Tipos de alertas

El Centro de alertas incluye estos tipos de alertas:

Para obtener más información, consulta las diferentes secciones de este artículo.

Iniciar investigaciones

Como administrador de G Suite Enterprise, puedes empezar a investigar el motivo de una alerta a partir de la información que se indica en ella. Para hacerlo, ve al Centro de alertas y haz clic en una de las lupas que están situadas en la parte derecha. También puedes hacerlo desde la página de información haciendo clic en INVESTIGAR ALERTA. Después, con la herramienta de investigación, puedes tomar las medidas oportunas, como borrar los datos de un dispositivo o suspender un usuario. Para obtener instrucciones, consulta el artículo Iniciar investigaciones.

Acerca de las zonas horarias

El Centro de alertas no muestra información sobre zonas horarias. Las horas indicadas en el Centro de alertas se corresponden con la zona horaria establecida en la consola de administración de Google.

Dispositivo vulnerado

La alerta Dispositivo vulnerado facilita información sobre los dispositivos de tu dominio cuya seguridad está en riesgo. Se considera que los dispositivos están en riesgo si están rooteados (dispositivos Android), tienen jailbreak (dispositivos iOS) o se modifica su estado de manera poco habitual.

En la página Información de la alerta puedes ver información importante sobre ella, como su fecha y hora, un resumen y datos sobre el dispositivo afectado, como por ejemplo, su propietario. 

Actividad sospechosa en el dispositivo

Se considera que modificar las propiedades de un dispositivo (ID, número de serie, tipo o fabricante) es una actividad sospechosa. La alerta Actividad sospechosa en el dispositivo facilita información sobre este tipo de actividades. 

En la página Información de la alerta puedes ver información importante sobre ella, incluidos su resumen, la fecha y hora de la actividad, qué cambios en las propiedades del dispositivo han ocurrido y datos de ese dispositivo, como por ejemplo, su propietario.

Suplantación de identidad (phishing) denunciada por el usuario

Un aumento de los correos electrónicos marcados por los usuarios como phishing podría indicar que tu dominio está recibiendo un ataque de este tipo. La alerta Suplantación de identidad (phishing) denunciada por el usuario proporciona información sobre esta actividad relacionada con la seguridad. 

En la página Información de la alerta puedes ver datos importantes sobre ella, incluidos un resumen, la fecha y hora de la actividad, el remitente, la lista de destinatarios afectados con enlaces a algunos de ellos, y el número total de notificaciones de los usuarios.

El resumen de alertas incluye una descripción general de la actividad, donde puedes consultar el número de mensajes de tu dominio marcados como suplantación de identidad (phishing) y el número de destinatarios. Con la información de esta alerta, puedes tomar medidas para bloquear el remitente.

Se ha detectado suplantación de identidad (phishing) en las bandejas de entrada debido a una lista blanca errónea

Es posible que los mensajes marcados como spam por los filtros de Gmail acaben llegando a las bandejas de entrada de los usuarios si se ha creado alguna lista blanca en la consola de administración de Google que anula los filtros de spam. Como consecuencia, puede que los usuarios de tu organización reciban contenido malicioso. En la alerta Se ha detectado suplantación de identidad (phishing) en las bandejas de entrada debido a una lista blanca errónea se proporciona información sobre este tipo de actividad relacionada con la seguridad. 

Puedes ver datos importantes sobre esta alerta en la página Información de la alerta como, por ejemplo, un resumen, la fecha y la hora de la actividad, el remitente, la IP de origen, el tipo de lista blanca, el número de eventos de entrega de mensajes y la lista de los destinatarios afectados. Con la información de esta alerta, puedes tomar medidas para bloquear el remitente.

Operaciones de Google

La alerta Operaciones de Google facilita información sobre problemas de seguridad y privacidad que afectan a los servicios de G Suite de tu organización. 

En la página Información de la alerta puedes ver datos importantes sobre ella, como sus fechas de inicio y finalización, un resumen y la lista de usuarios afectados. Si están disponibles, también puedes descargar archivos adjuntos con más información sobre la alerta. Además, los clientes de G Suite Enterprise pueden acceder directamente a la herramienta de investigación de seguridad para analizar la alerta en cuestión.

El resumen de la alerta incluye un mensaje con información sobre el problema. Este resumen puede tener uno o más párrafos cortos, en función de las características de la actividad y de la cantidad de información disponible en ese momento.

Aumento de los mensajes que los usuarios han marcado como spam

Esta alerta indica que algunos usuarios de tu dominio han marcado como spam un volumen inusualmente alto de mensajes de un remitente externo.

Para saber cómo bloquear este remitente, consulta el artículo Configuración de remitentes bloqueados. Para encontrar mensajes similares que los usuarios aún no hayan llegado a denunciar para volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas según los resultados de búsqueda).

Mensaje sospechoso denunciado

Esta alerta indica que un remitente externo ha enviado a tu dominio mensajes que algunos usuarios han clasificado como spam.

Para saber cómo bloquear este remitente, consulta el artículo Configuración de remitentes bloqueados. Para encontrar mensajes similares que los usuarios aún no hayan llegado a denunciar para volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas según los resultados de búsqueda).

Detección de un mensaje afectado por suplantación de identidad después de la entrega

Los mensajes afectados por suplantación de identidad que se detecten después de la entrega y no se hayan abierto se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por suplantación de identidad que se hayan abierto.

Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas según los resultados de búsqueda). Para saber cómo bloquear este remitente, consulta el artículo Configuración de remitentes bloqueados

Detección de un mensaje afectado por software malicioso después de la entrega

Los mensajes afectados por software malicioso que se detecten después de la entrega y no se hayan abierto, se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por software malicioso que se hayan abierto.

Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas según los resultados de búsqueda). Para saber cómo bloquear este remitente, consulta el artículo Configuración de remitentes bloqueados

Advertencia sobre un ataque respaldado por un gobierno

Esta alerta advierte a los administradores sobre posibles ataques respaldados por gobiernos. Por ejemplo, aunque no es nada común, esta alerta indica si atacantes respaldados por algún gobierno están intentando robar la contraseña de un usuario de tu organización.

Para mejorar aún más la seguridad de tu organización, te recomendamos encarecidamente que apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

Inicio de sesión sospechoso

Se considera sospechoso un inicio de sesión si sus circunstancias no coinciden con el comportamiento habitual de un usuario (por ejemplo, porque se ha hecho desde una ubicación inusual) o si es posible que una persona no autorizada esté intentando acceder a la cuenta de un usuario. 

En la mayoría de los casos, antes de enviar una alerta, se muestra al usuario una verificación de la identidad. En el caso de que no se supere esta verificación o no se intente superarla, recibirás una alerta por inicio de sesión sospechoso.

Es recomendable que suspendas la cuenta de este usuario hasta que hayas seguido este procedimiento de seguridad. Puedes suspenderla desde su página de configuración o desde la herramienta de investigación.

Una vez que hayas determinado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Es recomendable que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

Inicio de sesión automático sospechoso

Para mejorar la protección de tus cuentas de Google de trabajo, de un centro educativo o de otro grupo, se bloquean los inicios de sesión automáticos sospechosos, que antes se denominaban inicios de sesión sospechosos desde aplicaciones poco seguras. Se consideran inicios de sesión automáticos los que se llevan a cabo desde aplicaciones de terceros en las que los usuarios han introducido su nombre de usuario y contraseña. Te recomendamos que utilices OAuth en todas las conexiones a datos de tus usuarios.

Cuando se muestre esta alerta, ponte en contacto con el usuario afectado para identificar la aplicación que ha utilizado y asegurarte de que era él quien intentaba acceder a su cuenta. Posteriormente, te recomendamos que le proporciones una aplicación parecida que utilice OAuth y que desactives el acceso a las aplicaciones poco seguras, tanto en la cuenta de este usuario como en las del resto.

Usuario suspendido

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta, se suspende la cuenta de usuario afectada. 

Como administrador de G Suite, también puedes suspender usuarios desde su página de configuración o desde la herramienta de investigación

Una vez que hayas determinado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Antes de restaurarla, deberías seguir este procedimiento de seguridad

Es recomendable hacer que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

Contraseña divulgada

Cuando se detecta que se han vulnerado credenciales, se requiere el cambio de la contraseña del usuario para que pueda volver a iniciar sesión.

Las causas más frecuentes de robo de contraseñas son los virus, las respuestas de usuarios a correos electrónicos de suplantación de identidad (phishing) o el uso de una misma contraseña en diferentes sitios web, algunos de los cuales pueden haberse vulnerado. 

Es recomendable que cambies la contraseña de los usuarios afectados y compruebes si se han vulnerado sus cuentas. Estos usuarios también deberían seguir los pasos de la lista de comprobación de seguridad de Gmail

Usuario suspendido por actividad sospechosa

Esta alerta genérica informa de que se ha suspendido la cuenta de un usuario por actividad sospechosa. Puedes ponerte en contacto con el usuario o con el equipo de asistencia de Google para obtener más información.

Usuario suspendido por enviar spam

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario), se suspende la cuenta de usuario afectada.

Es aconsejable que sigas este procedimiento de seguridad antes de volver a habilitar la cuenta de usuario afectada.

Una vez que hayas determinado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Es recomendable que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

Usuario suspendido por enviar spam mediante relay

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario a través del servicio de relay SMTP), se suspende la cuenta de usuario afectada.

Puedes restaurar la cuenta una vez que hayas resuelto el problema de spam en el relay. Durante el periodo de suspensión, el usuario no puede iniciar sesión en servicios de Google ni enviar correos electrónicos a través de esta cuenta, pero sigue recibiéndolo con normalidad.

Exportación de datos de dominio iniciada

La alerta Exportación de datos de dominio iniciada informa de que un superadministrador de tu cuenta de Google ha empezado a exportar datos de tu dominio.

Este proceso suele tardar al menos 72 horas, en función del tamaño del dominio. Puedes consultar su estado en la herramienta de exportación de datos. Para obtener más información sobre esta herramienta, consulta el artículo Exportar los datos de una organización.

En la página Información de la alerta puedes ver datos importantes sobre esta alerta, incluidos un resumen, la fecha y hora de las actividades y su responsable (es decir, el usuario que ha iniciado la exportación de datos).

Reglas de actividad

Las reglas de actividad son conjuntos de condiciones y acciones definidas por un administrador. Si se cumplen las condiciones de una regla, esta se activa y se ejecutan automáticamente las acciones correspondientes. Las reglas de actividad te permiten automatizar procesos que de otro modo tendrías que realizar manualmente, y se pueden adaptar a las necesidades particulares de tu dominio. 

Como administrador, puedes crear reglas que te avisen o tomen las medidas que indiques en función de cualquier búsqueda que definas en la herramienta de investigación. Las alertas que se activan debido a una regla aparecen clasificadas como Regla de actividad en el Centro de alertas. Para obtener más información al respecto, consulta el artículo Crear reglas con la herramienta de investigación.

En la página Información de la alerta de una alerta de este tipo, puedes ver datos importantes sobre ella, incluidos un resumen de la alerta, la fecha y la hora en las que se activó, el umbral, la gravedad (Baja, Media o Alta), el estado y un enlace a la regla que la ha activado, entre otra información.
 

Artículos relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?