Investiga las cookies de sesión sospechosas y toma medidas al respecto

Como administrador de Google Workspace, puedes usar alertas por correo electrónico para recibir notificaciones si los usuarios salen de sus cuentas debido a cookies de sesión sospechosas. El robo de cookies, la usurpación de identidad o el secuestro de sesión consiste en robar el ID de sesión de un usuario con las cookies que se generan cuando accede a su cuenta. Cuando se detecta una cookie de sesión sospechosa, se finaliza la sesión y el usuario sale de su cuenta para esa sesión y de cualquier sesión sospechosa relacionada en ese dispositivo.

Cuando el usuario intenta volver a acceder en el mismo dispositivo, ve un mensaje en el que se le solicita que quite el software malicioso o no seguro. El usuario también debe proporcionar un paso de verificación adicional cuando vuelve a acceder a la cuenta en el dispositivo.

Con la herramienta de investigación de seguridad (SIT) o la herramienta de investigación y auditoría, puedes identificar intentos de usurpación de las cuentas de los usuarios a través de cookies de sesión en tu organización.

Paso 1: Inicia la investigación

Opción 1: Investiga las cookies de sesión sospechosas en la SIT

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Standard y Education Plus; Enterprise Essentials Plus; Cloud Identity Premium.
    Comparar tu edición

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoCentro de seguridady luegoHerramienta de investigación.

    Requiere tener el privilegio de administrador del Centro de seguridad.

  2. En el menú Fuente de datos, selecciona Eventos de registro del usuario.
  3. En el menú Agregar condición, selecciona Evento y asegúrate de que la condición esté establecida en Es (la opción predeterminada).
  4. En el menú Evento, selecciona El usuario salió de su cuenta debido a una cookie de sesión sospechosa.
  5. Haz clic en Buscar.
    Los resultados de la búsqueda se muestran en la parte inferior de la página.

Opción 2: Investiga las cookies de sesión sospechosas en la página de investigación y auditoría

  1. En la Consola del administrador de Google, ve a Menú y luego Informesy luegoInvestigación y auditoríay luegoEventos de registro del usuario.

    Requiere tener el privilegio de administrador de Investigación y auditoría.

  2. Haz clic en Agregar un filtro y, luego, selecciona Evento.
  3. En la ventana emergente, asegúrate de que el operador del menú superior esté establecido en Es (la opción predeterminada), selecciona El usuario salió de su cuenta debido a una cookie de sesión sospechosa en el menú inferior y haz clic en Aplicar.
  4. Haz clic en Buscar.
    Los registros se muestran en la parte inferior de la página.

Paso 2: Toma medidas

En la columna Descripción, haz clic en Cookie de sesión sospechosa para abrir el panel Detalles del registro. En cada registro, se muestra un usuario afectado. Trabaja con los usuarios afectados y completa los pasos para quitar software malicioso o no seguro.

Protege las cuentas vulneradas

Si sospechas que una cuenta puede estar vulnerada o usurpada, como administrador, puedes asegurarte de que las cuentas de tus usuarios estén protegidas. Trabaja con los usuarios afectados para identificar y proteger las cuentas vulneradas.