Configurar reglas para detectar archivos adjuntos dañinos

Zona de pruebas de seguridad

Esta función solo está disponible en G Suite Enterprise y G Suite Enterprise para Centros Educativos.

A veces, los archivos adjuntos incluidos en correos electrónicos contienen software malicioso que los programas antivirus tradicionales no detectan. Para identificar estas amenazas, Gmail puede analizar o ejecutar los archivos adjuntos en un entorno virtual denominado "zona de pruebas de seguridad". Los archivos adjuntos identificados como amenazas se pueden colocar en las carpetas de spam de los usuarios o poner en cuarentena.

Como administrador, puedes configurar Gmail para que analice todos los tipos de archivos adjuntos admitidos en la zona de pruebas de seguridad, o bien puedes especificar reglas para analizar archivos adjuntos. También tienes la opción de gestionar los archivos adjuntos maliciosos con reglas de cumplimiento del contenido.

Entre los tipos de archivos que se analizan en la zona de pruebas de seguridad se incluyen los archivos ejecutables de Microsoft Windows, los archivos de Microsoft Office y los PDF.

Acerca de las reglas de la zona de pruebas de seguridad y otros análisis

Puedes crear reglas que especifiquen qué archivos adjuntos se analizan en la zona de pruebas de seguridad. Por ejemplo, puedes crear reglas para analizar archivos adjuntos solo si los mensajes de correo electrónico cumplen los siguientes requisitos:

  • Incluyen determinado contenido como, por ejemplo, la palabra factura.
  • Proceden de usuarios concretos.
  • Se han enviado desde fuera de un dominio especificado.
  • Tienen direcciones de correo que cumplen determinados patrones.

Cómo se combinan los análisis de la zona de pruebas de seguridad con otros análisis

En la zona de pruebas de seguridad, los archivos adjuntos se analizan independientemente de si ya han pasado por otros análisis de cumplimiento o previos a la entrega. Por ejemplo, los análisis de cumplimiento del contenido pueden buscar información personal, como los números de las tarjetas de crédito. Por otro lado, los análisis de cumplimiento de los archivos adjuntos pueden bloquear los archivos adjuntos de un determinado tipo o tamaño. Gmail ejecuta estos análisis de cumplimiento y previos a la entrega al margen de los análisis en la zona de pruebas de seguridad. 

Nota: Si alguna regla de cumplimiento o algún análisis previo a la entrega provoca que se bloquee un archivo adjunto, no se enviará a la zona de pruebas de seguridad para analizarse.  

Para obtener más información, consulta estos artículos:

Retraso en la entrega de mensajes

Algunos mensajes pueden tardar hasta tres minutos más en enviarse a sus destinatarios si contienen archivos adjuntos que deben analizarse en la zona de pruebas de seguridad. Es el tiempo que se tarda en analizar un archivo adjunto y determinar si es dañino. Algunos análisis se ejecutan más rápido.
Buscar los ajustes de la zona de pruebas de seguridad
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones y luego G Suite y luego Gmail y luego Configuración avanzada.

    Nota: Para acceder a Configuración avanzada, debes desplazarte hasta la parte inferior de la página de Gmail.

  3. En la pestaña Configuración general, selecciona una organización principal o secundaria.
  4. En la sección Spam, suplantación de identidad (phishing) y software malicioso, desplázate hasta Zona de pruebas de seguridad. Puedes ver las reglas de la zona de pruebas de seguridad en la parte inferior de esta sección.
Analizar todos los archivos adjuntos en la zona de pruebas de seguridad

Como administrador, puedes configurar Gmail para que analice todos los archivos adjuntos de correos electrónicos, incluidos tanto los que se han enviado desde tu dominio como desde dominios externos. 

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones y luego G Suite y luego Gmail y luego Configuración avanzada.

    Nota: Para acceder a Configuración avanzada, debes desplazarte hasta la parte inferior de la página de Gmail.

  3. En la pestaña Configuración general, selecciona la organización principal o una unidad organizativa:
    • La configuración de la zona de pruebas de la organización principal se aplica a todas las unidades organizativas.
    • La configuración de la zona de pruebas a nivel de unidad organizativa tiene prioridad sobre la configuración de la organización principal.
  4. En la sección Spam, suplantación de identidad (phishing) y software malicioso, desplázate hasta Zona de pruebas de seguridad. Puedes ver las reglas de la zona de pruebas de seguridad en la parte inferior de esta sección.
  5. Para analizar todos los archivos adjuntos, marca la casilla que empieza por Habilitar la ejecución virtual de archivos adjuntos en un entorno de zona de pruebas.

    Nota: Si esta casilla está marcada, se analizan todos los archivos adjuntos en la zona de pruebas de seguridad, aunque hayas configurado alguna regla para especificar algunos tipos.
     
  6. Ve al final de la página y haz clic en Guardar

    Nota: Los cambios pueden tardar hasta una hora en aplicarse.
Analizar solo los archivos adjuntos de mensajes que cumplen determinadas reglas

Puedes crear reglas para identificar los mensajes de correo electrónico cuyos archivos adjuntos deben analizarse.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Aplicaciones y luego G Suite y luego Gmail y luego Configuración avanzada.

    Nota: Para acceder a Configuración avanzada, debes desplazarte hasta la parte inferior de la página de Gmail.

  3. En la pestaña Configuración general, selecciona la organización principal. La zona de pruebas de seguridad solo puede configurarse en la organización principal y sus ajustes se aplican a todas las organizaciones secundarias.
  4. En la sección Spam, suplantación de identidad (phishing) y software malicioso, busca Zona de pruebas de seguridad y desmarca la casilla que empieza por Habilitar la ejecución virtual de archivos adjuntos en un entorno de zona de pruebas. De este modo, solo se analizarán los archivos adjuntos de los mensajes que cumplan las reglas de la zona de pruebas.

  5. En la parte inferior de la sección Spam, phishing y software malicioso, coloca el cursor sobre Reglas de la zona de pruebas de seguridad y haz clic en Configurar.

  6. En el cuadro Añadir ajuste, debajo de Reglas de la zona de pruebas de seguridad, pon un nombre a la regla. Ese nombre aparece en la página de configuración.

  7. En la sección Mensajes afectados, marca las casillas situadas junto a los tipos de mensaje que te interesen:

    • Entrante: mensajes que se han enviado a tu organización desde dominios externos.

    • Entrante interno: mensajes que se han enviado y recibido dentro de los dominios y subdominios de tu organización. 

  8. En la sección Añadir expresiones que describan el contenido que quieres buscar en cada mensaje, sigue estos pasos:

    1. Decide si la regla debe activarse cuando se encuentren coincidencias de todas las expresiones o basta con solo alguna. Por ejemplo, al seleccionar Si alguna de las siguientes reglas se cumple en el mensaje, se analizarán en la zona de pruebas de seguridad los archivos adjuntos de los mensajes en los que se detecte cualquier condición que introduzcas.

    2. En el cuadro Expresiones, haz clic en Añadir.

    3. En la lista, selecciona el tipo de coincidencia de la expresión y haz clic en Guardar.

      • Coincidencia de contenido simple: se buscan coincidencias del contenido que indicas. La coincidencia de contenido simple funciona de forma similar a la función de búsqueda de Gmail. Por ejemplo, si introduces orden de compra, se devolverán todas las cadenas que incluyan las tres palabras. Consulta los operadores de búsqueda de Gmail.

      • Coincidencia de contenido avanzada: selecciona en qué parte de los mensajes quieres buscar coincidencias en Ubicación, elige la opción que te interese en Tipo de coincidencia e introduce el contenido que quieres buscar. A diferencia de la coincidencia de contenido simple, la cadena debe ser una coincidencia exacta. En las tablas siguientes puedes ver una descripción de cada ubicación dentro del mensaje y los tipos de coincidencia. Consulta la sección Opciones de la coincidencia de contenido avanzada.

      • Coincidencia de metadatos: selecciona el atributo que quieres buscar y elige una opción en Tipo de coincidencia. Si fuera necesario, introduce el valor de coincidencia. En la tabla que aparece más adelante puedes ver una descripción de atributos de metadatos y tipos de coincidencia. Consulta la sección Atributos de metadatos y tipos de coincidencia.

      • Coincidencia de contenido predefinido: selecciona uno de los detectores de contenido predefinidos, como Número de la tarjeta de crédito o Número de la Seguridad Social. Además, puedes determinar el número de veces que debe detectarse el contenido en cuestión en un mensaje para que se active la acción que definas. También puedes activar un análisis si el contenido detectado en un mensaje alcanza un umbral de confianza determinado. Para obtener más información, consulta el artículo Analizar el tráfico de correo electrónico con reglas de Prevención de la pérdida de datos (DLP)Esta función está disponible en las ediciones G Suite Business y G Suite Enterprise. Comparar las ediciones

      Opciones de la coincidencia de contenido avanzada

      • Ubicación: la parte del mensaje de correo electrónico en la que aparece el contenido. 

        Tipo de ubicación Descripción
        Cabeceras + Cuerpo Las cabeceras completas y el cuerpo. Incluye los archivos adjuntos (partes MIME decodificadas).
        Cabeceras completas Todos los campos de cabecera. No incluye el cuerpo del mensaje ni los archivos adjuntos.
        Cuerpo del mensaje La parte principal del texto del mensaje de correo electrónico. Incluye los archivos adjuntos (partes MIME codificadas).
        Asunto El asunto del mensaje que figura en la cabecera.
        Cabecera de remitente

        La dirección de correo electrónico del remitente que se indica en la cabecera "De". Puede diferir del remitente indicado en el Remitente del sobre.

        La cabecera de remitente es la dirección de correo electrónico que aparece entre comillas angulares y no incluye el nombre de cuenta.

        Por ejemplo:

        De: Marta López <marta.lopez@example.com>

        La cabecera de remitente es marta.lopez@example.com.

        Nota: La parte de la izquierda de las direcciones que terminan en @gmail.com y @googlemail.com se convierte al formato canónico. Por ejemplo, marta.lopez@gmail.com se convierte en martalopez@gmail.com.

        Cabecera de destinatarios

        El destinatario o destinatarios que se indican en las cabeceras del correo electrónico: Para, Cc y Cco. Estos datos pueden no coincidir con los que se indican en Cualquier destinatario del mensaje.

        Solo se compara un destinatario. Si hay dos o más destinatarios, la regla de contenido avanzada no busca coincidencias en todos los destinatarios de una cadena. Si quieres configurar una regla que afecte a los mensajes enviados a varios usuarios, utiliza Cabeceras completas.

        La cabecera de destinatario está formada por la dirección de correo electrónico, especificada entre comillas angulares, y no incluye el nombre de cuenta.

        Por ejemplo:

        Para: Marta López <mlopez@example.com>
        Cc: Juan Duarte <juanduarte@example.com> Cco: Juan Pérez <jperez@example.com>

        Las cabeceras de destinatario son mlopez@example.com, juanduarte@example.com y jperez@example.com.

        Remitente del sobre El remitente original que se indicó durante la solicitud de comunicación SMTP y que puede no coincidir con el que se indicó en la cabecera de remitente. A menudo, aunque no siempre, coincide con la dirección encontrada en la cabecera "Return-path".
        Cualquier destinatario del sobre

        El destinatario o destinatarios que se indicaron durante la solicitud de comunicación SMTP y que pueden no coincidir con los que se indicaron en la cabecera de destinatario. Aquí pueden incluirse los miembros que se hayan añadido a un grupo.

        Solo se compara un destinatario. Si hay dos o más destinatarios, la regla de contenido avanzada no busca coincidencias en todos los destinatarios de una cadena.

        Mensaje sin formato Las cabeceras completas y el cuerpo, incluidos todos los archivos adjuntos y otras partes MIME del mensaje. Las partes MIME están sin decodificar. Equivale a los bytes del mensaje RFC-2822.
      • Tipo de coincidencia: los parámetros que definen cómo se buscan coincidencias.
         
        Tipo de coincidencia Descripción

        Comienza por

        Busca en la ubicación seleccionada contenido que comience por el carácter o la cadena especificados.

        Termina en

        Busca en la ubicación seleccionada contenido que termine en el carácter o la cadena especificados.

        Contiene texto

        Busca en la ubicación seleccionada contenido que contenga la cadena especificada.

        No contiene texto

        Busca en la ubicación seleccionada contenido que no contenga la cadena especificada.

        Igual a

        Busca en la ubicación seleccionada contenido que coincida exactamente con la cadena especificada.

        Está vacía

        Busca en la ubicación seleccionada mensajes sin contenido.

        Coincide con la expresión regular

        Busca en la ubicación seleccionada contenido que coincida con la expresión regular especificada. Consulta la sección sobre expresiones regulares que se incluye más abajo.

        No coincide con la expresión regular

        Busca en la ubicación seleccionada contenido que no coincida con la expresión regular introducida. Consulta la sección sobre expresiones regulares que se incluye más abajo.

        Coincide con cualquier palabra

        Busca en la ubicación seleccionada contenido que coincida con cualquier palabra de la lista especificada.

        Coincide con todas las palabras

        Busca en la ubicación seleccionada contenido que coincida con todas las palabras de la lista especificada.

      • Contenido: el texto del que se buscarán coincidencias.

      Atributos de metadatos y tipos de coincidencia

      Atributo Tipo de coincidencia Descripción

      Autenticación del mensaje

      • El mensaje está autenticado
      • El mensaje no está autenticado

      Selecciona esta opción para incluir mensajes que estén (o no estén) autenticados en la expresión de cumplimiento.

      Cumple con la norma DMARC. El mensaje está autenticado si 1) pasa la comprobación de SPF y el dominio del remitente del sobre coincide con el dominio de la cabecera de origen, o si 2) pasa la comprobación DKIM del dominio de la cabecera de origen. En caso contrario, se considera que el mensaje no está autenticado.

      IP de origen

      • La IP de origen está dentro del intervalo siguiente

      • La IP de origen no está dentro del intervalo siguiente

      Selecciona esta opción para incluir mensajes que estén (o no estén) dentro del intervalo de IPs especificado en la expresión de cumplimiento. Introduce el intervalo en el campo.

      Transporte seguro (TLS)

      • La conexión está encriptada con el protocolo TLS

      • La conexión no está encriptada con el protocolo TLS

      Selecciona esta opción para incluir mensajes que estén (o no estén) encriptados con TLS en la expresión de cumplimiento.

      Tamaño del mensaje
      • El tamaño del mensaje (en MB) es superior al siguiente
      • El tamaño del mensaje (en MB) es inferior al siguiente

      Selecciona esta opción para incluir mensajes con un tamaño superior (o inferior) al especificado en la expresión de cumplimiento. Introduce el tamaño del mensaje (en MB) en el campo.

      Nota: En este campo se indica el tamaño sin procesar de los mensajes, que puede ser hasta un 33 % superior al tamaño nativo de los mensajes y sus archivos adjuntos debido a la sobrecarga de codificación habitual.

      Cifrado con S/MIME

      • El mensaje está cifrado con S/MIME

      • El mensaje no está cifrado con S/MIME

      Selecciona esta opción para incluir mensajes que estén (o no estén) cifrados con S/MIME.

      Esta función solo está disponible en G Suite Enterprise y G Suite Enterprise para Centros Educativos.

      Firmado con S/MIME

      • El mensaje está firmado con S/MIME

        • El mensaje no está firmado con S/MIME

      Selecciona esta opción para incluir mensajes que estén (o no estén) firmados con S/MIME.

      Esta función solo está disponible en G Suite Enterprise y G Suite Enterprise para Centros Educativos.

      Modo confidencial de Gmail
      • El mensaje está en el modo confidencial de Gmail
      • El mensaje no está en el modo confidencial de Gmail
      Selecciona esta opción para incluir mensajes que estén (o no estén) en el modo confidencial de Gmail.
  9. Comprueba que la acción que debe realizarse si se encuentra una coincidencia sea Ejecutar la zona de pruebas de seguridad. De este modo, siempre que un mensaje cumpla las condiciones, se analizarán sus archivos adjuntos en la zona de pruebas de seguridad.
  10. Si has terminado de configurar la regla, haz clic en Añadir ajuste o Guardar en la parte inferior del cuadro. A continuación, en la parte inferior de la página Configuración avanzada de Gmail, selecciona Guardar. Si aún no has terminado, consulta las siguientes secciones:

Poner archivos adjuntos maliciosos en cuarentena

El software malicioso detectado por la zona de pruebas de seguridad se coloca en la carpeta de spam de forma predeterminada. También puedes poner en cuarentena los archivos adjuntos de software malicioso detectados por la zona de pruebas de seguridad. Para hacerlo, crea una regla de cumplimiento del contenido con el atributo de metadatos spam.

Analizar archivos adjuntos de mensajes que proceden de determinadas listas de direcciones

Puedes configurar las reglas de la zona de pruebas de seguridad para que se activen si se detectan determinadas listas de direcciones. Estas listas pueden incluir direcciones de correo electrónico, dominios, o ambos elementos.

Para determinar si una regla con una lista de direcciones debe activarse, Gmail busca las direcciones o dominios de la lista en los remitentes del campo "De" del correo recibido y en los destinatarios del correo enviado. Si encuentra una coincidencia con un remitente, también comprueba el requisito de autenticación. En el caso de que se indiquen varias listas, basta con que se detecte una dirección de cualquier lista para que se active la regla.

Para incluir listas de direcciones, sigue estos pasos:

  1. En el cuadro Añadir o Editar ajuste, haz clic en Mostrar opciones. Para saber cómo acceder a este cuadro, consulta la sección Analizar solo los archivos adjuntos de mensajes que cumplen con determinadas reglas

  2. En la sección Opciones, marca la casilla Utilizar las listas de direcciones para omitir o controlar la aplicación de este ajuste.

  3. Selecciona una opción:

    • Omitir este ajuste con determinados dominios o direcciones: la regla no se activará si se detecta alguna dirección o dominio de la lista de direcciones, aunque se cumplan otros criterios de la regla.

    • Aplicar este ajuste solo a determinados dominios o direcciones: la lista de direcciones se convierte en un criterio más de la regla. Si se han indicado otros criterios en la regla, como expresiones de coincidencia, tipos de cuenta o filtros de sobre, también deben coincidir para que la regla se aplique.

  4. Junto a Todavía no se ha utilizado ninguna lista, haz clic en Utilizar una existente o crear una.

  5. En el cuadro Listas disponibles, sigue uno de estos pasos:

    • Selecciona el nombre de una lista disponible y haz clic en Utilizar.

    • En el campo Crear lista, introduce el nombre que quieras dar a la lista y, a continuación, haz clic en Crear.

  6. Para añadir direcciones de correo o dominios a la lista, sigue estos pasos:
    1. Coloca el cursor sobre el nombre de la lista y haz clic en Editar.
    2. Para incluir direcciones de correo o dominios en la lista, haz clic en Añadir.
    3. Introduce una dirección de correo electrónico o un nombre de dominio completos, como solarmora.com. Si quieres añadir varias direcciones, sepáralas con comas o espacios.
    4. Marca la casilla No requerir la autenticación del remitente (no recomendado) para que la regla no se aplique a los remitentes que no se hayan autenticado, por ejemplo, con SPF o DKIM. Utiliza esta opción con precaución, ya que podría provocar spoofing.
    5. Haz clic en Guardar.
  7. Si has terminado de configurar la regla, haz clic en Añadir ajuste en la parte inferior del cuadro. A continuación, en la parte inferior de la página Configuración avanzada de Gmail, selecciona Guardar. Si aún no has terminado, consulta cómo indicar a qué tipo de cuentas quieres que se aplique la regla.

Analizar archivos adjuntos de mensajes de determinados tipos de cuenta

Puedes configurar las reglas de la zona de pruebas de seguridad para que se activen si se detectan determinados tipos de cuentas.

De forma predeterminada se selecciona Usuarios, pero puedes elegir más de un tipo. Si vas a configurar un ajuste de correo saliente, el tipo de cuenta debe coincidir con el tipo del remitente.

  1. En el cuadro Añadir o Editar ajuste, haz clic en Mostrar opciones. Para saber cómo acceder a este cuadro, consulta la sección Analizar solo los archivos adjuntos de mensajes que cumplen con determinadas reglas
  2. En la sección Opciones, selecciona la opción que quieras en Tipos de cuentas afectadas:
    • Usuarios
    • No reconocidas/Catch-all
  3. Si has terminado de introducir cambios, haz clic en Añadir ajuste o Guardar en la parte inferior del cuadro. A continuación, en la parte inferior de la página Configuración avanzada de Gmail, selecciona Guardar. Si aún no has terminado, consulta cómo indicar un filtro de sobre.
Analizar archivos adjuntos de mensajes de determinados remitentes, destinatarios y grupos (filtro de sobre)

Puedes configurar reglas de la zona de pruebas de seguridad para que se activen si se detecta cierta información en el sobre de correo, como determinadas direcciones de correo de remitente o destinatario. 

  1. En el cuadro Añadir o Editar ajuste, haz clic en Mostrar opciones. Para saber cómo acceder a este cuadro, consulta la sección Analizar solo los archivos adjuntos de mensajes que cumplen con determinadas reglas
  2. En la sección Opciones, marca las casillas que quieras en Filtro del sobre: Solo afecta a remitentes del sobre específicos, Solo afecta a destinatarios del sobre específicos, o ambas.
  3. Selecciona una opción de la lista desplegable:
    • Una única dirección de correo electrónico: escribe una dirección de correo electrónico para especificar un único usuario. Debes introducir la dirección completa, con la @ y el nombre de dominio. La coincidencia no distingue entre mayúsculas y minúsculas.

    • Coincidencia de patrón: escribe una expresión regular para especificar un conjunto de remitentes o de destinatarios de tu dominio. Asegúrate de que la sintaxis sea correcta haciendo clic en Probar expresión. Por ejemplo, si quieres que la regla se aplique solo a tres usuarios concretos, indícalos de este modo:

      ^(?i)(usuario1@solarmora\.com|usuario2@solarmora\.com|usuario3@solarmora\.com)$

      En esta expresión:

      • ^ coincide con el inicio de una nueva línea.
      • (?i) hace que la expresión no distinga entre mayúsculas y minúsculas.
      • $ coincide con el final de una línea.

      Más información sobre cómo utilizar expresiones regulares

    • Pertenencia a un grupo: selecciona uno o varios grupos de la lista. En el caso de los remitentes del sobre, esta opción solo se aplica al correo enviado, mientras que, en el caso de los destinatarios, solo se aplica al correo recibido. Si no tienes ningún grupo, primero debes crear uno.

  4. Haz clic en Añadir ajuste o Guardar, en la parte inferior del cuadro. A continuación, en la parte inferior de la página Configuración avanzada de Gmail, selecciona Guardar. 

    Una vez guardadas las reglas, se analizarán los archivos adjuntos de los mensajes que cumplan los criterios especificados. Los cambios pueden tardar hasta una hora en aplicarse a las cuentas de los usuarios.

Ver informes y consultar cambios en la configuración

Los informes muestran el número de archivos adjuntos analizados y el número de archivos adjuntos maliciosos identificados, y están disponibles en el panel de control de seguridad de G Suite

Puedes ver los cambios hechos en la configuración de la zona de pruebas de seguridad en el registro de auditoría de la consola de administración

Información relacionada

Prácticas recomendadas para probar reglas de forma más rápida

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?