Protección contra ataques dirigidos

Como administrador de Google, puedes proteger las cuentas de los usuarios más expuestos a sufrir ataques dirigidos, como periodistas, activistas, directivos de empresas y equipos de campañas electorales.  

En este artículo, te enseñaremos a usar la configuración de G Suite para proteger a tus usuarios de ataques dirigidos y proporcionarles un nivel avanzado de protección.

Antes de empezar

Crea un grupo con los usuarios que quieras proteger de los ataques dirigidos. Llámalo "google-ap-users@tu-dominio.com" y asigna a los usuarios a ese grupo. Para obtener más información, consulta el artículo ¿Qué grupos se adaptan mejor a tu servicio?

Configurar la protección avanzada

Paso 1: Aplica llaves de seguridad

Para aplicar llaves de seguridad a los usuarios de tu nuevo grupo de protección avanzada:

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configuración básica.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

  3. Desplázate a la sección Verificación en dos pasos.
  4. Haz clic en Ir a la configuración avanzada para aplicar la verificación en dos pasos.
    Se abrirá la página Opciones avanzadas de seguridad. La organización raíz aparece seleccionada de forma predeterminada, y debes dejarla así.
  5. Junto a Filtros de grupo, haz clic en Seleccionar.
  6. En la ventana Selecciona un grupo para aplicar el filtro, elige google-ap-users@tu-dominio.com.
  7. Haz clic en Listo.
  8. En la página Opciones avanzadas de seguridad, selecciona Activar aplicación obligatoria y luego Aceptar.
    Nota: Para aplazar la aplicación, selecciona Activar aplicación obligatoria a partir de la fecha y elige una fecha. No aplaces la aplicación si aún no has distribuido llaves de seguridad a tus usuarios.
  9. En Métodos de verificación en dos pasos permitidos, selecciona Solo la llave de seguridad.
  10. Haz clic en Guardar.

La próxima vez que los usuarios inicien sesión, si la ventana aún está abierta, tendrán que proporcionar la llave de seguridad. De lo contrario, no podrán iniciar sesión. Te recomendamos añadir llaves de seguridad para cada uno de los usuarios del grupo (google-ap-users@tu-dominio.com). Para obtener más información, consulta el artículo sobre cómo implementar la verificación en dos pasos más fácilmente.

Nota: Solo se puede especificar un filtro de grupo en una unidad organizativa (UO). Si ya has aplicado a la organización raíz una política de filtro de grupo en los ajustes de la verificación en dos pasos, deberás eliminar ese filtro de grupo para poder aplicar el filtro google-ap-users@. Esto significa que la configuración del filtro de grupo original se perderá. Si quieres evitarlo, puedes tomar cualquiera de estas medidas:

  • Buscar una unidad organizativa secundaria que también incluya a los usuarios que has añadido al grupo google-ap-users@ y aplicarle el filtro de grupo.
  • Crear una unidad organizativa secundaria, trasladar a ella a los usuarios desde el grupo anterior o desde google-ap-users@, y definir la aplicación obligatoria de llaves de seguridad en dicha UO.
Paso 2: Protege tus recursos de G Suite

Si quieres proteger tus recursos de G Suite, puedes bloquear el acceso de las aplicaciones de terceros a tus datos de Gmail y Google Drive:

Mediante controles de seguridad, puedes hacer lo siguiente para bloquearlo:

  • Revisar las aplicaciones conectadas que tienen acceso programático a los datos corporativos y añadirlas de forma explícita a tu lista de aplicaciones de confianza. 
  • Bloquear el acceso programático de cualquier aplicación que no esté en la lista de aplicaciones de confianza.

Para revisar y confiar en algunas aplicaciones instaladas:

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Referencia de API.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

En el grupo Acceso a la API, se ofrece una lista de productos de Google, como Gmail y Drive. 

Debajo del nombre de cada producto se indica la cantidad de aplicaciones conectadas que acceden a ámbitos del producto en cuestión y el número de usuarios de tu dominio que utilizan las aplicaciones conectadas.

  1. Haz clic en el hiperenlace que muestra las aplicaciones conectadas. Se abrirá una página con dos pestañas: una que incluye las aplicaciones instaladas y otra las de confianza.
  2. Revisa la lista de aplicaciones instaladas y decide si tus usuarios pueden seguir accediendo a ellas. Haz clic en el icono con tres puntos verticales de cualquier aplicación a la que quieras que tengan acceso y, a continuación, haz clic en Confiar.

Para bloquear el acceso a aplicaciones en las que no has confiado de manera explícita:

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Referencia de API.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.


    En Acceso a la API, encontrarás una lista de productos de Google, cada uno con una opción que permite habilitarlos o inhabilitarlos.
  3. En el caso de Gmail, haz clic en Inhabilitar y deja la opción predeterminada Todos los accesos.
  4. En el caso de Drive, haz clic en Inhabilitar y deja la opción predeterminada Todos los accesos.
  5. Haz clic en Guardar.

Si quieres asegurarte de tener un control total sobre las aplicaciones de confianza que se usan en tu organización e impedir que los usuarios puedan autorizar aplicaciones que tú no hayas definido de manera explícita como de confianza, puedes llevar a cabo varios pasos.

Puedes revisar minuciosamente si las actuales aplicaciones de confianza son idóneas, revisar las aplicaciones no deseadas y eliminarlas de la lista Aplicaciones instaladas, confiar en el resto de aplicaciones instaladas que sí son adecuadas y bloquear el acceso a los datos por parte de nuevas aplicaciones.

Nota: La configuración que permite bloquear aplicaciones según el ámbito se aplica a todo el dominio. No se puede aplicar a usuarios concretos del grupo google-ap-users@tu-dominio.com. Para obtener más información sobre esta función de lista negra y cómo incluir en la lista blanca las aplicaciones de confianza, consulta el artículo sobre cómo gestionar las aplicaciones conectadas.

Paso 3: Habilita el análisis mejorado del correo electrónico

Toma esta medida para mejorar el análisis del correo electrónico entrante en busca de intentos de suplantación de identidad (phishing) o virus y realizar un análisis profundo de los archivos adjuntos en busca de contenido malintencionado.

Nota: Esta configuración no se puede limitar a un solo grupo. Es necesario aplicarla en la organización raíz (nivel superior) o en la organización secundaria correspondiente.

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página de inicio de la consola de administración, ve a Aplicaciones y luego G Suite y luego Gmail y luego Configuración avanzada.
  3. En la página Configuración avanzada, busca la opción Análisis mejorado de mensajes antes de su entrega y marca la casilla para habilitarla.
  4. Busca la opción Zona de pruebas de seguridad y marca la casilla para habilitarla.
    Esta función puede retrasar la entrega de ciertos tipos de mensajes. No obstante, realiza un análisis profundo de los archivos adjuntos en un entorno seguro para ofrecer la máxima protección.
    Nota: La función de zona de pruebas de seguridad solo está disponible en la edición G Suite Enterprise.
  5. Haz clic en Guardar.

Para obtener más información, consulta los artículos Configurar la zona de pruebas de seguridad y Utilizar el análisis mejorado de mensajes antes de su entrega.

Paso 4: Obliga a todos los usuarios a salir de la sesión

Una vez que hayas configurado las opciones que quieres usar, finaliza las sesiones de todos los usuarios incluidos en la protección avanzada. Para ello, ve a la página de perfil de cada usuario en la consola de administración.

De este modo, te asegurarás de desconectar a cualquier atacante que pueda estar usando la cuenta de uno de tus usuarios. Aunque un atacante tenga las credenciales del usuario, no podrá restablecer la sesión sin una llave de seguridad.

Para obtener más información, consulta el artículo Recuperar las cookies de inicio de sesión de un usuario.

 

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?