Ingeniería social (sitios engañosos y de suplantación de identidad)

La ingeniería social consiste en contenido creado para engañar a los visitantes de forma que lleven a cabo una acción peligrosa, como revelar información confidencial o descargar software. Si Google detecta que en tu sitio web hay contenido de ingeniería social, mostrará una advertencia de sitio web engañoso en el navegador Chrome cuando los visitantes accedan a él. Puedes comprobar si en tu sitio hay páginas sospechosas de contener ataques de ingeniería social en el informe "Problemas de seguridad" de Search Console.

Abrir el informe "Problemas de seguridad"

¿Qué es la ingeniería social?

Un ataque de ingeniería social consiste en engañar a un visitante de un sitio para que realice una acción peligrosa online.

Estos ataques pueden ser de varios tipos:

  • Phishing: los sitios de phishing engañan a los usuarios para que revelen información personal como contraseñas, números de teléfono o números de identificación personal. Para conseguirlo, se intenta que el contenido parezca que proviene de una entidad de confianza, como un navegador, un sistema operativo, un banco o un organismo público.
  • Contenido engañoso: contenido que intenta engañar a los usuarios para que hagan algo que solo harían con una entidad de confianza, como compartir contraseñas, llamar al equipo de asistencia técnica o descargar software. También puede ser contenido que incluye anuncios que afirman que el software del dispositivo está obsoleto y tratan de que los usuarios instalen software no deseado.
  • Servicios de terceros sin indicadores claros y visibles: se consideran servicios de terceros aquellas entidades que gestionan sitios o servicios en nombre de otra entidad. Si gestionas un sitio en nombre de otra persona o entidad, pero no dejas clara esta relación, es posible que se marque como ingeniería social. Por ejemplo, si tienes un sitio web de una organización benéfica y las donaciones se gestionan a través de otro sitio web (de terceros), en ese sitio se debe informar claramente de que actúa en nombre de la organización benéfica; de lo contrario, podría considerarse ingeniería social.

Los usuarios pueden protegerse de la ingeniería social activando Navegación segura de Google, que les advertirá si intentan acceder a páginas que suelen emplear esta técnica.

Las páginas web se consideran de ingeniería social cuando en ellas se da alguna de estas situaciones:

  • Se pretende suplantar a una entidad de confianza, como tu dispositivo o tu navegador, o el sitio web en sí.
  • Se intenta incitar al usuario a hacer algo que solo haría ante una entidad de confianza, como compartir contraseñas, llamar al servicio técnico o descargar software.

Ingeniería social en contenido insertado

La ingeniería social también puede aparecer en contenido insertado (normalmente anuncios) en sitios web benignos. El contenido de ingeniería social insertado constituye una infracción de las políticas por parte de la página que lo aloja.

En ocasiones, el contenido de ingeniería social insertado es visible para los usuarios de la página que lo aloja, como se muestra en los ejemplos. En otros casos, el sitio que aloja el contenido no incluye anuncios visibles, pero dirige a los usuarios a páginas de ingeniería social mediante ventanas emergentes, ventanas subyacentes u otros tipos de redirecciones. En ambos casos, este tipo de contenido de ingeniería social insertado supondrá una infracción de las políticas por parte de la página de que lo aloje.

¡Pero si no yo no me dedico a la ingeniería social!

El contenido engañoso de ingeniería social puede estar en recursos incluidos en una página, como imágenes, otros componentes de terceros o anuncios. Es posible que este contenido se use para intentar convencer a los visitantes del sitio de que descarguen software no deseado.

Además, los hackers pueden hacerse con el control de los sitios y aprovecharlos para alojar o distribuir contenido de ingeniería social. Un hacker puede cambiar el contenido del sitio o añadir páginas, a menudo con la intención de engañar a los visitantes para que faciliten información personal, como sus números de tarjeta de crédito. Puedes comprobar si en tu sitio se aloja o distribuye contenido de ingeniería social consultando el informe "Problemas de seguridad" de Search Console.

Si crees que han pirateado tu sitio, consulta la sección de ayuda para sitios web pirateados.

Ejemplos de infracciones de ingeniería social

Ejemplos de contenido engañoso

A continuación se dan algunos ejemplos de páginas que emplean técnicas de ingeniería social:

Ventana emergente de ingeniería social que intenta que los usuarios instalen una aplicación no deseada
Ventana emergente engañosa que intenta confundir al usuario para que instale malware.

Ejemplo de intento de ingeniería social que afirma que se debe actualizar el navegador
En el mensaje de la ventana emergente se indica que ayudará al usuario a actualizar su navegador.

Página de inicio de sesión de Google falsa
Página de inicio de sesión de Google falsa

Ejemplos de publicidad engañosa

A continuación se muestran algunos ejemplos de contenido engañoso en anuncios insertados. Anuncios como estos no parecen publicidad, ya que no desentonan con la interfaz de la página.

Anuncio engañoso que aparenta ser una actualización del reproductor multimedia de la página
Ventana emergente engañosa que afirma que el software del usuario se ha quedado obsoleto.

Anuncio engañoso que afirma ser un instalador de un componente obligatorio
Ventana emergente engañosa que parece ser del desarrollador de FLV.

Anuncios engañosos que aparentan ser botones para controlar la reproducción en la página en la que se alojan los vídeos
Anuncios que simulan ser botones de acción en la página.

Solucionar el problema

Si en tu sitio se detecta contenido de ingeniería social (es decir, contenido engañoso), comprueba que en ninguna de tus páginas ocurre nada de lo indicado más arriba y, a continuación, sigue estos pasos:

  1. Consulta Search Console.
    • Verifica que eres el propietario del sitio en Search Console y comprueba que no se hayan añadido propietarios sospechosos.

    • Consulta el informe "Problemas de seguridad" para ver si en tu sitio se ha detectado "contenido engañoso", que es el término que se usa en el informe para hacer referencia a la ingeniería social. Si el informe contiene URLs de ejemplo marcadas, visita algunas de ellas, pero usa un ordenador que no forme parte de la red que sirve tu sitio web (los hackers astutos pueden inhabilitar sus ataques si creen que el usuario que visita el sitio es el propietario).

      Si el informe no contiene URLs de ejemplo y tienes la certeza de que tu sitio no incluye ingeniería social (contenido engañoso), solicita una revisión de seguridad en el informe "Problemas de seguridad".

  2. Elimina el contenido engañoso. Comprueba que no haya contenido engañoso en ninguna de tus páginas. Si crees que Navegación segura se ha equivocado al clasificar una página web, notifícalo.
  3. Comprueba los recursos de terceros incluidos en tu sitio. Comprueba que los anuncios, las imágenes y otros recursos de terceros incluidos en las páginas de tu sitio no sean engañosos.
    • Ten en cuenta que las redes publicitarias pueden mostrar anuncios distintos en diferentes páginas de tu sitio. Por lo tanto, es posible que debas actualizar una página varias veces para que se muestre algún anuncio de ingeniería social.
    • Algunos anuncios pueden mostrarse de forma distinta en dispositivos móviles y en ordenadores. Con la herramienta de inspección de URLs, puedes ver tu sitio como se vería desde dispositivos móviles o desde ordenadores.
    • Si quieres incluir en tu sitio un servicio de terceros (por ejemplo, de pago), sigue las directrices sobre este tipo de servicios.
  4. Solicita una revisión. Después de quitar todo el contenido de ingeniería social de tu sitio, solicita una revisión de seguridad mediante el informe "Problemas de seguridad". Las revisiones pueden tardar varios días en completarse.

Directrices sobre servicios de terceros

Si incluyes un servicio de terceros en tu sitio, te recomendamos que cumplas las condiciones que se indican a continuación. De lo contrario, es posible que tu sitio se marque como ingeniería social.

  • Los sitios de terceros deben incluir claramente su marca en todas las páginas de los sitios con los que colaboran para que los usuarios sepan quién se encarga de gestionarlos. Por ejemplo, pueden incluir su marca en la parte superior de las páginas.
  • En todas las páginas que contengan la marca del sitio principal, se debe explicar de manera clara la relación entre ambas partes e incluir un enlace con más información. Por ejemplo, se puede añadir el siguiente mensaje:

    Este servicio está alojado por Example.com en nombre de Example.charities.com. Más información

Pregúntate si los usuarios que acceden a una página sin contexto pueden saber en qué sitio están y comprender la relación entre ambas partes. Si la respuesta es afirmativa, tu sitio es lo suficientemente transparente.

Si utilizas Search Console y en tu sitio hay problemas de seguridad persistentes o que no puedes solucionar, ponte en contacto con nosotros.

Notifica un problema de seguridad