Ver información de las alertas

En el Centro de alertas puedes acceder a la lista de alertas para consultar más información sobre cada una de ellas. Cada tipo de alerta muestra información distinta y te da diferentes opciones para solucionar la incidencia que indica.

Para consultar la información de las alertas, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve al menú Menú y luego Seguridad y luego Centro de alertas.
  3. Si quieres ver más detalles, haz clic en cualquier elemento de la página para abrir la página de información de la alerta.

Nota: El Centro de alertas no muestra información sobre zonas horarias. Las horas indicadas en el Centro de alertas se corresponden con la zona horaria establecida en la consola de administración de Google.

Tipos de alertas

Abrir todo   |   Cerrar todo

Dispositivo vulnerado

La alerta Dispositivo vulnerado facilita información sobre los dispositivos en riesgo de seguridad de tu dominio. Se considera que los dispositivos se encuentran en riesgo de seguridad si están rooteados (dispositivos Android), tienen jailbreak (dispositivos iOS) o se modifica su estado de forma imprevista.

En la página Información de la alerta, puedes consultar información importante sobre la alerta: 

  • Resumen: información general sobre la alerta, como el ID y el tipo de dispositivo
  • Fecha: fecha y hora del evento
  • Propietario del dispositivo: nombre de usuario del propietario del dispositivo
  • Dispositivo afectado: datos sobre el dispositivo, como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso
Actividad sospechosa en el dispositivo

Se considera que modificar las propiedades de un dispositivo (por ejemplo, su ID, número de serie, tipo o fabricante) es una actividad sospechosa. La alerta Actividad sospechosa en el dispositivo facilita información sobre este tipo de actividad relacionada con la seguridad. 

En la página Información de la alerta, puedes consultar información importante sobre la alerta: 

  • Resumen: resumen de la alerta, incluido el número de propiedades del dispositivo modificadas y el ID del dispositivo, entre otros datos
  • Fecha: fecha y hora del evento
  • Propietario del dispositivo: nombre de usuario del propietario del dispositivo
  • Dispositivo afectado: datos sobre el dispositivo, como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso
  • Recibido por: lista de los destinatarios y sus nombres de usuario

En la página de información también se incluye una lista con los cambios hechos en las propiedades del dispositivo. Esta lista aparece en una tabla situada en la parte inferior de la página. Aquí se incluyen los valores anteriores y nuevos de cada propiedad del dispositivo modificada.

Suplantación de identidad (phishing) denunciada por el usuario

Un aumento de los correos electrónicos marcados por los usuarios como phishing podría indicar que tu dominio está recibiendo un ataque de este tipo. La alerta Suplantación de identidad (phishing) denunciada por el usuario facilita información sobre este tipo de actividad relacionada con la seguridad. 

En la página Información de la alerta, puedes consultar información importante sobre esta alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora del evento
  • Remitente: nombre de usuario del remitente
  • Número total de denuncias de los usuarios
  • Recibido por: lista de los destinatarios y sus nombres de usuario

La página de información también incluye una lista con ejemplos de denuncias de usuarios. Esta lista aparece en una tabla situada en la parte inferior de la página. En cada elemento de la lista se incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal. 

Con la información de esta alerta, puedes tomar medidas para bloquear remitentes.

Se ha detectado suplantación de identidad (phishing) en las bandejas de entrada debido a una lista blanca errónea

Es posible que los mensajes marcados como spam por los filtros de Gmail acaben llegando a las bandejas de entrada de los usuarios si se ha creado una lista blanca en la consola de administración de Google que ignora los filtros de spam. Como consecuencia, es posible que los usuarios de tu organización reciban mensajes afectados por phishing. En la alerta Se ha detectado suplantación de identidad (phishing) en las bandejas de entrada debido a una lista blanca errónea se proporciona información sobre este tipo de actividad relacionada con la seguridad. 

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora del evento
  • Remitente: nombre de usuario del remitente
  • IP de origen: dirección IP del dominio del remitente
  • Tipo de lista blanca: configuración en la consola de administración de Google que ha anulado los filtros de spam
  • Eventos de entrega de mensajes: número de eventos
  • Recibido por: lista de los destinatarios y sus nombres de usuario

La página de información también incluye una lista con ejemplos de eventos de entrega de mensajes. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye su fecha, ID de mensaje, hash del asunto, hash del cuerpo del mensaje, nombre de usuario del destinatario, hashes de archivos adjuntos y nombre de tu dominio principal.

Con la información de esta alerta, puedes tomar medidas para bloquear remitentes.

Operaciones de Google

En la alerta de Operaciones de Google se facilita información sobre problemas de seguridad y privacidad que afectan a los servicios de G Suite de tu organización. 

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: información concreta sobre el problema o incidente, que puede constar de unas pocas frases o de varios párrafos.
  • Fecha de inicio: fecha y hora del inicio del incidente
  • Fecha de finalización: fecha y hora en que se resolvió el incidente
  • Usuarios afectados: número de usuarios afectados por el incidente y una lista con sus nombres (si es demasiado grande, debes hacer clic en Ver todo para que se muestre entera)
  • Archivos adjuntos: archivos que contienen más información sobre el incidente o el problema y que puedes descargar (si están disponibles)
Aumento de los mensajes que los usuarios han marcado como spam

Con esta alerta, los usuarios de tu dominio han marcado como spam un volumen inusualmente alto de mensajes. 

Para saber cómo bloquear este remitente, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio. Para encontrar mensajes similares que los usuarios aún no hayan llegado a denunciar, volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación. Consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes marcados como spam y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora del evento (suele ser la fecha del primer mensaje que se ha indicado en la agrupación del aumento de mensajes)
  • Número total de notificaciones de los usuarios
  • Recibido por: número de destinatarios y sus nombres de usuario

La página de información también incluye una lista con ejemplos de denuncias de usuarios. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye su fecha, ID de mensaje, hash del asunto, hash del cuerpo del mensaje, nombre de usuario del destinatario, hashes de archivos adjuntos y nombre de tu dominio principal.

Mensaje sospechoso denunciado

Esta alerta indica que un remitente externo ha enviado a tu dominio mensajes que algunos usuarios han clasificado como spam.

Para saber cómo bloquear este remitente, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio. Para encontrar mensajes similares que los usuarios aún no hayan llegado a denunciar, volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación. Consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes sospechosos y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora del evento
  • Remitente: nombre de usuario del remitente
  • Número total de denuncias de los usuarios
  • Recibido por: número de destinatarios y sus nombres de usuario

La página de información también incluye una lista con ejemplos de denuncias de usuarios. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye su fecha, ID de mensaje, hash del asunto, hash del cuerpo del mensaje, nombre de usuario del destinatario, hashes de archivos adjuntos y nombre de tu dominio principal.

Detección de un mensaje afectado por suplantación de identidad después de la entrega

Los mensajes afectados por phishing que se detecten después de la entrega y no se hayan abierto se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por phishing que se hayan abierto.

Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación. Consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda. Para bloquear remitentes, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora del evento
  • Remitente: nombre de usuario del remitente
  • Número total de eventos de entrega de mensajes
  • Recibido por: número de destinatarios y sus nombres de usuario

La página de información también incluye una lista con ejemplos de eventos de entrega de mensajes. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el destinatario, hashes de archivos adjuntos y el nombre de tu dominio principal.

Detección de un mensaje afectado por software malicioso después de la entrega

Los mensajes afectados por software malicioso que se detecten después de la entrega y no se hayan abierto, se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por software malicioso que se hayan abierto.

En la página Información de la alerta se incluyen estas secciones:

  • Resumen: resumen de la alerta, que incluye el número de mensajes afectados por software malicioso y el número de destinatarios, entre otros datos
  • Fecha: fecha y hora del evento
  • Remitente: nombre de usuario del remitente
  • Número total de eventos de entrega de mensajes
  • Recibido por: número de destinatarios y sus nombres de usuario

La página de información también incluye una lista con ejemplos de eventos de entrega de mensajes. Esta lista aparece en una tabla situada en la parte inferior de la página. En cada elemento de la lista se incluye su fecha, ID del mensaje, hash del asunto, hash del cuerpo del mensaje, destinatario, hashes de archivos adjuntos y nombre de tu dominio principal. 

Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas basadas en resultados de búsqueda). Para bloquear remitentes, consulta el artículo Bloquear remitentes concretos según su dirección de correo electrónico o dominio.

Advertencia sobre un ataque respaldado por un Gobierno

Esta alerta advierte a los administradores sobre posibles ataques respaldados por Gobiernos. Por ejemplo, aunque no es nada común, esta alerta indica si atacantes respaldados por un Gobierno están intentando robar la contraseña de un usuario de tu organización.

Para mejorar aún más la seguridad en tu organización, te recomendamos encarecidamente que cambies las contraseñas de los usuarios afectados, apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios usen llaves de seguridad.

Consulta más información sobre los ataques respaldados por Gobiernos en el artículo Alertas de ataques respaldados por Gobiernos.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: descripción de la alerta
  • Fecha: fecha y hora del evento
  • Actor
Inicio de sesión sospechoso
Nota: Las alertas de inicio de sesión sospechoso no se muestran en la vista de lista predeterminada del centro de alertas, pero las puedes ver seleccionando el filtro de tipo de alerta Inicio de sesión sospechoso. Aunque las alertas no se muestran en la vista de lista, las alertas nuevas seguirán activando el envío de notificaciones por correo electrónico mientras esta opción esté habilitada.

Se considera sospechoso un inicio de sesión si sus circunstancias no coinciden con el comportamiento habitual de un usuario (por ejemplo, porque se ha hecho desde una ubicación no habitual) o si es posible que una persona no autorizada esté intentando acceder a la cuenta de un usuario. 

En la mayoría de los casos, antes de enviar una alerta, se muestra al usuario un mensaje solicitándole que verifique su identidad. En el caso de que no pueda verificar la identidad o ni siquiera lo intente, recibirás una alerta por inicio de sesión sospechoso.

Es recomendable que suspendas la cuenta de ese usuario hasta que hayas seguido este procedimiento de seguridad. Puedes suspenderla desde su página de configuración o mediante la herramienta de investigación.

Puedes restaurar la cuenta del usuario y cambiar su contraseña cuando consideres que es seguro hacerlo. Se recomienda que el usuario revise la lista de comprobación de seguridad de Gmail. También te aconsejamos que actives la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
  • La dirección IP en la que se detectó el inicio de sesión
Inicio de sesión automático sospechoso

Al igual que los inicios de sesión web convencionales, los inicios de sesión automáticos (los que se hacen a través de aplicaciones) están sujetos a los análisis de riesgos. Para que las cuentas de Google (de trabajo, de centro educativo o de otros grupos) sean más seguras, los inicios de sesión automáticos sospechosos se bloquean para que no se acceda a ninguna cuenta.

Te recomendamos que utilices OAuth en todas las conexiones a datos de tus usuarios. Si un usuario intenta iniciar sesión de forma automática, ponte en contacto con el usuario afectado para identificar la aplicación que ha utilizado y asegurarte de que era él quien intentaba acceder a su cuenta. Posteriormente, te recomendamos que le proporciones una aplicación parecida que utilice OAuth y que desactives el acceso a las aplicaciones poco seguras, tanto en la cuenta de ese usuario como en las del resto.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
  • La dirección IP en la que se detectó el inicio de sesión
Usuario suspendido

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta, se suspende la cuenta de usuario afectada. 

Como administrador de G Suite, también puedes suspender usuarios desde su página de configuración o mediante la herramienta de investigación. 

Una vez que hayas comprobado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Antes de restaurar la cuenta, te recomendamos que sigas estos pasos de seguridad

Es recomendable que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que actives la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha del inicio de sesión
  • Usuario afectado: nombre de usuario afectado por la actividad sospechosa
Contraseña filtrada

Cuando se detecta que se han vulnerado credenciales, se requiere el cambio de la contraseña del usuario para que pueda volver a iniciar sesión.

Las causas más frecuentes de robo de contraseñas son los virus, las respuestas de usuarios a correos electrónicos afectados por phishing o el uso de una misma contraseña en diferentes sitios web, algunos de los cuales pueden haberse vulnerado. 

Es recomendable que cambies la contraseña del usuario y compruebes si su cuenta se ha vulnerado. También te aconsejamos que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha del inicio de sesión
  • Usuario afectado: nombre de usuario con credenciales vulneradas
Usuario suspendido por actividad sospechosa

Esta alerta genérica informa de que se ha suspendido la cuenta de un usuario por actividad sospechosa. Puedes ponerte en contacto con el usuario o con el equipo de asistencia de Google para obtener más información.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha en la que el inicio de sesión se ha marcado como sospechoso
  • Fecha del intento de inicio de sesión
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa
  • La dirección IP en la que se detectó el inicio de sesión
Usuario suspendido por enviar spam

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario), se suspende la cuenta de usuario afectada.

Puedes restaurar la cuenta del usuario y cambiar su contraseña cuando consideres que es seguro hacerlo. Se recomienda que el usuario revise la lista de comprobación de seguridad de Gmail. También te aconsejamos que actives la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa
Usuario suspendido por enviar spam mediante relay

Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario a través del servicio de relay SMTP), se suspende la cuenta de usuario afectada.

Puedes reactivar la cuenta una vez que hayas resuelto el problema de spam mediante relay. Durante el periodo de suspensión, el usuario no puede iniciar sesión en servicios de Google ni enviar correos electrónicos a través de esa cuenta, pero sigue recibiéndolos con normalidad.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Usuario afectado: nombre de usuario afectado por actividad sospechosa
Exportación de datos de dominio iniciada

La alerta Exportación de datos de dominio iniciada informa de que un superadministrador de tu cuenta de Google ha empezado a exportar datos de tu dominio. Una vez iniciada la exportación de datos, se abre un plazo de 48 horas en el que se puede cancelar la operación antes de que en realidad comience. Si crees que esa exportación se ha iniciado por error, ponte en contacto con el equipo de asistencia de G Suite.

Este proceso suele tardar al menos 72 horas, en función del tamaño del dominio. Puedes consultar su estado en la herramienta de exportación de datos. Para obtener más información sobre esta herramienta, consulta el artículo Exportar los datos de una organización.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Actor: usuario que inició la exportación de datos
Regla de actividad

Las reglas de actividad son conjuntos de condiciones y acciones definidas por un administrador. Si se cumplen las condiciones de una regla, esta se activa y se ejecutan automáticamente las acciones correspondientes. Las reglas de actividad te permiten automatizar procesos que de otro modo tendrías que llevar a cabo manualmente, y se pueden adaptar a las necesidades particulares de tu dominio. 

Como administrador, puedes crear reglas para que Google haga continuamente cualquier búsqueda que configures en la herramienta de investigación. Las alertas que se activan debido a una regla aparecen clasificadas como Regla de actividad en el Centro de alertas. Para obtener más información al respecto, consulta el artículo Crear reglas con la herramienta de investigación.

En la página Información de la alerta, puedes consultar información importante sobre la alerta:

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha
  • Umbral
  • Estado de la alerta
  • Gravedad de la alerta: baja, media o alta
  • Regla que ha activado la alerta
DLP (Drive)

Cuando se activa una regla de Prevención de la pérdida de datos (DLP) de Drive, recibirás una alerta DLP (Drive) en el centro de alertas.

Con tu cuenta de administrador de G Suite, puedes impedir que los usuarios compartan contenido sensible en Google Drive o en unidades compartidas con usuarios ajenos a tu organización. Con las reglas de Prevención de la pérdida de datos (DLP) puedes analizar archivos en busca de contenido sensible. Por ejemplo, si un usuario comparte un archivo que contiene un número de cuenta bancaria o de identificación fiscal, puedes avisar por correo electrónico a los superadministradores. También puedes mostrar una advertencia a los usuarios cuando intenten compartir un archivo, o bien bloquear por completo a usuarios ajenos a tu organización para que no puedan acceder a él.

En la página Información de la alerta, puedes consultar información importante sobre la alerta DLP (Drive):

  • Resumen: resumen de la alerta con una descripción general de los datos
  • Fecha: fecha y hora del evento
  • Usuario que provoca la activación: usuario que ha añadido contenido sensible a un archivo
  • Usuarios compartidos: usuarios con quienes se ha compartido el archivo de Drive
  • ID de documento: identificador único del documento de Drive
  • Título del documento: título del documento de Drive
  • Nombres de los detectores: nombres de los detectores de contenido definidos por el usuario o predefinidos (por ejemplo, el número de la Seguridad Social o el del permiso de conducir)
  • Acciones activadas: acciones que se han activado desde la regla de DLP (por ejemplo, "Impedir que se comparta de forma externa" o "Alerta")
  • Acciones suprimidas: acciones que se han suprimido debido a conflictos con acciones configuradas en otras reglas

Nota: Cuando una regla no se configura correctamente, los administradores pueden llegar a recibir un gran número de alertas de DLP. Para evitar que pase, las alertas de DLP están limitadas a 50 alertas por regla al día.

Configurar notificaciones por correo electrónico del Centro de alertas

Además de ver las alertas del centro de alertas en la consola de administración de Google, también puedes configurar las notificaciones por correo electrónico del centro de alertas. Consulta más información e instrucciones en el artículo Configurar notificaciones por correo electrónico del Centro de alertas

Importante: Al añadir destinatarios a notificaciones por correo electrónico, tienes la opción de añadir grupos. Para asegurarte de que los usuarios ajenos a tu organización puedan enviar notificaciones por correo electrónico al grupo, debes configurar correctamente la configuración de acceso de ese grupo. Para obtener instrucciones, consulta la sección Ver o editar la configuración de acceso de grupos a las notificaciones por correo electrónico.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?