Software malicioso y software no deseado

Google comprueba los sitios web para detectar si alojan archivos ejecutables que se puedan descargar y que puedan afectar de manera negativa a la experiencia de usuario. Puedes ver una lista de los archivos sospechosos alojados en el sitio web en el informe Problemas de seguridad.

Abrir el informe Problemas de seguridad

Descripción general

¿Qué es el software malicioso?

El software malicioso es cualquier software o aplicación móvil que se haya diseñado de forma específica para dañar un ordenador, un dispositivo móvil, el software que estos ejecutan, o bien perjudicar a los usuarios. Este tipo de software realiza acciones maliciosas como instalar software sin el consentimiento del usuario o virus. A veces, los webmasters no se dan cuenta de que sus archivos descargables se consideran software malicioso y puede que alojen tales binarios sin saberlo.

¿Qué es el software no deseado?

El software no deseado es un archivo ejecutable o aplicación móvil que provoca comportamientos maliciosos, inesperados o que perjudican al usuario cuando navega o usa el equipo. Por ejemplo, software que provoca cambios en la página principal o en otras opciones de configuración del navegador sin que lo solicites, o aplicaciones que filtran información privada o personal sin pedir permisos.

  • Consulta el artículo Esta no es la descarga que buscas... en el blog sobre seguridad online de Google para obtener más información sobre cómo Google protege a los usuarios del software no deseado.

Directrices

Comprueba que no infringes la Política de software no deseado y sigue las directrices que allí se indican. Aunque no se trate de una lista exhaustiva, los comportamientos descritos pueden hacer que se muestren advertencias a los usuarios que descargan determinadas aplicaciones o que visitan algunos sitios web. Puedes ver una lista de los archivos sospechosos alojados en el sitio web en el informe Problemas de seguridad.

No distorsiones la realidad

  • Informa de forma clara a los usuarios de la función del software. Los usuarios deberían descargar el software deliberadamente haciendo clic en un anuncio en el que se indique claramente qué van a descargar. Los anuncios que permitan la descarga no deben ser engañosos ni contener información inexacta, como en los siguientes casos: 
    • En el anuncio se solicita que se actualice Flash cuando el programa descargado no funciona con dicha tecnología.
    • El anuncio solo contiene las palabras "Descargar" o "Reproducir" sin información del software anunciado.
    • El anuncio contiene un botón "Reproducir" que en realidad activa una descarga.
    • El aspecto del anuncio es similar al de un sitio web del editor y se indica que se ofrece contenido (por ejemplo, una película), cuando en realidad se enlaza con software sin relación con el anuncio.
    • Obtén información sobre la ingeniería social en nuestro blog de seguridad online (en inglés).
  • Ofrece lo anunciado. Se debería informar claramente sobre la función del programa. Si este recopila datos del usuario o genera anuncios en su navegador, anúncialo de forma clara y no camufles esta información como si fueran características poco significativas.
  • Usa recomendaciones de terceros solo si cuentas con la autorización correspondiente. No uses logotipos de otras empresas ni del gobierno para validar o recomendar un producto si no cuentas con autorización para hacerlo. 
  • No preocupes al usuario. No se debería dar información falsa sobre el estado del equipo del usuario mediante el software. Por ejemplo, no debería afirmarse que el sistema tiene problemas de seguridad graves o que se ha infectado con virus. No se debería indicar que el software ofrece un servicio que no ofrece (por ejemplo, acelerar el ordenador). Por ejemplo, no se debe anunciar software de limpieza ni de optimización de ordenadores como gratuito cuando es necesario pagar por los servicios y los componentes anunciados.

Directrices de software

  • Usa la API de Ajustes de Google si con el programa se cambian los ajustes de Chrome. Todos los cambios realizados en los ajustes de búsqueda predeterminados, en la página de inicio o en la página de pestaña nueva del usuario deben realizarse a través de la API Settings Override de Chrome, que requiere el uso de una extensión de Chrome, así como un proceso de instalación de extensiones que cumpla las políticas correspondientes. 
  • Deja que los cuadros de diálogo predeterminados del navegador y del sistema operativo adviertan a los usuarios. No inhabilites las alertas del navegador ni del sistema operativo, especialmente si informan al usuario de los cambios en estos. 
  • Te recomendamos que firmes el código. Aunque un código binario sin firmar no es motivo para clasificarlo como software no deseado, recomendamos que los programas tengan una firma de código válida y verificada emitida por una autoridad de firma de código en la que se muestre información verificable del editor.
  • No empeores las medidas de protección que permiten las conexiones TLS/SSL. No deberían instalarse certificados raíz con la aplicación, así como tampoco interceptar conexiones SSL/TLS, salvo que esta operación la realicen expertos para depurar o comprobar el software. Para obtener más información, consulta la entrada correspondiente del blog de seguridad de Google (en inglés).
  • Protege la privacidad del usuario. El software, incluidas las aplicaciones móviles, solo debe compartir datos privados de los usuarios con los servidores, ya que es necesario para que las aplicaciones funcionen. Además, se debe informar al usuario de estas difusiones de datos, que siempre deben estar cifradas.

Directrices de la extensión de Chrome

  • Para cumplir las políticas correspondientes, las extensiones deben mostrarse claramente e instalarse en Chrome. Las extensiones deben alojarse en Chrome Web Store, estar inhabilitadas de forma predeterminada y satisfacer las políticas de Chrome Web Store (incluida la de función única). En el caso de las extensiones instaladas con un programa, se debe seguir el proceso de instalación de extensiones autorizado de Chrome, por el cual se solicita al usuario que las habilite en Chrome. Las extensiones no deben impedir la visualización de los cuadros de diálogo de Chrome que advierten al usuario de cambios en la configuración.
    Ventana emergente de Chrome en la que se solicita aprobación para instalar una extensión.
  • Indica a los usuarios cómo se elimina una extensión de Chrome. Para ofrecer una buena experiencia de usuario, cuando este desinstale el programa, también deberían desinstalarse todas las instalaciones complementarias. En el proceso de desinstalación deberían explicarse las instrucciones necesarias para que el usuario inhabilite la extensión y la elimine.

Directrices sobre las aplicaciones móviles

  • Informa a los usuarios de que vas a recoger sus datos.  Informa a tus usuarios de que vas a recoger sus datos, incluidos los datos de cuentas de terceros, correo electrónico, número de teléfono, de aplicaciones instaladas y de archivos en el dispositivo móvil, y dales la oportunidad de aceptarlo antes de empezar. Los datos de usuario personales o sensibles deben tratarse de forma segura y transmitirse con métodos de cifrado modernos, como el HTTPS. En las aplicaciones que no sean de Google Play, debes informar a los usuarios de que recogerás sus datos en la misma aplicación; sin embargo, en las aplicaciones de Google Play, la divulgación debe cumplir con su política. No recoges más datos de los que necesita la aplicación que has publicado.

  • No suplantes la identidad de otra marca o aplicación. No utilices imágenes ni diseños parecidos a los de otras marcas o aplicaciones de forma indebida o sin autorización de un modo que pueda confundir a los usuarios.

  • Mantén todo el contenido en el contexto de la aplicación. Las aplicaciones no deben causar interferencias en otras aplicaciones ni mostrar anuncios o contenido adicional a los usuarios en situaciones que no estén relacionadas con su contexto ni con su funcionamiento.

  • La aplicación debe cumplir las promesas hechas al usuario. La aplicación debe disponer de todas las funciones anunciadas. Puede actualizar su contenido, pero no debe descargar aplicaciones adicionales sin el consentimiento informado del usuario.

  • La aplicación debe ser transparente. Las aplicaciones no deben desinstalar ni sustituir otras aplicaciones ni sus accesos directos si no están diseñadas para realizar dichas tareas. Además, su desinstalación debe ser sencilla y completa y sus mensajes no deben parecerse a los del sistema operativo ni a los de otras aplicaciones.

Solucionar el problema

Comprueba que tu sitio web o aplicación cumplan las directrices anteriores y, a continuación, sigue los pasos siguientes.

Advertencia de software malicioso o no deseado

Enterarte de que uno de tus archivos descargables contiene software malicioso o software no deseado puede ser frustrante, por lo que queremos ayudarte a resolver el problema. No podemos ofrecer instrucciones concretas sobre cómo abordar cada situación, pero las siguientes recomendaciones te ayudarán a detectar el problema rápidamente. Para obtener sugerencias específicas sobre tu software, consulta el Foro de Ayuda para webmasters.

Si tu aplicación móvil muestra advertencias, obtén información sobre verificación de aplicaciones y recursos aquí.

Cuando hayas verificado que el programa descargable cumple las directrices siguientes, podrás solicitar una revisión del estado. Una revisión puede tardar entre dos y tres días en realizarse. A continuación, se indican unas directrices generales sobre las prácticas recomendadas en lo relativo al software, pero si deseas ver ejemplos más concretos, consulta el artículo Infracciones habituales de la política de software no deseado.

  • Empieza por el antivirus. Usa un software antivirus para analizar los binarios y el resto de contenido alojado en el sitio web. El software antivirus puede detectar muchos tipos de software malicioso y de software no deseado, pero no todos, desgraciadamente. Si envías tu software a un programa antivirus (o a un servicio de consolidación antivirus, como VirusTotal), recibirás un informe de los problemas que pueda contener. La Navegación Segura de Google aplica sus propios criterios para determinar si un programa o un binario es un software malicioso o no deseado.
  • Explica al usuario de forma clara y explícita qué cambios hará tu software en el navegador y en el sistema. Permite que los usuarios revisen y aprueben todas las opciones de instalación, así como todos los cambios importantes. La interfaz de usuario principal del programa debe mostrar claramente los componentes del binario y su funcionalidad principal. El binario debe ofrecer al usuario una forma fácil de evitar la instalación de componentes agrupados. Por ejemplo, ocultar dichas opciones o usar texto en gris no es una buena forma de hacerlo.
  • Protege los datos de usuario. Si tu programa o aplicación móvil recopila y difunde datos de usuario, los datos difundidos solo deben estar relacionados con la finalidad declarada del programa, y el usuario debe saber claramente qué se va a recopilar y difundir. La difusión de datos de usuario debe cifrarse.
  • Si el binario instala un complemento del navegador o cambia la configuración predeterminada, debe seguir un flujo de instalación compatible con el navegador y la API. Por ejemplo, si el binario instala una extensión de Chrome, esta deberá estar alojada en Chrome Web Store y cumplir las políticas del programa para desarrolladores de Chrome. El binario se considerará software malicioso si instala una extensión de Chrome usando un método que infrinja la política de opciones alternativas de distribución de extensiones de Chrome.
  • No hagas daño. El binario debe respetar la experiencia de navegación del usuario, y no empeorarla. Los binarios descargables deben cumplir las siguientes políticas habituales:
    • No afecta a la funcionalidad para restablecer el navegador. Obtén más información sobre el botón Restablecer la configuración del navegador de Chrome.
    • No omite ni elimina el control de la interfaz de usuario del navegador o del sistema operativo para cambiar la configuración. El programa debe advertir adecuadamente a los usuarios de los cambios en la configuración del navegador y de las cesiones de control. Usa la API de configuración para cambiar la configuración de Chrome (consulta esta entrada del blog de Chromium).
    • En lugar de cambiar el comportamiento del navegador mediante otros programas, utiliza una extensión para cambiar las funciones de Google Chrome. Por ejemplo, el programa no debe utilizar archivos DLL (bibliotecas de enlace dinámico) para publicar anuncios en el navegador, utilizar servidores proxy que intercepten el tráfico, hacer uso de proveedores de servicios por niveles para interceptar las acciones de los usuarios ni insertar una nueva interfaz de usuario en cada página web mediante parches del binario de Chrome.
    • Las descripciones de tus productos y componentes no deben asustar al usuario ni hacer afirmaciones falsas o engañosas. Por ejemplo, el producto no debe afirmar falsamente que el sistema tiene problemas de seguridad graves o que contiene virus. Los programas (por ejemplo, los limpiadores de registros) no deben mostrar mensajes alarmantes sobre el estado del ordenador o del dispositivo de un usuario ni asegurar que pueden optimizar su equipo.
    • El proceso de desinstalación es sencillo y fácil de encontrar y no resulta intimidatorio. El programa debe incluir instrucciones marcadas de forma clara para restaurar la configuración anterior del navegador o del sistema. El programa de desinstalación debe permitir eliminar todos los componentes sin disuadir al usuario de continuar con el proceso. Por ejemplo, en caso de que el software se desinstale, no se deben alegar posibles efectos perjudiciales para el sistema o la privacidad del usuario.
  • Evita las malas compañías. Si tu software agrupa otros componentes, tienes la responsabilidad de garantizar que ninguno de ellos infrinja las recomendaciones anteriores.
Advertencia de "descargas poco habituales"

Si la Navegación Segura de Google topa con un binario concreto que no conoce, es posible que Chrome advierta de que es una descarga poco habitual y que podría ser peligrosa. En estos casos, las advertencias se eliminan automáticamente si la Navegación Segura de Google verifica que no supone un riesgo.

Si tu sitio web muestra advertencias de descargas no habituales, también puedes solicitar una revisión en Search Console.

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?