrome.

Cada vez que inicies sesión en tu cuenta de Google, la extensión Alerta de Protección de Contraseña dispondrá de acceso temporal a tu contraseña y guardará un código hash con salt de tu contraseña en el almacenamiento local de Chrome. A continuación, comparará este código con cada contraseña que escribas en cualquier sitio web que no sea accounts.google.com (o, en el caso de dominios de Google Cloud, cualquier sitio que el administrador haya incluido en la lista de permitidos).

Para los usuarios de Gmail, una llave de seguridad FIDO Universal 2nd Factor (U2F) es una herramienta muy útil para ayudar a prevenir la suplantación de identidad (phishing) de la contraseña.

Chrome intenta detectar las páginas de suplantación de identidad (phishing) por adelantado, pero puede que haya casos en los que se le pase por alto una página de inicio de sesión falsa. La extensión Alerta de Protección de Contraseña debería avisar cada vez que escribas tu contraseña en un sitio web que no sea accounts.google.com (o, en el caso de dominios de Google Cloud, cualquier sitio que el administrador haya incluido en la lista de permitidos).

No. Esta extensión requiere que las contraseñas tengan ocho caracteres como mínimo. Tendrás que cambiar las contraseñas antiguas de Google que tengan menos de ocho caracteres.

No. Esta extensión no guarda pulsaciones de teclas en disco, ni las envía a un sistema remoto.

No. Esta aplicación solo se requiere para habilitar la auditoría de alertas, enviar alertas por correo electrónico y obligar al usuario a que cambie su contraseña de Google si la ha introducido en un sitio web que no sea de confianza.

Google gestiona la aplicación Alerta de Protección de Contraseña, mientras que tu equipo gestiona la instancia de App Engine.

Permitido: no alerta al grupo de seguridad ni establece como caducada la contraseña del usuario. Puedes utilizar este estado para incluir un host en una lista de permitidos y permitir reutilizar las contraseñas.

Silenciar: no alerta al grupo de seguridad, pero establece como caducada la contraseña del usuario. Normalmente, los nombres de host se silencian cuando se detecta que se ha reutilizado una contraseña en un sitio web legítimo (por ejemplo, login.yahoo.com).

Desconocido: alerta al grupo de seguridad y establece como caducada la contraseña del usuario. Este estado es el predeterminado para todos los hosts, excepto para accounts.google.com y la URL de SSO definida en managed_policy_values.txt (SSO_URL).