Ver información de las alertas

Desde la lista de alertas en el Centro de alertas, puedes consultar más información sobre cada alerta. Cada tipo de alerta muestra información distinta y te da diferentes opciones para solucionar lo que indica.

Para consultar la información de las alertas, sigue estos pasos:

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve al menú Menú y luego Seguridad y luego Centro de alertas.
  3. Para consultar más información, haz clic en cualquier elemento de la página de forma que se abra la página de información de la alerta.

Nota: El Centro de alertas no muestra información sobre zonas horarias. Las horas indicadas en el Centro de alertas se corresponden con la zona horaria establecida en la consola de administración de Google.

Tipos de alertas

Abrir todo   |   Cerrar todo

Dispositivo vulnerado

La alerta Dispositivo vulnerado facilita información sobre los dispositivos en riesgo de seguridad de tu dominio. Se considera que los dispositivos están en riesgo de seguridad si están rooteados (dispositivos Android), tienen jailbreak (dispositivos iOS) o se modifica de improviso su estado.

En la página Información de la alerta, puedes consultar información importante sobre la alerta: 

  • Resumen: resumen de la alerta, que incluye el ID y el tipo de dispositivo, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Propietario del dispositivo: nombre de usuario del propietario del dispositivo
  • Dispositivo afectado: datos sobre el dispositivo como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso
Actividad sospechosa en el dispositivo

Se considera que modificar las propiedades de un dispositivo (ID, número de serie, tipo o fabricante) es una actividad sospechosa. La alerta Actividad sospechosa en el dispositivo facilita información sobre este tipo de actividad relacionada con la seguridad. 

En la página Información de la alerta, puedes consultar información importante sobre la alerta: 

  • Resumen: resumen de la alerta, que incluye el número de propiedades del dispositivo modificadas y el ID del dispositivo, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Propietario del dispositivo: nombre de usuario del propietario del dispositivo
  • Dispositivo afectado: datos sobre el dispositivo como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso 
  • Recibido por: lista de los destinatarios y sus nombres de usuario

En la página de información también se incluye una lista de los cambios hechos en las propiedades del dispositivo. Esta lista aparece en una tabla situada en la parte inferior de la página. Aquí se incluyen los valores anteriores y nuevos de cada propiedad del dispositivo modificada.

Suplantación de identidad (phishing) denunciada por el usuario

Un aumento de los correos electrónicos marcados por los usuarios como phishing podría indicar que tu dominio está recibiendo un ataque de este tipo. La alerta Suplantación de identidad (phishing) denunciada por el usuario facilita información sobre este tipo de actividad relacionada con la seguridad. 

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de notificaciones de los usuarios.
  • Recibido por: lista de los destinatarios y sus nombres de usuario

La página de información también incluye una lista de notificaciones de usuarios de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el asunto, el hash del asunto, un fragmento del mensaje, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, hashes de archivos adjuntos y el nombre de tu dominio principal. 

Con la información de esta alerta, puedes tomar medidas para bloquear remitentes.

Ataques ocasionados por una lista blanca errónea

Es posible que los mensajes marcados como spam por los filtros de Gmail acaben llegando a las bandejas de entrada de los usuarios si se ha creado alguna lista blanca en la consola de administración de Google que ignora los filtros de spam. Como consecuencia, es posible que los usuarios de tu organización reciban mensajes afectados por phishing. La alerta Ataques ocasionados por una lista blanca errónea facilita información sobre este tipo de actividad relacionada con la seguridad. 

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • IP de origen: dirección IP del dominio del remitente
  • Tipo de lista blanca: configuración en la consola de administración de Google que ha anulado los filtros de spam
  • Eventos de entrega de mensajes: número de eventos
  • Recibido por: lista de los destinatarios y sus nombres de usuario

La página de información también incluye una lista de eventos de entrega de mensajes de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal.

Con la información de esta alerta, puedes tomar medidas para bloquear remitentes.

Operaciones de Google

La alerta de Operaciones de Google proporciona información sobre problemas de seguridad y privacidad que afectan a los servicios de G Suite de tu organización. 

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: información concreta sobre el problema o incidente, que puede ser de unas pocas frases o de varios párrafos
  • Fecha de inicio: fecha y hora del inicio del incidente
  • Fecha de finalización: fecha y hora en que se resolvió el incidente
  • Usuarios afectados: en esta sección se indica el número de usuarios afectados por el incidente y también se proporciona una lista de esos usuarios Si esta lista es demasiado grande para esta sección, haz clic en Ver todo para verla completa
  • Archivos adjuntos: archivos adjuntos con más información sobre el incidente o el problema (si están disponibles)
Aumento de los mensajes que los usuarios han marcado como spam

Esta alerta indica que algunos usuarios de tu dominio han marcado como spam un volumen inusualmente alto de mensajes de un remitente externo. 

Para saber cómo bloquear este remitente, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio. Para encontrar mensajes similares que los usuarios aún no hayan llegado a denunciar, volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda).

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de notificaciones de los usuarios
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de notificaciones de usuarios de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal.

Mensaje sospechoso denunciado

Esta alerta indica que un remitente externo ha enviado a tu dominio mensajes que algunos usuarios han clasificado como spam.

Para saber cómo bloquear este remitente, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio. Para encontrar mensajes similares que los usuarios aún no hayan llegado a denunciar, volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda).

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes sospechosos y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de notificaciones de los usuarios
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de notificaciones de usuarios de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal.

Detección de un mensaje afectado por phishing después de la entrega

Los mensajes afectados por phishing que se detecten después de la entrega y no se hayan abierto se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por phishing que se hayan abierto.

Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda). Para bloquear remitentes, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de eventos de entrega de mensajes
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de eventos de entrega de mensajes de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, destinatario, hashes de archivos adjuntos y el nombre de tu dominio principal.

Detección de un mensaje afectado por software malicioso después de la entrega

Los mensajes afectados por software malicioso que se detecten después de la entrega y no se hayan abierto, se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por software malicioso que se hayan abierto.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por software malicioso y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora de la actividad
  • Remitente: nombre de usuario del remitente
  • Número total de eventos de entrega de mensajes
  • Recibido por: número de destinatarios con sus nombres de usuario

La página de información también incluye una lista de eventos de entrega de mensajes de ejemplo. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, destinatario, hashes de archivos adjuntos y el nombre de tu dominio principal. 

Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda). Para bloquear remitentes, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio.

Advertencia sobre un ataque respaldado por un gobierno

Esta alerta advierte a los administradores sobre posibles ataques respaldados por gobiernos. Por ejemplo, aunque no es nada común, esta alerta indica si atacantes respaldados por algún gobierno están intentando robar la contraseña de un usuario de tu organización.

Para mejorar aún más la seguridad en tu organización, te recomendamos que cambies las contraseñas de los usuarios afectados, apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: descripción de la alerta
  • Fecha: fecha y hora de la actividad
  • Actor
Inicio de sesión sospechoso

Se considera sospechoso un inicio de sesión si sus circunstancias no coinciden con el comportamiento habitual de un usuario (por ejemplo, porque se ha hecho desde una ubicación inusual) o si es posible que una persona no autorizada esté intentando acceder a la cuenta de un usuario. 

En la mayoría de los casos, antes de enviar una alerta, se muestra al usuario una verificación de la identidad. En el caso de que no se supere esta verificación o no se intente superarla, recibirás una alerta por inicio de sesión sospechoso.

Es recomendable que suspendas la cuenta de este usuario hasta que hayas seguido este procedimiento de seguridad. Puedes suspenderla desde su página de configuración o desde la herramienta de investigación.

Una vez que hayas determinado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Es recomendable que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
  • La dirección IP en la que se detectó el inicio de sesión
Inicio de sesión automático sospechoso

Al igual que los inicios de sesión web convencionales, los inicios de sesión automáticos (los que se hacen a través de aplicaciones) están sujetos a los análisis de riesgos. Para que las cuentas de Google sean más seguras, ya sean de trabajo, de un centro educativo o de otros grupos, se bloquean estos inicios de sesión para que no accedan a ninguna cuenta.

Te recomendamos que utilices OAuth en todas las conexiones a datos de tus usuarios. Si un usuario intenta iniciar sesión de forma automática, ponte en contacto con el usuario afectado para identificar la aplicación que ha utilizado y asegurarte de que era él quien intentaba acceder a su cuenta. Posteriormente, te recomendamos que le proporciones una aplicación parecida que utilice OAuth y que desactives el acceso a las aplicaciones poco seguras, tanto en la cuenta de este usuario como en las del resto.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
  • La dirección IP en la que se detectó el inicio de sesión
Usuario suspendido

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta, se suspende la cuenta de usuario afectada. 

Como administrador de G Suite, también puedes suspender usuarios desde su página de configuración o desde la herramienta de investigación. 

Una vez que hayas determinado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Antes de restaurarla, deberías seguir este procedimiento de seguridad

Es recomendable que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha del inicio de sesión
  • Usuario afectado: nombre de usuario afectado por la actividad sospechosa
Contraseña divulgada

Cuando se detecta que se han vulnerado credenciales, se requiere el cambio de la contraseña del usuario para que pueda volver a iniciar sesión.

Las causas más frecuentes de robo de contraseñas son los virus, las respuestas de usuarios a correos electrónicos afectados por phishing o el uso de una misma contraseña en diferentes sitios web, algunos de los cuales pueden haberse vulnerado. 

Es recomendable que cambies la contraseña del usuario y compruebes si su cuenta está vulnerada. También te aconsejamos que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha del inicio de sesión
  • Usuario afectado: nombre de usuario con credenciales vulneradas
Usuario suspendido por actividad sospechosa

Esta alerta genérica informa de que se ha suspendido la cuenta de un usuario por actividad sospechosa. Puedes ponerte en contacto con el usuario o con el equipo de asistencia de Google para obtener más información.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa
  • La dirección IP en la que se detectó el inicio de sesión
Usuario suspendido por enviar spam

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario), se suspende la cuenta de usuario afectada.

Una vez que hayas determinado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Es recomendable que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa
Usuario suspendido por enviar spam mediante relay

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario a través del servicio de relay SMTP), se suspende la cuenta de usuario afectada.

Puedes restaurar la cuenta una vez que hayas resuelto el problema de spam en el relay. Durante el periodo de suspensión, el usuario no puede iniciar sesión en servicios de Google ni enviar correos electrónicos a través de esta cuenta, pero sigue recibiéndolo con normalidad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa
Exportación de datos de dominio iniciada

La alerta Exportación de datos de dominio iniciada informa de que un superadministrador de tu cuenta de Google ha empezado a exportar datos de tu dominio. Una vez solicitada una exportación de datos, tienes 48 horas para cancelar la operación antes de que se haga efectiva. Si crees que se trata de una exportación no intencionada, ponte en contacto con el equipo de asistencia de G Suite.

Este proceso suele tardar al menos 72 horas, en función del tamaño del dominio. Puedes consultar su estado en la herramienta de exportación de datos. Para obtener más información sobre esta herramienta, consulta el artículo Exportar los datos de una organización.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Actor: usuario que inició la exportación de datos
Regla de actividad

Las reglas de actividad son conjuntos de condiciones y acciones definidas por un administrador. Si se cumplen las condiciones de una regla, esta se activa y se ejecutan automáticamente las acciones correspondientes. Las reglas de actividad te permiten automatizar procesos que de otro modo tendrías que realizar manualmente, y se pueden adaptar a las necesidades particulares de tu dominio. 

Como administrador, puedes crear reglas que te avisen o tomen las medidas que indiques en función de cualquier búsqueda que definas en la herramienta de investigación. Las alertas que se activan debido a una regla aparecen clasificadas como Regla de actividad en el Centro de alertas. Para obtener más información al respecto, consulta el artículo Crear reglas con la herramienta de investigación.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Umbral
  • Estado de la alerta
  • Gravedad de la alerta: baja, media o alta
  • Regla que ha activado la alerta

Artículos relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?