Como administrador, si sospechas que una cuenta puede estar vulnerada, puedes usar esta lista de tareas para asegurarte de que las cuentas de tus usuarios estén protegidas (por ejemplo, cuentas vulneradas o secuestradas). Trabaja con los usuarios afectados para completar la lista de tareas de seguridad de Gmail para usuarios finales.
Sigue estos pasos de seguridad
Paso 1: Suspende temporalmente la cuenta de usuario que sospechas que está vulnerada
- Suspende un usuario para evitar el acceso no autorizado.
Nota: Cuando se suspende un usuario, se restablecen las cookies de acceso y los tokens de OAuth del usuario.
- Investiga la actividad potencialmente no autorizada y restablece la cuenta. También puedes considerar inscribir el dominio en la verificación en 2 pasos (2SV).
- Pídele al usuario afectado que revise su dirección de recuperación y complete la lista de tareas de seguridad de Gmail.
Paso 2: Investiga la cuenta en busca de actividad no autorizada
- Si el usuario vulnerado es un administrador, revisa los registros de auditoría del administrador para ver si hay cambios de configuración que el usuario haya realizado recientemente. Omite este paso si no corresponde.
- Revisa los dispositivos móviles asociados con la cuenta afectada y borra los dispositivos sospechosos.
- Investiga la actividad potencialmente no autorizada:
- Usa los eventos de registro de usuarios en la Consola del administrador para ver una lista completa de los accesos web correctos y fallidos en tu dominio durante un período de hasta 6 meses. Los accesos sospechosos se marcan con un ícono de advertencia. También puedes recuperar los accesos de las cuentas de dominio a través de la API de Reports.
- Usa la búsqueda en el registro de correos electrónicos para revisar los registros de entrega de tus dominios y evaluar el tránsito de mensajes hacia y desde las cuentas posiblemente vulneradas. Si Vault administra la cuenta, puedes usar la búsqueda en el registro de correos electrónicos para revisar la actividad de correo electrónico.
Nota: Si tus usuarios actualizan a una edición que incluye Vault, pueden recuperar correos electrónicos o documentos borrados de forma permanente. - Usa el informe de seguridad para evaluar la exposición del dominio a los riesgos de seguridad de los datos. Debes revisar los siguientes informes:
- Eventos de registro de OAuth
- Eventos de registro de Grupos
- Eventos de registro de Drive
Ediciones admitidas para esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Starter, Business Standard y Business Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard y Education Plus; Essentials Starter, Essentials, Enterprise Essentials y Enterprise Essentials Plus; G Suite Business. Comparar tu edición
- Eventos de registro de Calendario
- Verifica si se creó alguna configuración maliciosa. Puedes recuperar la configuración de la cuenta de usuario (como la configuración de reenvío) a través de la API de Gmail. Si sospechas que se usó una cuenta de consumidor@gmail.com como parte de esta vulneración, por favor infórmalo.
Paso 3: Revoca el acceso a la cuenta afectada
- Sigue los pasos que se indican en Cómo restablecer la contraseña de un usuario.
- Revoca los tokens de OAuth 2.0 para el usuario.
- Algunas aplicaciones que usan el método de autenticación de OAuth 2.0 dejarán de acceder a los datos después de que restablezcas la contraseña de un usuario. El usuario debe acceder con el nombre de su cuenta y la contraseña nueva para recibir un token de OAuth 2.0 nuevo.
- Quita las contraseñas de aplicación que creó el usuario.
Paso 4: Devuelve el acceso al usuario
- Anula la suspensión de la cuenta.
- Informa a los usuarios sobre sus nuevas contraseñas temporales y pídeles que establezcan contraseñas nuevas y únicas (no se deben usar contraseñas que se usen en otros sitios web o aplicaciones).
- Habilita la verificación en 2 pasos para el dominio y registra a los usuarios con llaves de seguridad (recomendado en lugar de los códigos de 2SV).
- Trabaja con los usuarios para completar la lista de tareas de seguridad de Gmail para usuarios finales. Por ejemplo, asegúrate de que todos los filtros y las opciones de reenvío para usuarios finales estén configurados correctamente.
- Actualiza las opciones de recuperación de la cuenta
- Revisa tu cuenta en busca de actividad inusual.
- Busca mensajes faltantes o sospechosos.
- Revisa tus contactos en busca de errores.
- Revisa la configuración de Gmail.
Implementa medidas de seguridad adicionales
Te recomendamos que sigas estos pasos adicionales para garantizar la seguridad de las cuentas de tus usuarios.
Paso 1: Regístrate en la verificación en 2 pasos con llaves de seguridad
Registrarse en la verificación en 2 pasos agrega una capa de seguridad adicional a las cuentas de tus usuarios. Requiere que los usuarios ingresen un código de verificación además de su nombre de usuario y contraseña cuando acceden a sus cuentas. Consulta Cómo agregar la verificación en 2 pasos para obtener más detalles. Te recomendamos que uses llaves de seguridad en lugar de códigos de 2SV para mejorar la protección contra la suplantación de identidad (phishing).
Paso 2: Agrega, protege o actualiza las opciones de recuperación
Consulta Agrega opciones de recuperación a tu cuenta de administrador para obtener instrucciones sobre cómo agregar direcciones de correo electrónico y números de teléfono secundarios. Te recomendamos que protejas las direcciones de correo electrónico secundarias cambiando las contraseñas o actualizando el correo electrónico secundario a una dirección nueva.
Paso 3: Habilita las alertas de actividad de la cuenta
Como administrador, puedes elegir recibir alertas de actividad de la cuenta cuando se produzcan eventos importantes, como accesos potencialmente sospechosos o cambios en la configuración del servicio por parte de otros administradores.
Consulta el Centro de seguridad de Google para obtener recomendaciones generales sobre cómo proteger tu cuenta.