Configurar reglas para detectar archivos adjuntos dañinos

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la consola de administración, ve a Menú AplicacionesGoogle WorkspaceGmailSpam, phishing y software malicioso.
3. Selecciona la unidad organizativa a la que quieres aplicar la configuración. Si quieres aplicarla a todos los miembros, selecciona la unidad de nivel superior. En caso contrario, selecciona una unidad organizativa secundaria.
4. En la sección Spam, phishing y software malicioso, desplázate hasta Zona de pruebas de seguridad. Puedes ver las reglas de el entorno aislado de seguridad en la parte inferior de esta sección.

Como administrador, puedes configurar Gmail para analizar todos los archivos adjuntos de correos.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la consola de administración, ve a Menú AplicacionesGoogle WorkspaceGmailSpam, phishing y software malicioso.
3. Selecciona la unidad organizativa a la que quieres aplicar la configuración. Si quieres aplicarla a todos los miembros, selecciona la unidad de nivel superior. En caso contrario, selecciona una unidad organizativa secundaria.
4. En la sección Spam, phishing y software malicioso, desplázate hasta Zona de pruebas de seguridad. Puedes ver las reglas de el entorno aislado de seguridad en la parte inferior de esta sección.
5. Para analizar todos los archivos adjuntos, marca la casilla que empieza por Habilitar la ejecución virtual de archivos adjuntos en un entorno aislado.

   Nota: Si esta casilla está marcada, se analizan todos los archivos adjuntos en el entorno aislado de seguridad, aunque hayas configurado reglas relativas a este entorno aislado.

6. Ve al final de la página y haz clic en Guardar. 

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Puedes crear reglas para identificar los mensajes de correo electrónico cuyos archivos adjuntos deben analizarse.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la consola de administración, ve a Menú AplicacionesGoogle WorkspaceGmailSpam, phishing y software malicioso.
3. Selecciona la unidad organizativa a la que quieres aplicar la configuración. Si quieres aplicarla a todos los miembros, selecciona la unidad de nivel superior. En caso contrario, selecciona una unidad organizativa secundaria.

4. En la sección Spam, phishing y software malicioso, busca Zona de pruebas de seguridad y desmarca la casilla que empieza por Habilitar la ejecución virtual de archivos adjuntos en un entorno aislado. De este modo, solo se analizarán los archivos adjuntos de los mensajes que cumplan las reglas de el entorno aislado.

5. En la parte inferior de la sección Spam, phishing y software malicioso, coloca el cursor sobre Reglas de el entorno aislado de seguridad y haz clic en Configurar.

6. En el cuadro Añadir ajuste, debajo de Reglas de el entorno aislado de seguridad, dale un nombre a la regla. Ese nombre aparece en la página de configuración.

7. En la sección Mensajes afectados, marca las casillas situadas junto a los tipos de mensaje que te interesen:

   • Entrante: mensajes que se han enviado a tu organización desde dominios externos.

   • Entrante interno: mensajes que se han enviado y recibido dentro de los dominios y subdominios de tu organización. 

8. En la sección Añadir expresiones que describan el contenido que se debe buscar en cada mensaje, sigue estos pasos:

   1. Decide si la regla debe activarse cuando se encuentren coincidencias con todas las expresiones o si basta con que se encuentren coincidencias con alguna de ellas. Por ejemplo, al seleccionar Si alguna de las siguientes reglas se cumple en el mensaje, se analizarán en el entorno aislado de seguridad los archivos adjuntos de los mensajes en los que se detecte cualquier condición que introduzcas.

   2. En el cuadro Expresiones, haz clic en Añadir.

   3. En la lista, selecciona el tipo de coincidencia con la expresión y haz clic en Guardar.

      • Coincidencia sencilla con contenido: se buscan coincidencias con el contenido que indiques. La coincidencia sencilla con contenido funciona de forma similar a la función de búsqueda de Gmail. Por ejemplo, si introduces orden de compra, se devolverán todas las cadenas que incluyan las tres palabras. Más información sobre los Operadores de búsqueda que puedes usar con Gmail

      • Coincidencia avanzada con contenido: en Ubicación, selecciona en qué parte de los mensajes quieres buscar coincidencias; en Tipo de coincidencia, elige la opción que te interese, y finalmente introduce el contenido que quieras buscar. A diferencia de la coincidencia sencilla con contenido, la cadena debe ser una coincidencia exacta. En las tablas que aparecen más abajo puedes ver una descripción de cada ubicación dentro del mensaje y los tipos de coincidencia. Más información sobre los Opciones de coincidencia avanzada con contenido

      • Coincidencia con metadatos: selecciona el atributo que quieres buscar y elige una opción en Tipo de coincidencia. Si fuera necesario, introduce el valor de coincidencia. En la tabla que aparece más adelante puedes ver una descripción de atributos de metadatos y tipos de coincidencia. Más información sobre los Atributos de metadatos y tipos de coincidencia

      • Coincidencia con contenido predefinido: selecciona uno de los detectores de contenido predefinidos. Por ejemplo, selecciona Número de tarjeta de crédito o Número de la Seguridad Social. Además, puedes determinar el número de veces que debe detectarse el contenido en cuestión en un mensaje para que se active la acción que definas. También puedes hacer que se active un análisis si el contenido detectado en un mensaje alcanza un determinado umbral de confianza. Nota: Esta función no está disponible en todas las ediciones. Para obtener más información, consulta el artículo Analizar el tráfico de correo electrónico con reglas de Prevención de la pérdida de datos (DLP).

      Opciones de coincidencia avanzada con contenido

      • Ubicación: la parte del mensaje en la que aparece el contenido. 

        Tipo de ubicación	Descripción
        Cabeceras + Cuerpo	Las cabeceras completas y el cuerpo. Incluye los archivos adjuntos (partes MIME decodificadas).
        Cabeceras completas	Todos los campos de cabecera. No incluye el cuerpo del mensaje ni los archivos adjuntos.
        Cuerpo del mensaje	La parte principal del texto del mensaje de correo electrónico. Incluye los archivos adjuntos (partes MIME codificadas).
        Asunto	El asunto del mensaje que figura en la cabecera.
        Cabecera de remitente	La dirección de correo electrónico del remitente que se indica en la cabecera "De". Puede diferir del remitente indicado en el Remitente del sobre. La cabecera de remitente es la dirección de correo que aparece entre comillas angulares y no incluye el nombre del propietario de la cuenta. Por ejemplo, en este caso: De: Marta López <marta.lopez@example.com> La cabecera de remitente es marta.lopez@example.com. Nota: La parte de la izquierda de las direcciones que terminan en @gmail.com y @googlemail.com se convierte al formato canónico. Por ejemplo, marta.lopez@gmail.com se convierte en martalopez@gmail.com.
        Cabecera de destinatarios	El destinatario o destinatarios que se indican en las cabeceras del correo electrónico: Para, Cc y Cco. Estos datos pueden no coincidir con los que se indican en Cualquier destinatario del mensaje. Solo se compara un destinatario. Si hay dos o más destinatarios, la regla de contenido avanzada no busca coincidencias en todos los destinatarios de una cadena. Si quieres configurar una regla que afecte a los mensajes enviados a varios usuarios, utiliza Cabeceras completas. La cabecera de destinatario está formada por la dirección de correo, especificada entre comillas angulares, y no incluye el nombre del propietario de la cuenta. Por ejemplo, en este caso: Para: Marta López <mlopez@example.com> Cc: Juan Duarte <juanduarte@example.com> Cco: Juan Pérez <jperez@example.com> Las cabeceras de destinatario son mlopez@example.com, juanduarte@example.com y jperez@example.com.
        Remitente del sobre	El remitente original que se indicó durante la solicitud de comunicación SMTP y que puede no coincidir con el que se indicó en la cabecera Sender header. A menudo, aunque no siempre, coincide con la dirección encontrada en la cabecera "Return-path".
        Cualquier destinatario del sobre	El destinatario o destinatarios que se indicaron durante la solicitud de comunicación SMTP y que pueden no coincidir con los que se indicaron en la cabecera Recipient header. Aquí pueden incluirse los miembros que se hayan añadido a un grupo. Solo se compara un destinatario. Si hay dos o más destinatarios, la regla de contenido avanzada no busca coincidencias en todos los destinatarios de una cadena.
        Mensaje sin formato	Las cabeceras completas y el cuerpo, incluidos todos los archivos adjuntos y otras partes MIME del mensaje. Las partes MIME están sin decodificar.

      • Tipo de coincidencia: los parámetros que definen cómo se buscan coincidencias.
         

        Tipo de coincidencia	Descripción
        Comienza por	Busca en la ubicación seleccionada contenido que comience con el carácter o la cadena especificada.
        Termina en	Busca en la ubicación seleccionada contenido que termine con el carácter o la cadena especificada.
        Contiene texto	Busca en la ubicación seleccionada contenido que incluya la cadena especificada.
        No contiene texto	Busca en la ubicación seleccionada contenido que no incluya la cadena especificada.
        Igual a	Busca en la ubicación seleccionada contenido que coincida exactamente con la cadena especificada.
        Está vacía	Busca en la ubicación seleccionada mensajes sin contenido.
        Coincide con la expresión regular	Busca en la ubicación seleccionada contenido que coincida con la expresión regular especificada.
        No coincide con la expresión regular	Busca en la ubicación seleccionada contenido que no coincida con la expresión regular introducida.
        Coincide con cualquier palabra	Busca en la ubicación seleccionada contenido que coincida con cualquier palabra de la lista de palabras especificadas.
        Coincide con todas las palabras	Busca en la ubicación seleccionada contenido que coincida con todas las palabras de la lista de palabras indicadas.

      • Contenido: el texto del que se buscarán coincidencias.

      Atributos de metadatos y tipos de coincidencia

      Atributo	Tipo de coincidencia	Descripción
      Autenticación del mensaje	El mensaje está autenticado El mensaje no está autenticado	Selecciona esta opción para incluir mensajes que estén (o no estén) autenticados en la expresión de cumplimiento. Esta opción se ajusta al estándar DMARC. Los mensajes se autentifican si superan las comprobaciones de SPF o DKIM. Si los mensajes no superan alguna de estas comprobaciones de autenticación, se considera que no se han autenticado. Más información acerca de SPF, DKIM, y DMARC
      IP de origen	La IP de origen está dentro del intervalo siguiente La IP de origen no está dentro del intervalo siguiente	Selecciona esta opción para incluir mensajes que estén (o no estén) dentro del intervalo de IP especificado en tu expresión de cumplimiento.
      Transporte seguro (TLS)	La conexión está encriptada con el protocolo TLS La conexión no está encriptada con el protocolo TLS	Selecciona esta opción para incluir mensajes que estén (o no estén) encriptados con TLS en la expresión de cumplimiento.
      Tamaño del mensaje	El tamaño del mensaje (en MB) es superior al siguiente El tamaño del mensaje (en MB) es inferior al siguiente	Selecciona esta opción para incluir mensajes con un tamaño superior (o inferior) al especificado en la expresión de cumplimiento. Introduce el tamaño del mensaje (expresado en MB) en el campo. En este campo se indica el tamaño sin procesar de los mensajes, que puede ser hasta un 33 % superior al tamaño original de los mensajes y sus archivos adjuntos. Esto se debe a la sobrecarga de codificación habitual.
      Cifrado con S/MIME	El mensaje está cifrado con S/MIME El mensaje no está cifrado con S/MIME	Selecciona esta opción para incluir mensajes que estén (o no estén) cifrados con S/MIME. Ediciones compatibles con esta función: Enterprise Plus y Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus.  Comparar ediciones
      Firmado con S/MIME	El mensaje está firmado con S/MIME El mensaje no está firmado con S/MIME	Selecciona esta opción para incluir mensajes que estén (o no estén) firmados con S/MIME. Ediciones compatibles con esta función: Enterprise Plus y Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus.  Comparar ediciones
      Modo confidencial de Gmail	El mensaje está en el modo confidencial de Gmail El mensaje no está en el modo confidencial de Gmail	Selecciona esta opción para incluir mensajes que estén (o no estén) en el modo confidencial de Gmail.

9. Comprueba que la acción que debe realizarse si se encuentra una coincidencia sea Ejecutar el entorno aislado de seguridad. De este modo, siempre que un mensaje cumpla las condiciones, se analizarán sus archivos adjuntos en el entorno aislado de seguridad.
10. Si has terminado de configurar la regla, haz clic en Añadir ajuste o Guardar; a continuación haz clic en Guardar en la parte inferior de la página Configuración avanzada de Gmail. O bien, ve a estos ajustes:
    • Analizar archivos adjuntos de mensajes que proceden de determinadas listas de direcciones
    • Analizar archivos adjuntos de mensajes de determinados tipos de cuenta
    • Analizar archivos adjuntos de mensajes de determinados remitentes, destinatarios y grupos (filtro de sobre)

Poner archivos adjuntos maliciosos en cuarentena

El software malicioso detectado por el entorno aislado de seguridad se coloca en la carpeta de spam de forma predeterminada. También puedes poner en cuarentena los archivos adjuntos de software dañino detectados por el entorno aislado de seguridad. Si quieres hacerlo, crea una regla para cumplir las normas de contenido con el atributo de metadatos spam.

Puedes configurar las reglas de el entorno aislado de seguridad para que se activen si se detectan determinadas listas de direcciones. Estas listas pueden incluir direcciones de correo, dominios o ambos tipos de datos.

Para determinar si una regla con una lista de direcciones debe activarse, Gmail busca las direcciones o dominios de la lista en los remitentes del campo "De" del correo recibido y en los destinatarios. Si encuentra una coincidencia con un remitente, también comprueba el requisito de autenticación. En el caso de que se indiquen varias listas, basta con que se detecte una dirección de cualquier lista para que se active la regla.

Para incluir listas de direcciones, sigue estos pasos:

1. En el cuadro Añadir o Editar ajuste, haz clic en Mostrar opciones. Para saber cómo acceder a este cuadro, consulta la sección Analizar solo los archivos adjuntos de mensajes que cumplen determinadas reglas. 

2. En la sección Opciones, marca la casilla Utilizar las listas de direcciones para omitir o controlar la aplicación de este ajuste.

3. Selecciona una opción:

   • Omitir este ajuste con determinados dominios o direcciones: la regla no se activará si se detecta alguna dirección o dominio de la lista de direcciones, aunque se cumplan otros criterios de la regla.

   • Aplicar este ajuste solo a determinados dominios o direcciones: la lista de direcciones se convierte en un criterio más de la regla. Si se han indicado otros criterios en la regla, como expresiones de coincidencia, tipos de cuenta o filtros de sobre, también deben coincidir para que la regla se aplique.

4. Junto a Todavía no se ha utilizado ninguna lista, haz clic en Utilizar una que ya haya o crear una.

5. En el cuadro Listas disponibles, sigue uno de estos pasos:

   • Selecciona el nombre de una lista disponible y haz clic en Usar.

   • En el campo Crear lista, introduce el nombre que quieras dar a la lista y, a continuación, haz clic en Crear.

6. Para añadir direcciones de correo o dominios a la lista, sigue estos pasos:
   1. Coloca el cursor sobre el nombre de la lista y haz clic en Editar.
   2. Para incluir direcciones de correo o dominios en la lista, haz clic en Añadir.
   3. Introduce una dirección de correo o un nombre de dominio completos, como solarmora.com. Si quieres añadir varias direcciones, sepáralas con comas o espacios.
   4. Marca la casilla No requerir la autenticación del remitente (no recomendado) para que la regla no se aplique a los remitentes aprobados que no tengan la autenticación configurada. Utiliza esta opción con precaución, ya que podría provocar spoofing.
   5. Haz clic en Guardar.

7. Si has terminado de configurar la regla, haz clic en la opción Añadir ajuste situada en la parte inferior del cuadro. A continuación, en la parte inferior de la página Configuración avanzada de Gmail, selecciona Guardar. De lo contrario, ve a Tipos de cuentas a las que se aplica.

Puedes configurar las reglas de el entorno aislado de seguridad para que se activen si se detectan determinados tipos de cuentas.

De forma predeterminada se selecciona Usuarios, pero puedes elegir más de un tipo. Si vas a configurar un ajuste de correo saliente, el tipo de cuenta debe coincidir con el tipo del remitente.

1. En el cuadro Añadir o Editar ajuste, haz clic en Mostrar opciones. Para saber cómo acceder a este cuadro, consulta la sección Analizar solo los archivos adjuntos de mensajes que cumplen determinadas reglas. 
2. En la sección Opciones, selecciona la opción que quieras en Tipos de cuentas a las que se aplica:
   • Usuarios
   • No reconocidas/Catch-all
3. Si has terminado de realizar cambios, haz clic en Añadir ajuste o Guardar; a continuación haz clic en Guardar en la parte inferior de la página Configuración avanzada de Gmail. De lo contrario, ve a Especificar un filtro para el sobre.

Puedes configurar reglas de el entorno aislado de seguridad para que se activen si se detecta cierta información en el sobre de correo. Las direcciones de correo del remitente y el destinatario son ejemplos de información del sobre de correo.

1. En el cuadro Añadir o Editar ajuste, haz clic en Mostrar opciones. Para saber cómo acceder a este cuadro, consulta la sección Analizar solo los archivos adjuntos de mensajes que cumplen determinadas reglas. 
2. En la sección Opciones, marca las casillas que quieras en Filtro del sobre: Solo afecta a remitentes del sobre específicos, Solo afecta a destinatarios del sobre específicos, o ambas.
3. Selecciona una opción:

   • Una única dirección de correo electrónico: escribe una dirección de correo para especificar un único usuario. Debes introducir la dirección completa, con la @ y el nombre de dominio. La coincidencia no distingue entre mayúsculas y minúsculas.

   • Coincidencia con patrón: escribe una expresión regular para especificar un conjunto de remitentes o de destinatarios de tu dominio. Asegúrate de que la sintaxis sea correcta haciendo clic en Probar expresión. Por ejemplo, si quieres que la regla se aplique solo a tres usuarios concretos, indícalos de este modo:
     
     ^(?i)(usuario1@solarmora\.com|usuario2@solarmora\.com|usuario3@solarmora\.com)$
     
     En esta expresión:

     • ^ indica el inicio de una nueva línea.
     • (?i) hace que la expresión no distinga entre mayúsculas y minúsculas.
     • $ indica el final de una línea.

     Más información sobre cómo utilizar expresiones regulares

   • Pertenencia a un grupo: selecciona uno o varios grupos de la lista. En el caso de los remitentes del sobre, esta opción solo se aplica al correo enviado, mientras que, en el caso de los destinatarios, solo se aplica al correo recibido. Si no tienes ningún grupo, primero debes crear uno.

4. En la parte inferior del cuadro de diálogo, haz clic en Añadir ajuste o en Guardar. A continuación, en la parte inferior de la página Configuración avanzada de Gmail, haz clic en Guardar. 
   
   Una vez guardadas las reglas, se analizarán los archivos adjuntos de los mensajes que cumplan los criterios especificados.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

En el informe "Filtro de spam: Software malicioso" se muestra el número de archivos adjuntos maliciosos que se han detectado. También se indican todos los mensajes que se han identificado como maliciosos. Sin embargo, no se muestra el número de archivos adjuntos analizados. Este informe está disponible en el panel de seguridad de Google Workspace. 

Puedes ver los cambios hechos en la configuración de el entorno aislado de seguridad en el registro de auditoría de la consola de administración.