Ingeniería social (sitios web engañosos y de phishing)

La ingeniería social es el contenido creado con el fin de engañar a los visitantes para que realicen una acción peligrosa, como revelar información confidencial o descargar software. Si Google detecta que en tu sitio web hay contenido de ingeniería social, es posible que se muestre una advertencia de sitio web engañoso en el navegador Chrome cuando los visitantes accedan a él. Puedes comprobar si en tu sitio web hay páginas sospechosas de contener ataques de ingeniería social en el informe Problemas de seguridad.

Abrir el informe Problemas de seguridad

Descripción general

¿Qué es la ingeniería social?

Un ataque de ingeniería social consiste en engañar al internauta para que realice una acción peligrosa online.

Estos ataques pueden realizarse de varias formas:

  • Phishing: los sitios web de suplantación de identidad (phishing) engañan a los usuarios para que revelen información personal como contraseñas, números de teléfono o números de tarjeta de crédito. Para conseguirlo, se intenta que el contenido parezca el de una entidad de confianza, como un navegador, un sistema operativo, un banco o un organismo público.
  • Contenido engañoso: contenido que intenta engañar a los usuarios para que hagan algo que solo harían con una entidad de confianza, como compartir contraseñas, llamar al equipo de asistencia técnica o descargar contenido. También puede ser contenido que incluye anuncios que afirman que el software del dispositivo está obsoleto y tratan de que los usuarios instalen software no deseado.
  • Servicios de terceros sin indicadores claros y visibles: se consideran servicios de terceros aquellas entidades que gestionan sitios web o servicios en nombre de otra entidad. Si gestionas un sitio web en nombre de otra persona o entidad, pero no dejas clara esta relación, es posible que se marque esta situación como ingeniería social. Por ejemplo, si tienes un sitio web de una organización benéfica y utilizas otro sitio web (de un tercero) para gestionar las donaciones del tuyo, en ese sitio web se debe informar claramente de que actúa en nombre del tuyo, ya que de no hacerlo puede que se marque como ingeniería social.

Los internautas pueden protegerse de la ingeniería social activando la función Navegación Segura de Google, que les advertirá si intentan acceder a páginas que suelen emplear esta técnica.

Las páginas web se consideran de ingeniería social cuando en ellas:

  • Se pretende suplantar a una entidad de confianza, como tu dispositivo o tu navegador, o el sitio web en sí.
  • Se intenta engañar a los usuarios para que hagan algo que solo harían con una entidad de confianza, como compartir contraseñas, llamar al equipo de asistencia técnica o descargar software.

Ingeniería social en contenido insertado

La ingeniería social también puede aparecer en el contenido que se inserta en los sitios web que son benignos; normalmente, en los anuncios. El contenido de ingeniería social insertado constituye una infracción de las políticas por parte de la página de alojamiento.

En ocasiones, el contenido de ingeniería social insertado será visible para los usuarios de la página de alojamiento, como se muestra en los ejemplos siguientes. En otros casos, el sitio web de alojamiento no contendrá anuncios visibles, pero llevará a los usuarios a páginas de ingeniería social mediante ventanas emergentes, ventanas subyacentes u otros tipos de redireccionamiento. En ambos casos, este tipo de contenido de ingeniería social insertado constituirá una infracción de las políticas por parte de la página de alojamiento.

¡Pero si no yo no me dedico a la ingeniería social!

El contenido engañoso de ingeniería social puede estar en recursos incluidos en la página, como imágenes, otros componentes de terceros o anuncios. Es posible que este contenido se use para intentar convencer a los visitantes del sitio web de que descarguen software no deseado

Además, los hackers pueden hacerse con el control de los sitios web y aprovecharlos para alojar o distribuir contenido de ingeniería social. El hacker puede cambiar el contenido del sitio web o añadir páginas, a menudo con la intención de engañar a los visitantes para que faciliten información personal, como sus números de tarjeta de crédito. Puedes comprobar si en tu sitio web se aloja o distribuye contenido de ingeniería social consultando el informe Problemas de seguridad de Search Console.

Si crees que han pirateado tu sitio web, consulta la sección Ayuda para sitios web pirateados.

Ejemplos de infracciones de ingeniería social

Ejemplos de contenido engañoso

A continuación se dan algunos ejemplos de páginas emplean técnicas de ingeniería social:

Social engineering popup that tries to make the user install an unwanted application.
La ventana emergente engañosa intenta confundir al usuario para que instale software malicioso.
Example of social engineering attempt claiming a browser update is required
En el mensaje de la ventana emergente se indica que ayudará al usuario a actualizar su navegador.
Página de inicio de sesión de Google falsa. Si te fijas, verás que la URL es engañosa. Sitios web de phishing como este pueden intentar que introduzcas información personal como, por ejemplo, los datos de tu tarjeta de crédito. El aspecto de este tipo de sitios web puede ser idéntico al de los reales, así que debes comprobar que la dirección empiece por https:// y que la URL de la barra de direcciones sea la correcta.

Ejemplos de anuncios engañosos

A continuación se muestran algunos ejemplos de contenido engañoso insertado en anuncios. Anuncios como estos no parecen publicidad, ya que no desentonan con la interfaz de la página.

Deceptive ad claiming to be a media player update on the page.
Ventana emergente engañosa que afirma que el software del usuario ha quedado obsoleto.
Deceptive ad claiming to be an installer for a required component.
Ventana emergente engañosa que parece ser del desarrollador de flv.
Deceptive ads claiming to be playback controller buttons on the host page.
Anuncios que simulan ser botones de acción en la página.

Solucionar el problema

Si en tu sitio web se detecta contenido de ingeniería social (es decir, contenido engañoso), comprueba que en ninguna de tus páginas ocurre nada de lo indicado más arriba y, a continuación, sigue estos pasos:

  1. Visita Search Console. 
    • Verifica que eres el propietario del sitio web en Search Console y que no se han añadido propietarios sospechosos.
    • Consulta el informe "Problemas de seguridad" para ver si en tu sitio web se ha detectado contenido engañoso, que es el término que se utiliza en el informe para hacer referencia a la ingeniería social. Visita algunas de las URL de ejemplo que aparecen en el informe, pero usa un ordenador que no forme parte de la red desde la que sirves tu sitio web, ya que los hackers más inteligentes pueden desactivar sus ataques si detectan que el visitante es un webmaster del sitio web.
  2. Elimina el contenido engañoso. Comprueba que no haya contenido engañoso en ninguna de tus páginas. Si crees que Navegación Segura se ha equivocado al clasificar una página web, notifícalo.
  3. Comprueba los recursos de terceros incluidos en tu sitio web. Asegúrate de que los anuncios, las imágenes y otros recursos de terceros insertados en las páginas de tu sitio web no sean engañosos.
    • Ten en cuenta que las redes publicitarias pueden mostrar distintos anuncios en las páginas de tu sitio web. Por lo tanto, debes actualizar la página unas cuantas veces para ver si aparecen anuncios de ingeniería social.
    • Algunos anuncios pueden mostrarse de forma distinta en dispositivos móviles y en ordenadores. Con la herramienta de inspección de URLs, puedes ver tu sitio web tal como aparece en dispositivos móviles y en ordenadores.
    • Si quieres incluir en tu sitio web un servicio de terceros (por ejemplo, de pagos), sigue las directrices que se describen más adelante sobre este tipo de servicios.
  4. Solicita una revisión. Después de eliminar todo el contenido de ingeniería social de tu sitio web, solicita una revisión de seguridad mediante el informe "Problemas de seguridad". Las revisiones pueden tardar varios días en completarse.

Directrices sobre servicios de terceros

Si incluyes un servicio de terceros en tu sitio web, asegúrate de cumplir las condiciones que se indican a continuación; de lo contrario, es posible que se marque el sitio web como ingeniería social.

  • Los sitios web de terceros deben incluir su marca en todas las páginas de los sitios web con los que colaboren para que los usuarios comprendan quién se encarga de gestionarlos. Por ejemplo, pueden incluir su marca en la parte superior de las páginas.
  • En todas las páginas que contengan la marcas del sitio web principal, se debe explicar de manera clara la relación entre ambas partes e incluir un enlace con más información.  Por ejemplo, se puede añadir el siguiente mensaje:

      Este servicio está alojado por Example.com en nombre de Example.organizacionbenefica.com. Más información

Pregúntate si los usuarios que acceden a una página sin contexto pueden saber en qué sitio web están y comprender la relación entre ambas partes. Si la respuesta es afirmativa, tu sitio web es lo suficientemente transparente.

Práctica recomendada: Si necesitas que un tercero preste un servicio de asistencia básico en tu sitio web, te recomendamos que te pongas en contacto con un tercero que tenga una certificación estándar del sector. Por ejemplo, si quieres gestionar la autenticación de los usuarios de tu sitio web, es mejor hacerlo mediante OAuth que por tu cuenta.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?