Ver información de las alertas

Desde la lista de alertas en el Centro de alertas, puedes consultar más información sobre cada alerta.

Para consultar la información de las alertas:

  1. Inicia sesión en la consola de administración de Google con tu cuenta de administrador. 
  2. En el menú principal situado en la esquina superior izquierda de la consola de administración, haz clic en Seguridad y, a continuación, Centro de alertas.
    Se abre una página que contiene una lista con alertas.
  3. Para consultar más información, haz clic en cualquier elemento de la página para abrir la página de información de la alerta.

Cada tipo de alerta muestra información distinta y te da diferentes opciones para solucionar lo que indica. Para obtener más información sobre cada tipo de alerta, consulta las secciones que aparecen a continuación, así como el artículo Tipos de alertas.

Iniciar investigaciones

Como administrador de G Suite Enterprise, puedes empezar a investigar el motivo de una alerta a partir de la información que se indica en ella. Para hacerlo, ve al Centro de alertas y haz clic en una de las lupas que están situadas en la parte derecha. También puedes hacerlo desde la página de información haciendo clic en INVESTIGAR ALERTA. Después, con la herramienta de investigación, puedes tomar las medidas oportunas, como borrar los datos de un dispositivo o suspender un usuario. Para obtener instrucciones, consulta el artículo Iniciar investigaciones.

Dispositivo vulnerado

La alerta Dispositivo vulnerado facilita información sobre los dispositivos en riesgo de seguridad de tu dominio. Se considera que los dispositivos están en riesgo de seguridad si están rooteados (dispositivos Android), tienen jailbreak (dispositivos iOS) o se modifica de improviso su estado.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta, ID y tipo de dispositivo, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Propietario del dispositivo: nombre de usuario del propietario del dispositivo
  • Dispositivo afectado: datos sobre el dispositivo como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso

Actividad sospechosa en el dispositivo

Se considera que modificar las propiedades de un dispositivo (ID, número de serie, tipo o fabricante) es una actividad sospechosa. La alerta Actividad sospechosa en el dispositivo facilita información sobre esta actividad relacionada con la seguridad. 

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: un resumen de la alerta, el número de propiedades del dispositivo modificadas y el ID del dispositivo, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Propietario del dispositivo: nombre de usuario del propietario del dispositivo
  • Dispositivo afectado: datos sobre el dispositivo como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso 
  • Recibido por: lista de los destinatarios y sus nombres de usuario

En la página de información también se incluye una lista de los cambios hechos en las propiedades del dispositivo. Esta lista aparece en una tabla situada en la parte inferior de la página y contiene los valores anteriores y nuevos de cada propiedad del dispositivo editada.

Suplantación de identidad (phishing) denunciada por el usuario

Un aumento de los correos electrónicos marcados por los usuarios como phishing podría indicar que tu dominio está recibiendo un ataque de este tipo. La alerta Suplantación de identidad (phishing) denunciada por el usuario facilita información sobre esta actividad relacionada con la seguridad. 

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta (incluido el número de mensajes afectados por suplantación de identidad [phishing] y el número de destinatarios)
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de notificaciones de los usuarios.
  • Recibido por: lista de los destinatarios y sus nombres de usuario

La página de información también incluye una lista de notificaciones de usuarios de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el asunto, el hash del asunto, un fragmento del mensaje, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, hashes de archivos adjuntos y el nombre de tu dominio principal.  

Vulneración por suplantación de identidad ocasionada por una lista blanca errónea

Los mensajes clasificados como spam por los filtros de Gmail pueden acabar llegando a las bandejas de entrada del usuario en función de las listas blancas definidas en la consola de administración de Google, que anulan los filtros de spam. Como consecuencia, es posible que los usuarios de tu organización reciban mensajes afectados por suplantación de identidad (phishing). La alerta Vulneración por suplantación de identidad ocasionada por una lista blanca errónea facilita información sobre esta actividad relacionada con la seguridad. 

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta (incluido el número de mensajes afectados por suplantación de identidad [phishing] y el número de destinatarios)
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • IP de origen: dirección IP del dominio del remitente
  • Tipo de lista blanca: configuración en la consola de administración de Google que ha anulado los filtros de spam
  • Eventos de entrega de mensajes: número de eventos
  • Recibido por: lista de los destinatarios y sus nombres de usuario

La página de información también incluye una lista de eventos de entrega de mensajes de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal.

Operaciones de Google

La alerta de Operaciones de Google proporciona información sobre problemas de seguridad y privacidad que afectan a los servicios de G Suite de tu organización. 

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: información concreta sobre el problema o incidente. Esta sección puede ser de unas pocas frases o de varios párrafos.
  • Fecha de inicio: fecha y hora del inicio del incidente
  • Fecha de finalización: fecha y hora en que se resolvió el incidente
  • Usuarios afectados: número de usuarios afectados por el incidente y una lista con sus nombres (si es demasiado grande, debes hacer clic en Ver todo para que se muestre entera).
  • Archivos adjuntos: archivos adjuntos con más información sobre el incidente o el problema (si están disponibles).

Aumento de los mensajes que los usuarios han marcado como spam

Esta alerta indica que algunos usuarios de tu dominio han marcado como spam un volumen inusualmente alto de mensajes de un remitente externo.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta (incluido el número de mensajes afectados por suplantación de identidad [phishing] y el número de destinatarios)
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de notificaciones de los usuarios
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de notificaciones de usuarios de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal.

Mensaje sospechoso denunciado

Esta alerta indica que un remitente externo ha enviado a tu dominio mensajes que algunos usuarios han clasificado como spam.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta, número de mensajes sospechosos y número de destinatarios.
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de notificaciones de los usuarios
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de notificaciones de usuarios de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal.

Se ha detectado un mensaje afectado por suplantación de identidad después de la entrega

Los mensajes afectados por suplantación de identidad que se detecten después de la entrega y no se hayan abierto se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por suplantación de identidad que se hayan abierto.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta (incluido el número de mensajes afectados por suplantación de identidad [phishing] y el número de destinatarios)
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de eventos de entrega de mensajes
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de eventos de entrega de mensajes de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, destinatario, hashes de archivos adjuntos y el nombre de tu dominio principal.

Se ha detectado un mensaje afectado por software malicioso después de la entrega

Los mensajes afectados por software malicioso que se detecten después de la entrega y no se hayan abierto, se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por software malicioso que se hayan abierto.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: en esta sección se incluye un resumen de la alerta, el número de mensajes afectados por software malicioso y el número de destinatarios.
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de eventos de entrega de mensajes
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de eventos de entrega de mensajes de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, destinatario, hashes de archivos adjuntos y el nombre de tu dominio principal. 

Advertencia sobre un ataque apoyado por un gobierno

Esta alerta advierte a los administradores sobre posibles ataques respaldados por gobiernos. Por ejemplo, aunque no es nada común, esta alerta indica si atacantes respaldados por algún gobierno están intentando robar la contraseña de un usuario de tu organización.

Para mejorar aún más la seguridad en tu organización, te recomendamos encarecidamente que cambies las contraseñas de los usuarios afectados, apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: descripción de la alerta
  • Fecha: fecha y hora de la actividad
  • Actor

Inicio de sesión sospechoso

Se considera sospechoso un inicio de sesión si sus circunstancias no coinciden con el comportamiento habitual de un usuario (por ejemplo, porque se ha hecho desde una ubicación inusual) o si es posible que una persona no autorizada esté intentando acceder a la cuenta de un usuario. 

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
  • La dirección IP en la que se detectó el inicio de sesión

Inicio de sesión automático sospechoso

Al igual que los inicios de sesión web convencionales, los inicios de sesión automáticos (los que se hacen a través de aplicaciones) están sujetos a los análisis de riesgos. Para que las cuentas de Google sean más seguras, ya sean de trabajo, de un centro educativo o de otros grupos, se bloquean estos inicios de sesión para que no accedan a ninguna cuenta.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
  • La dirección IP en la que se detectó el inicio de sesión

Usuario suspendido

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta, se suspende la cuenta de usuario afectada. 

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha del inicio de sesión
  • Usuario afectado: nombre de usuario afectado por la actividad sospechosa

Contraseña divulgada

Cuando se detecta que se han vulnerado credenciales, se requiere el cambio de la contraseña del usuario para volver a iniciar sesión.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha del inicio de sesión
  • Usuario afectado: nombre de usuario con credenciales vulneradas

Usuario suspendido por actividad sospechosa

Esta alerta genérica informa de que se ha suspendido la cuenta de un usuario por actividad sospechosa. Puedes ponerte en contacto con el usuario o con el equipo de asistencia de Google para obtener más información.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa
  • La dirección IP en la que se detectó el inicio de sesión

Usuario suspendido por enviar spam

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario), se suspende la cuenta de usuario afectada.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa

Usuario suspendido por enviar spam mediante relay

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario a través del servicio de relay SMTP), se suspende la cuenta de usuario afectada.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa

Exportación de datos de dominio iniciada

La alerta Exportación de datos de dominio iniciada informa de que un superadministrador de tu cuenta de Google ha empezado a exportar datos de tu dominio. Una vez que inicias una exportación de datos, tienes 48 horas para cancelar la operación antes de que se haga efectiva. Si crees que esta exportación se ha iniciado por error, ponte en contacto con el equipo de asistencia de G Suite.

Este proceso suele tardar al menos 72 horas, aunque puede variar según el tamaño del dominio. Puedes consultar su estado en la herramienta de exportación de datos. Para obtener más información sobre esta herramienta, consulta el artículo Exportar los datos de una organización.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Actor: usuario que inició la exportación de datos

Reglas de actividad

Las reglas de actividad son conjuntos de condiciones y acciones definidas por un administrador. Si se cumplen las condiciones de una regla, esta se activa y se ejecutan automáticamente las acciones correspondientes. Las reglas de actividad te permiten automatizar procesos que de otro modo tendrías que realizar manualmente, y se pueden adaptar a las necesidades particulares de tu dominio. 

Como administrador, puedes crear reglas que te avisen o tomen las medidas que indiques en función de cualquier búsqueda que definas en la herramienta de investigación. Las alertas que se activan debido a una regla aparecen clasificadas como Regla de actividad en el Centro de alertas. Para obtener más información al respecto, consulta el artículo Crear reglas con la herramienta de investigación.

Artículos relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?