Ingeniería social (sitios web engañosos y de phishing)

La ingeniería social es el contenido creado con el fin de engañar a los visitantes para que realicen una acción peligrosa, como revelar información confidencial o descargar software. Si Google detecta que en tu sitio web hay contenido de ingeniería social, es posible que se muestre una advertencia de sitio web engañoso en el navegador Chrome cuando los visitantes accedan a él. Puedes comprobar si en tu sitio web hay páginas sospechosas de contener ataques de ingeniería social en el informe Problemas de seguridad.

Abrir el informe Problemas de seguridad

Descripción general

¿Qué es la ingeniería social?

Un ataque de ingeniería social consiste en engañar al usuario de la Web para que realice una acción peligrosa online.

Estos ataques pueden realizarse de varias formas. Es posible que un sitio web de suplantación de identidad (phishing) engañe a los usuarios para que faciliten información personal, como contraseñas, números de teléfono o números de tarjetas de crédito. También se puede usar contenido engañoso, como un anuncio en el que se indique falsamente que el software de un dispositivo está desactualizado, para que los usuarios instalen software no deseado.

Estos son algunos ejemplos de ataques de ingeniería social:

  • El contenido parece provenir de una entidad de confianza, como un navegador, un sistema operativo, un banco o un organismo público.
  • Se intenta engañar al usuario con el contenido para que realice una acción que solo haría ante una entidad de confianza, como compartir una contraseña, llamar a un servicio técnico o descargar software.

Con la función de navegación segura de Google, los usuarios de la Web están protegidos frente a los ataques de ingeniería social, ya que antes de acceder al contenido engañoso reciben una advertencia. Obtén más información sobre la ingeniería social y consulta algunos ejemplos en esta página.

¿En qué se diferencia la ingeniería social del phishing? El phishing es un tipo de ataque de ingeniería social.

Ingeniería social en contenido insertado

La ingeniería social también puede aparecer en el contenido que se inserta en los sitios web que son benignos; normalmente, en los anuncios. El contenido de ingeniería social insertado constituye una infracción de las políticas por parte de la página de alojamiento.

En ocasiones, el contenido de ingeniería social insertado será visible para los usuarios de la página de alojamiento, como se muestra en los ejemplos siguientes. En otros casos, el sitio web de alojamiento no contiene anuncios visibles, pero lleva a los usuarios a páginas de ingeniería social mediante ventanas emergentes, ventanas subyacentes u otros tipos de redireccionamiento. En ambos casos, este tipo de contenido de ingeniería social insertado constituirá una infracción de las políticas por parte de la página de alojamiento.

Pero si no yo no me dedico a la ingeniería social

El contenido engañoso de ingeniería social puede estar en recursos incluidos en la página, como imágenes, otros componentes de terceros o anuncios. Es posible que dicho contenido se use para engañar a los visitantes del sitio web a fin de que descarguen software no deseado

Con la función de navegación segura de Google, los usuarios de la Web están protegidos frente al contenido engañoso, ya que reciben una advertencia sobre las páginas de editores en las que se muestran anuncios de ingeniería social con frecuencia. Obtén más información y consulta algunos ejemplos en esta página.

Además, los hackers pueden hacerse con el control de los sitios web y usarlos para alojar o distribuir contenido de ingeniería social. El hacker puede cambiar el contenido del sitio web o añadir páginas, a menudo, con la intención de engañar a los visitantes para que faciliten información personal, como sus números de tarjeta de crédito. Puedes comprobar si en tu sitio web se aloja o distribuye contenido de ingeniería social consultando el informe Problemas de seguridad de Search Console.

Si crees que han pirateado tu sitio web, consulta la sección Ayuda para sitios web pirateados.

Ejemplos de infracciones de ingeniería social

Ejemplos de páginas web

Las páginas web se consideran de ingeniería social cuando en ellas:

  • Se pretende suplantar a una entidad de confianza, como tu dispositivo o tu navegador, o el sitio web en sí.
  • Se intenta incitar al usuario a realizar una acción que solo haría ante una entidad de confianza, como compartir una contraseña, llamar a un servicio técnico o descargar software.

Estos son algunos ejemplos de páginas que se dedican a prácticas de ingeniería social:

Social engineering popup that tries to make the user install an unwanted application.
La ventana emergente engañosa intenta confundir al usuario para que instale software malicioso.
Example of social engineering attempt claiming a browser update is required
La ventana emergente engañosa afirma ayudar al usuario a actualizar su navegador.

Ejemplos de contenido insertado

A continuación, presentamos algunos ejemplos de contenido engañoso insertado en anuncios. Los anuncios parecen ser parte de la interfaz de la página en lugar de publicidad.

Deceptive ad claiming to be a media player update on the page.
Ventana emergente engañosa que afirma que el software del usuario ha quedado obsoleto.
Deceptive ad claiming to be an installer for a required component.
Ventana emergente engañosa que parece ser del desarrollador de flv.
Deceptive ads claiming to be playback controller buttons on the host page.
Anuncios que simulan ser botones de acción en la página.

Solucionar el problema

Si se detecta contenido de ingeniería social en tu sitio web, asegúrate de que la página no se dedique a ninguna de las prácticas descritas anteriormente y, a continuación, sigue estos pasos:

  1. Visita Search Console
    • Verifica que eres el propietario del sitio web en Search Console y que no se han añadido propietarios sospechosos.
    • Consulta el informe Problemas de seguridad para ver si se ha detectado contenido de ingeniería social en el sitio web. Visita algunas de las URL de ejemplo que aparecen en el informe, pero usa un ordenador que no forme parte de la red mediante la que publicas tu sitio web (algunos hackers pueden inhabilitar sus ataques si detectan que el visitante es un webmaster del sitio web).
  2. Elimina el contenido engañoso. Comprueba que ninguna página incluya contenido engañoso.
  3. Si encuentras un comportamiento propio de la ingeniería social en el contenido insertado (como en los anuncios), verifica que los anuncios, las imágenes u otros recursos de terceros incrustados de las páginas de tu sitio web no sean engañosos. Ten en cuenta que las redes publicitarias pueden mostrar anuncios distintos en las páginas de tu sitio web. Por lo tanto, tienes que actualizar la página unas cuantas veces para ver si aparecen anuncios de ingeniería social. Algunos anuncios pueden mostrarse de forma distinta en dispositivos móviles y en ordenadores. Usa la herramienta Explorar como Google para comprobar cómo se muestra tu sitio web tanto en dispositivos móviles como en ordenadores.
  4. Comprueba si hay recursos de terceros en tu sitio web. Comprueba que los anuncios, las imágenes y otros recursos de terceros incluidos en las páginas de tu sitio web no sean engañosos.
    • Ten en cuenta que las redes publicitarias pueden mostrar distintos anuncios en las páginas de tu sitio web. Por lo tanto, debes actualizar la página unas cuantas veces para ver si aparecen anuncios de ingeniería social.
    • Algunos anuncios pueden mostrarse de forma distinta en dispositivos móviles y en ordenadores. Puedes usar la herramienta Explorar como Google para comprobar cómo se muestra tu sitio web tanto en dispositivos móviles como en ordenadores.
  5. Solicita una revisión. Después de eliminar todo el contenido de ingeniería social de tu sitio web solicita una revisión de seguridad mediante el informe Problemas de seguridad. Una revisión puede tardar entre dos y tres días en realizarse.
¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?