Prevenir la suplantación de identidad (phishing) mediante Preguntas frecuentes sobre la extensión Alerta de protección de contraseña

A continuación, se incluyen algunas preguntas habituales sobre la extensión Alerta de protección de contraseña, que se utiliza para prevenir ataques de suplantación de identidad (phishing). Para obtener instrucciones sobre cómo instalar esta extensión, consulta Prevenir ataques de suplantación de identidad (phishing) en las cuentas de tus usuarios o Evitar el phishing con Alerta de protección de contraseña.

¿Qué es Alerta de protección de contraseña?

Alerta de protección de contraseña es una extensión de Chrome que protege a los usuarios de G Suite y Cloud Identity frente a ataques de suplantación de identidad (phishing), ya que detecta cuándo se introduce su contraseña de Google en cualquier sitio web que no sea la página de inicio de sesión de Google.

Los administradores también pueden implementar el servidor de Alerta de protección de contraseña para habilitar la auditoría de alertas de contraseña, enviar alertas por correo electrónico y requerir a los usuarios que cambien su contraseña de Google si van a acceder a sitios web que no sean de confianza.

¿Qué es la política de Alerta de protección de contraseña de Chrome y en qué se diferencia del resto?

Mediante la política de Alerta de protección de contraseña de Chrome, puedes obtener muchas de las funciones de esta extensión. Esta política se integra de forma nativa en Chrome y permite implementar reglas de forma uniforme y generar informes en todas las plataformas compatibles con Chrome.

Tu organización no necesita G Suite ni Cloud Identity para usar la política de Alerta de protección de contraseña de Chrome. Actualmente, esta política no tiene un servidor específico para auditar alertas y hacer controles.

Si se configuran tanto la política de Alerta de protección de contraseña de Chrome como la extensión de Chrome, se pueden recibir dos conjuntos de alertas, aunque puedes desactivar la extensión para evitar alertas duplicadas.

¿Puedo reutilizar mi contraseña con mi cuenta de Google gestionada o con otras cuentas?

No. Al introducir la contraseña de tu cuenta de Google gestionada (por ejemplo en G Suite o en Cloud Identity) en un sitio que no sea de Google se activará la Alerta de protección de contraseña. Cada vez que utilices esa contraseña por primera vez en otras cuentas recibirás una alerta. Puedes elegir entre restablecer la contraseña o ignorar la alerta en la cuenta en cuestión.

Los usuarios de Gmail tienen la opción de silenciar todas las alertas de un sitio web. Si utilizas la misma contraseña en varias cuentas, y la seguridad de una de ellas está comprometida, con frecuencia los atacantes probarán a usar también esta contraseña en otras cuentas para acceder con esas credenciales.

¿Qué ocurre si no utilizo Chrome?

Alerta de protección de contraseña está dirigida a los usuarios de G Suite y Cloud Identity y, por el momento, solo funciona como una extensión de Chrome en este navegador. Como administrador, puedes implementarla en tus dominios mediante políticas de Chrome y configurar una instancia de Google App Engine para supervisar alertas en tus dominios. Si aún utilizas navegadores antiguos, comprueba la compatibilidad con navegadores antiguos de Chrome.

¿Funciona la extensión Alerta de protección de contraseña con el inicio de sesión múltiple?

La extensión Alerta de protección de contraseña utiliza el perfil de Chrome activo para determinar qué cuenta se está protegiendo. Por lo tanto, si quieres instalar esta extensión para varias cuentas de Google, utiliza varios perfiles de Chrome.

¿Cuándo se aplicará la extensión Alerta de protección de contraseña?

Una vez instalada, esta extensión se aplicará la próxima vez que inicies sesión en accounts.google.com. Es necesario que Javascript® esté habilitado y que los usuarios con cuentas de Google gestionadas hayan iniciado sesión en Chrome.

¿Cómo sabe tu contraseña la extensión Alerta de protección de contraseña?

Cada vez que inicies sesión en tu cuenta de Google, la extensión Alerta de protección de contraseña dispondrá de acceso temporal a tu contraseña y guardará un código hash con salt de tu contraseña en el almacenamiento local de Chrome. A continuación, comparará este código con cada contraseña que escribas en cualquier sitio web que no sea accounts.google.com (ni dominios de Google Cloud incluidos en la lista blanca por el administrador).

¿Qué otras herramientas puedo utilizar para proteger mi contraseña?

Para los usuarios de Gmail, una llave de seguridad FIDO Universal 2nd Factor (U2F) es una herramienta muy útil para ayudar a prevenir la suplantación de identidad (phishing) de la contraseña.

¿En qué se diferencia la extensión Alerta de protección de contraseña de las funciones de navegación segura integradas en Chrome?

Chrome intenta detectar las páginas de suplantación de identidad (phishing) por adelantado, pero puede que haya casos en los que se le pase por alto una página de inicio de sesión falsa. La extensión Alerta de protección de contraseña debería avisar cada vez que escribas tu contraseña en un sitio web que no sea accounts.google.com, siempre que no se trate de sitios web o dominios de Google Cloud incluidos en la lista blanca por el administrador.

¿La extensión Alerta de protección de contraseña admite contraseñas de Google con menos de ocho caracteres?

No, esta extensión requiere que las contraseñas tengan ocho caracteres como mínimo. Tendrás que cambiar las contraseñas heredadas de Google que tengan menos de ocho caracteres.

¿Registra Alerta de protección de contraseña las pulsaciones de teclas?

No, esta extensión no guarda pulsaciones de teclas en disco, ni las envía a un sistema remoto.

¿Los clientes de Google Cloud necesitan la aplicación Alerta de protección de contraseña?

No, esta aplicación solo se requiere para habilitar la auditoría de alertas, enviar alertas por correo electrónico y obligar al usuario que cambie su contraseña de Google si va a acceder a un sitio web que no sea de confianza.

He configurado Alerta de protección de contraseña para que envíe informes a mi aplicación Alerta de protección de contraseña. ¿Por qué ya no reciben mis usuarios notificaciones mediante banner?

Una vez que hayas configurado Alerta de protección de contraseña para enviar informes, las notificaciones solo se enviarán al grupo de seguridad o al usuario por correo electrónico. Para obtener más información, consulta la sección Aplicación obligatoria en el archivo de configuración de la aplicación Alerta de protección de contraseña.

¿Cuál es la diferencia entre la aplicación Alerta de protección de contraseña y la instancia de App Engine?

Google gestiona la aplicación Alerta de protección de contraseña, mientras que tu equipo gestiona la instancia de App Engine.

¿Qué diferencia hay entre los estados de host "Silenciar" y "Permitido" de la consola de administración?

Permitido: no alerta al grupo de seguridad ni establece como caducada la contraseña del usuario. Este estado se utiliza para incluir en la lista blanca un host que permita volver a usar la contraseña.

Silenciar: no alerta al grupo de seguridad, pero establece como caducada la contraseña del usuario. Normalmente, los nombres de host se silencian cuando se detecta que se ha reutilizado una contraseña en un sitio web legítimo (por ejemplo, login.yahoo.com).

Desconocido: alerta al grupo de seguridad y establece como caducada la contraseña del usuario. Este estado es el predeterminado para todos los hosts, excepto para accounts.google.com y la URL de SSO definida en managed_policy_values.txt (SSO_URL).

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?