Software malicioso y software no deseado

Google analiza sitios web para detectar si tienen software o archivos ejecutables que se puedan descargar y que es posible que afecten negativamente a la experiencia de usuario. En el informe "Problemas de seguridad", puedes ver una lista de los archivos sospechosos alojados en tu sitio web.

ABRIR EL INFORME "PROBLEMAS DE SEGURIDAD"

Introducción

El software malicioso y el no deseado son binarios que se pueden descargar o aplicaciones que se ejecutan en sitios web y afectan a sus visitantes.

¿Qué es el software malicioso?

El software malicioso es cualquier software o aplicación móvil que se haya diseñado específicamente para dañar un ordenador, un dispositivo móvil, el software que estos ejecutan, o bien para perjudicar a los usuarios. Este tipo de software realiza acciones maliciosas como instalar software sin el consentimiento del usuario o virus. A veces, los webmasters no se dan cuenta de que sus archivos descargables se consideran software malicioso y puede que alojen tales binarios sin saberlo.

  • Consulta el artículo Protecting users from malicious downloads (Cómo proteger a los usuarios de las descargas maliciosas) en el blog sobre seguridad online de Google para obtener más información sobre las medidas que toma Google para proteger a los usuarios contra dicho tipo de descargas.
  • Consulta la política de software no deseado para obtener información sobre nuestros criterios en relación con el software seguro en la Web.

¿Qué es el software no deseado?

El software no deseado es un archivo ejecutable o una aplicación móvil que provoca comportamientos engañosos, inesperados o que perjudican al usuario cuando navega o usa el equipo. Por ejemplo, software que provoca cambios en la página principal o en otras opciones de configuración del navegador sin que lo solicites, o aplicaciones que filtran información privada o personal sin informar de ello.

  • En el blog sobre seguridad online de Google, consulta That’s not the download you’re looking for... (Esta no es la descarga que buscabas...) si quieres más información sobre cómo contribuye Google a proteger a los usuarios contra el software no deseado..

 

En el informe "Problemas de seguridad", el término "Software malintencionado" hace referencia al software que se ejecuta sin una acción explícita del usuario. Por otra parte, "Descargas maliciosas" hace referencia, entre otros, a programas maliciosos o no deseados que los usuarios se descargan voluntariamente.

Directrices

Comprueba que no infrinjas la política de software no deseado y sigue las directrices que allí se indican. Aunque no se trate de una lista exhaustiva, los comportamientos descritos pueden hacer que se muestren advertencias a los usuarios que descargan determinadas aplicaciones o que visitan algunos sitios web. En el informe "Problemas de seguridad", puedes ver una lista de los archivos sospechosos alojados en tu sitio web.

No distorsiones la realidad

  • Informa de forma clara a los usuarios de la función del software. Los usuarios deberían descargar el software deliberadamente haciendo clic en un anuncio en el que se indique claramente qué van a descargar. Los anuncios que muevan al usuario a descargar el software no deben ser engañosos ni contener información inexacta, como en los siguientes casos: 
    • En el anuncio se afirma que se actualizará Flash cuando el programa descargado no tiene nada que ver con dicha tecnología.
    • El anuncio solo contiene las palabras "Descargar" o "Reproducir" sin información del software anunciado.
    • El anuncio contiene un botón "Reproducir" que en realidad activa una descarga.
    • El aspecto del anuncio es similar al del sitio web del editor y se indica que se ofrece contenido (por ejemplo, una película), cuando en realidad lleva a software sin relación con el anuncio.
    • Consulta información sobre la ingeniería social en nuestro blog de seguridad online (en inglés).
  • Ofrece lo anunciado. Se debería informar claramente sobre la función e intenciones del programa. Si tu software recoge datos del usuario o genera anuncios en su navegador, notifícalo de forma clara y no intentes ocultar esta información como si fuera algo sin importancia.
  • Explica al usuario de forma clara y explícita qué cambios hará tu software en el navegador y en el sistema. Permite que los usuarios revisen y aprueben todas las opciones de instalación, así como todos los cambios importantes. La interfaz de usuario principal del programa debe mostrar claramente los componentes del binario y su funcionalidad principal. El binario debe ofrecer al usuario una forma fácil de evitar la instalación de componentes agrupados. Ocultar estas opciones o incluirlas en texto en gris, por ejemplo, no se consideran técnicas aceptables.
  • Usa recomendaciones de terceros solo si cuentas con la autorización correspondiente. No uses logotipos de otras empresas ni del gobierno para validar o recomendar un producto si no cuentas con autorización para hacerlo. 
  • No preocupes al usuario. No se debería dar información falsa sobre el estado del equipo del usuario mediante el software. Por ejemplo, no debería afirmarse que el sistema tiene problemas de seguridad graves o que se ha infectado con virus. No se debería indicar que el software ofrece un servicio que no ofrece o que no puede ofrecer (p. ej., acelerar el ordenador). Por ejemplo, no se debe anunciar software de limpieza ni de optimización de ordenadores como gratuito cuando es necesario pagar por los servicios y los componentes anunciados.

Directrices de software

  • Usa la API de Ajustes de Google si con el programa se cambian los ajustes de Chrome. Todos los cambios realizados en los ajustes de búsqueda predeterminados, en la página de inicio o en la página de pestaña nueva del usuario deben realizarse a través de la API Settings Override de Chrome, que requiere el uso de una extensión de Chrome, así como un proceso de instalación de extensiones que cumpla las políticas correspondientes.
  • Deja que los cuadros de diálogo del navegador y del sistema operativo adviertan a los usuarios. No inhabilites las alertas del navegador ni del sistema operativo, especialmente si informan al usuario de los cambios en estos. 
  • Te recomendamos que firmes el código. Aunque un código binario sin firmar no es motivo para clasificarlo como software no deseado, recomendamos que los programas tengan una firma de código válida y verificada emitida por una autoridad de firma de código en la que se muestre información verificable del editor.
  • No rebajes las medidas de protección y seguridad que ofrecen las conexiones TLS/SSL. Las aplicaciones no deberían instalar certificados de autoridad o certificados raíz, así como tampoco interceptar conexiones SSL/TLS, salvo que esta operación la realicen expertos para depurar o analizar el software. Para obtener más información, consulta la entrada correspondiente del blog de seguridad de Google.
  • Protege los datos de los usuarios. El software, incluidas las aplicaciones móviles, solo debe compartir datos privados de los usuarios con los servidores en la medida en que sea necesario para que las aplicaciones funcionen. Además, se debe informar al usuario de estas transferencias de datos, que siempre deben estar cifradas.
  • No hagas daño a nadie. El binario debe respetar la experiencia de navegación del usuario, y no empeorarla. Los binarios descargables deben cumplir las siguientes políticas habituales:
    • No afectar a la funcionalidad para restablecer el navegador. Consulta más información sobre el botón Restablecer la configuración del navegador de Chrome.
    • No saltarse ni suprimir el control de la interfaz de usuario del navegador o del sistema operativo para cambiar la configuración. El programa debe advertir adecuadamente a los usuarios de los cambios en la configuración del navegador y proporcionarles el control sobre dichos cambios. Puedes cambiar la configuración de Chrome con la API Settings. Consulta más información en esta entrada del blog de Chromium.
    • Utiliza una extensión para cambiar las funciones de Google Chrome, en lugar de cambiar el comportamiento del navegador mediante otras medidas de programación. Por ejemplo, el programa no debe utilizar archivos DLL (bibliotecas de enlace dinámico) para publicar anuncios en el navegador, utilizar servidores proxy que intercepten el tráfico, hacer uso de proveedores de servicios por niveles para interceptar las acciones de los usuarios ni insertar una nueva interfaz de usuario en cada página web mediante parches del binario de Chrome.
    • Las descripciones de tus productos y componentes no deben asustar al usuario ni hacer afirmaciones falsas o engañosas. Por ejemplo, el producto no debe afirmar sin ser verdad que el sistema tiene problemas de seguridad graves o que contiene virus. Los programas (por ejemplo, los limpiadores de registros) no deben mostrar mensajes alarmantes sobre el estado del ordenador o del dispositivo de un usuario ni asegurar que pueden optimizar su equipo.
    • El proceso de desinstalación debe ser sencillo, fácil de encontrar y no resultar intimidatorio. El programa debe incluir instrucciones marcadas de forma clara para restaurar la configuración anterior del navegador o del sistema. El programa de desinstalación debe eliminar todos los componentes sin disuadir al usuario de continuar con el proceso. Por ejemplo, en caso de que el software se desinstale, no se deben alegar posibles efectos perjudiciales para el sistema o la privacidad del usuario.
  • Evita las malas compañías. Si tu software incluye otros componentes, tienes la responsabilidad de asegurarte de que ninguno infringe las recomendaciones que acabamos de explicar.

Directrices sobre las extensiones de Chrome

  • Todas las extensiones deben divulgarse e instalarse en Chrome para cumplir las políticas correspondientes. Las extensiones deben alojarse en Chrome Web Store, estar inhabilitadas de forma predeterminada y cumplir las políticas de Chrome Web Store (incluida la de finalidad única). En el caso de las extensiones instaladas desde un programa, se debe seguir el proceso de instalación de extensiones autorizado de Chrome, por el cual se solicita al usuario que las habilite en Chrome. Las extensiones no deben impedir la visualización de los cuadros de diálogo de Chrome que advierten al usuario de cambios en la configuración.
    Ventana emergente de Chrome en la que se solicita aprobación para instalar una extensión.
  • Indica a los usuarios cómo se elimina una extensión de Chrome. Para ofrecer una buena experiencia de usuario, cuando este desinstale el programa, también deberían desinstalarse todas las instalaciones complementarias. En el proceso de desinstalación deberían explicarse los pasos necesarios para que el usuario desactive la extensión y la elimine por su cuenta.
  • Si tu binario instala un complemento en el navegador o cambia su configuración predeterminada, debe seguir un flujo de instalación compatible con el navegador, así como la API. Por ejemplo, si el binario instala una extensión de Chrome, esta debe estar alojada en Chrome Web Store y cumplir con las políticas del programa para desarrolladores de Chrome. El binario se considerará software malicioso si instala una extensión de Chrome usando un método que infrinja la política de opciones alternativas de distribución de extensiones de Chrome.
Directrices sobre las aplicaciones móviles
  • Informa a los usuarios de que vas a recoger sus datos. Informa a tus usuarios de que vas a recoger sus datos, incluidos los datos de cuentas de terceros, del correo electrónico, del número de teléfono, de aplicaciones instaladas y de archivos guardados en el dispositivo móvil, y dales la oportunidad de aceptarlo antes de empezar. Los datos de usuario personales o sensibles que se recojan deben tratarse de forma segura y transmitirse con métodos de cifrado modernos, como el HTTPS. En las aplicaciones que no sean de Play, debes informar a los usuarios de que recogerás sus datos en la misma aplicación. Sin embargo, en las aplicaciones de Google Play, la divulgación debe cumplir con las políticas de la plataforma. No recojas más datos de los que se necesitan según el uso publicado de la aplicación.

  • No suplantes la identidad de otra marca o aplicación. No utilices imágenes ni diseños parecidos a los de otras marcas o aplicaciones de forma indebida o sin autorización de un modo que pueda confundir a los usuarios.

  • Mantén todo el contenido en el contexto de la aplicación. Las aplicaciones no deben causar interferencias en otras aplicaciones ni en la usabilidad de los dispositivos. Tampoco deben mostrar a los usuarios anuncios ni contenido adicional fuera del contexto o función propios de la aplicación sin que los usuarios hayan dado su consentimiento después de haberles proporcionado toda la información necesaria como, por ejemplo, de dónde provienen los anuncios que aparecen.

  • La aplicación debe cumplir las promesas hechas al usuario. Es decir, debe disponer de todas las funciones anunciadas. También puede actualizar su contenido, pero no debe descargar aplicaciones adicionales sin el consentimiento informado del usuario.

  • La aplicación debe ser transparente. Las aplicaciones no deben desinstalar ni sustituir otras aplicaciones ni sus accesos directos si no están diseñadas para realizar dichas tareas. Además, su desinstalación debe ser sencilla y completa, y sus mensajes no deben parecerse a los del sistema operativo ni a los de otras aplicaciones.

Las aplicaciones que se distribuyen a través de Google Play deben cumplir las políticas del programa para desarrolladores y el acuerdo de distribución para desarrolladores, que incluyen requisitos adicionales.

Solucionar el problema

Comprueba que tu sitio web o aplicación cumpla las directrices que se indican más arriba y, a continuación, solicita una revisión con el informe Problemas de seguridad.

Si en tu aplicación móvil aparecen advertencias, consulta más información sobre la verificación de aplicaciones y apelaciones.

 

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?