Registro de auditoría de inicio de sesión

Controlar la actividad de inicio de sesión de los usuarios

Como administrador de Google, puedes utilizar el registro de auditoría de inicio de sesión para controlar los inicios de sesión de los usuarios de tu dominio. En él se registran todos los inicios de sesión efectuados desde navegadores web, tanto los correctos y fallidos como los intentos sospechosos, que se identifican con un icono de advertencia rojo. Cuando los usuarios inician sesión desde un cliente de correo o desde una aplicación que no se basa en un navegador, solamente se registran los intentos sospechosos

Paso 1: Abrir el registro de auditoría de inicio de sesión

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Informes.

    Para ver Informes, es posible que tengas que hacer clic en la opción Más controles, situada en la parte inferior.

  3. En la parte izquierda, haz clic en la opción Inicio de sesión que aparece bajo Auditoría.
  4. (Opcional) En la parte superior derecha, haz clic en Seleccionar columnas Seleccionar columnas. Selecciona las columnas que quieras ver u ocultar:
    • Dirección IP: la dirección de protocolo de Internet (IP) con la que el usuario inició sesión.
    • Fecha: la fecha en que se inició sesión. Se muestra en tu zona horaria predeterminada.
    • Tipo de inicio de sesión (solo inicio de sesión único): muestra cómo se inició sesión. 

Paso 2: Interpretar los datos del registro de auditoría de inicio de sesión

Datos que puedes consultar
Tipo de datos Descripción
Nombre del evento La acción que se ha registrado, como por ejemplo, un evento de verificación de identidad o un intento de inicio de sesión fallido. Consulta la sección Descripciones de los nombres de eventos para obtener información detallada.
Descripción del evento Detalles del evento descrito en el campo Nombre del evento.
Dirección IP La dirección de protocolo de Internet (IP) con la que el usuario inició sesión en la consola de administración. Puede indicar la ubicación física, pero también puede ser, por ejemplo, la dirección de un servidor proxy o de una red privada virtual (VPN).
Tipo de inicio de sesión 

Detalles de cómo se inició sesión.

  • Intercambio: se ha autenticado al usuario mediante un intercambio de tokens; por ejemplo, mediante un inicio de sesión con OAuth. También puede indicar que el usuario ya había iniciado una sesión cuando accedió a otra, y ambas sesiones se unieron.
  • Contraseña de Google: se utiliza una contraseña de Google. Este tipo incluye los inicios de sesión en aplicaciones poco seguras (si están permitidas). 
  • Reautenticación: se utiliza una solicitud para volver a autenticar la contraseña.
  • SAML: se utiliza un inicio de sesión único (SSO) con lenguaje de marcado para confirmaciones de seguridad (SAML).
  • Desconocido: se utiliza un método desconocido.
Intervalo de fecha y hora La fecha y la hora en que se produjo el evento (se muestra en la zona horaria predeterminada del navegador).
Descripciones de los nombres de eventos

Estos son los tipos de eventos que están disponibles en la columna Nombre del evento (consulta la lista anterior):

Nombre del evento Descripción
Error al iniciar sesión

Se añade una entrada al registro cada vez que un usuario no puede iniciar sesión. Puedes utilizar la API de informes para ver la causa del error, por ejemplo, si el usuario introdujo una contraseña incorrecta, no tenía acceso al servicio o su cuenta estaba suspendida. 

Ataque respaldado por un gobierno Se añade una entrada al registro cada vez que se sospeche que atacantes respaldados por un gobierno han intentado vulnerar el equipo o la cuenta de un usuario. Más información sobre los ataques respaldados por gobiernos
Verificación de la identidad

Se añade una entrada al registro cada vez que se pide a un usuario que responda a una pregunta de seguridad adicional tras detectarse un intento de inicio de sesión sospechoso.

Para obtener más información, consulta el artículo Verificar la identidad de los usuarios mediante sistemas de seguridad adicionales.

Verificación de inicio de sesión Se añade una entrada al registro cada vez que se pide a un usuario que responda a una pregunta de seguridad adicional sin haberse detectado un intento de inicio de sesión sospechoso.
Cerrar sesión Se añade una entrada al registro cada vez que un usuario cierra sesión.
Se ha iniciado sesión correctamente Se añade una entrada al registro cada vez que un usuario inicia sesión.
Inicio de sesión sospechoso Se añade una entrada al registro cada vez que un usuario inicia sesión de forma inusual; por ejemplo, desde una dirección IP que no es la habitual.
Se ha bloqueado un inicio de sesión sospechoso Se añade una entrada al registro cada vez que se bloquea un inicio de sesión porque Google considera que es sospechoso. 
Se ha bloqueado un inicio de sesión sospechoso
desde una aplicación poco segura
Se añade una entrada al registro cada vez que se bloquea un inicio de sesión porque Google detecta que se ha hecho desde una aplicación poco segura; es decir, desde una aplicación que no cumple los estándares de seguridad de Google.
Usuario suspendido Se añade una entrada al registro cada vez que se suspende un usuario cuando, por ejemplo, Google ha detectado una actividad sospechosa que indica que se ha vulnerado una cuenta.
Usuario suspendido (spam) Se añade una entrada al registro cada vez que se suspende un usuario cuando Google ha detectado que se ha vulnerado su cuenta y que el usuario envía mensajes de spam.
Usuario suspendido (spam por retransmisión) Se añade una entrada al registro cada vez que se suspende un usuario cuando Google ha detectado que se ha vulnerado su cuenta y que el usuario envía mensajes de spam a través del servicio de relay SMTP.
Usuario suspendido (actividad sospechosa) Se añade una entrada al registro cada vez que se suspende un usuario por actividad sospechosa.
Contraseña divulgada Se añade una entrada al registro cada vez que Google detecta que se han vulnerado credenciales y, por tanto, hay que cambiar de contraseña.

Paso 3: Personalizar y exportar los datos del registro de auditoría

Filtrar los datos del registro de auditoría por usuario o actividad

Puedes filtrar los datos del registro de auditoría de forma que solo se muestren las actividades asociadas a eventos o usuarios específicos. Por ejemplo, puedes buscar todos los eventos del registro en los que se pidió a un usuario que verificara su identidad, o bien buscar toda la actividad de inicio de sesión de un usuario concreto.

  1. Abre el registro de auditoría de inicio de sesión, tal como se muestra más arriba.
  2. Si no ves la sección Filtros, haz clic en Filtrar Filtrar.
  3. Introduce o selecciona los criterios del filtro. Puedes filtrar por cualquier combinación de los datos que se pueden ver en el registro.
  4. Haz clic en Buscar.

Exportar los datos del registro de auditoría

Puedes exportar los datos del registro de auditoría a una hoja de cálculo de Google o descargarlos en un archivo CSV.

  1. Abre el registro de auditoría tal como se muestra más arriba.
  2. (Opcional) Para cambiar los datos que se incluyen en la exportación, sigue estos pasos:
    1. En la barra de herramientas, haz clic en Seleccionar columnas Seleccionar columnas.
    2. Marca la casilla correspondiente a los datos que quieras exportar y haz clic en Aplicar.
  3. En la barra de herramientas, haz clic en Descargar Descargar.

Puedes exportar hasta 210.000 celdas. La cantidad máxima de filas depende del número de columnas que selecciones. Las hojas de cálculo de Google tienen un límite de 10.000 filas, y los archivos CSV, de 500.000.

¿Qué antigüedad tienen los datos que veo?

Para saber exactamente cuándo se obtienen los datos y durante cuánto tiempo se retienen, consulta el artículo Tiempos de retención de datos y retrasos.

Paso 4: Configurar alertas por correo electrónico

Puedes recibir alertas por correo electrónico sobre las actividades de inicio de sesión basadas en los filtros que apliques.

  1. Abre el registro de auditoría de inicio de sesión, tal como se muestra más arriba.
  2. Si no ves la sección Filtros, haz clic en Filtrar filtro.
  3. En la sección Filtros, selecciona los criterios del filtro. Puedes utilizar cualquier combinación de filtros, excepto Dirección IP e Intervalo de fecha y hora.
  4. Haz clic en Configurar una alerta.
  5. Introduce un nombre en Nombre de la alerta.
  6. Elige los destinatarios de la alerta por correo electrónico:
    1. Marca la casilla para que se envíe a los superadministradores.
    2. Introduce las direcciones de correo electrónico de otros destinatarios de la alerta.
  7. Haz clic en Guardar.

Para editar tus alertas personalizadas, consulta las alertas por correo electrónico para administradores.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?