Como administrador, si sospechas que se vulneró una cuenta, puedes usar esta lista de tareas para asegurarte de que las cuentas de tus usuarios estén protegidas (por ejemplo, cuentas vulneradas o hackeadas). Trabaja con los usuarios afectados para completar la lista de tareas de seguridad de Gmail para usuarios finales.
Sigue estos pasos de seguridad
Paso 1: Suspende temporalmente la cuenta de usuario que se sospecha que está comprometida
- Suspende a un usuario para evitar el acceso no autorizado.
Nota: Cuando se suspende a un usuario, se restablecen sus cookies de acceso y tokens de OAuth.
- Investiga la actividad potencialmente no autorizada y restablece la cuenta. También puedes considerar inscribir el dominio en la verificación en 2 pasos (2SV).
- Pídele al usuario afectado que revise su dirección de recuperación y complete la lista de tareas de seguridad de Gmail.
Paso 2: Investiga la cuenta para detectar actividad no autorizada
- Si el usuario cuya cuenta se vulneró es administrador, revisa los registros de auditoría del administrador para detectar los cambios de configuración que haya realizado recientemente. Omite este paso si no corresponde.
- Revisa los dispositivos móviles asociados con la cuenta afectada y borra los dispositivos sospechosos.
- Investiga la actividad potencialmente no autorizada:
- Usa los Eventos de registro de usuarios en la Consola del administrador para ver una lista completa de los accesos exitosos y fallidos basados en la Web en tu dominio durante un máximo de 6 meses. Los accesos sospechosos se marcan con un ícono de advertencia. También puedes recuperar los accesos de las cuentas del dominio a través de la API de Reports.
- Usa la Búsqueda en el registro de correos electrónicos para revisar los registros de entrega de tus dominios y evaluar el tránsito de mensajes hacia y desde las cuentas posiblemente comprometidas. Si Vault administra la cuenta, puedes usar la Búsqueda en el registro de correo electrónico para revisar la actividad de correo electrónico.
Nota: Si tus usuarios actualizan su edición a una que incluya Vault, podrán recuperar los correos electrónicos o documentos borrados de forma permanente. - Usa el Informe de seguridad para evaluar la exposición del dominio a los riesgos de seguridad de los datos. Debes revisar los siguientes informes:
- Eventos de registro de OAuth
- Eventos de registro de Grupos
- Eventos de registro de Drive
Ediciones compatibles con esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Starter, Business Standard y Business Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard y Education Plus; Essentials Starter, Essentials, Enterprise Essentials y Enterprise Essentials Plus; G Suite Business. Comparar tu edición
- Eventos de registro de Calendario
- Verifica si se creó algún parámetro de configuración malicioso. Puedes recuperar la configuración de la cuenta de usuario (como la configuración de reenvío) a través de la API de Gmail. Si sospechas que se usó una cuenta de consumidor@gmail.com como parte de este compromiso, denúnciala.
Paso 3: Revoca el acceso a la cuenta afectada
- Sigue los pasos que se indican en Cómo restablecer la contraseña de un usuario.
- Revoca los tokens de OAuth 2.0 para el usuario.
- Algunas aplicaciones que usan el método de autenticación de OAuth 2.0 dejarán de acceder a los datos después de que restablezcas la contraseña de un usuario. El usuario debe acceder con el nombre de su cuenta y la nueva contraseña para recibir un nuevo token de OAuth 2.0.
- Quita las contraseñas de aplicaciones que creó el usuario.
Paso 4: Cómo volver a otorgar acceso al usuario
- Anula la suspensión de la cuenta.
- Informa a los usuarios sus nuevas contraseñas temporales y pídeles que establezcan contraseñas nuevas y únicas (que no se usen en otros sitios web o aplicaciones).
- Habilita la verificación en 2 pasos para el dominio y registra a los usuarios con llaves de seguridad (se recomienda usar llaves de seguridad en lugar de códigos de la 2SV).
- Trabaja con los usuarios para completar la lista de tareas de seguridad de Gmail para usuarios finales. Por ejemplo, asegúrate de que todos tus filtros y opciones de reenvío para usuarios finales estén configurados correctamente.
- Actualiza las opciones de recuperación de tu cuenta.
- Revisa tu cuenta para detectar actividad inusual.
- Verifica si hay mensajes faltantes o sospechosos.
- Revisa si hay errores en tus contactos.
- Revisa la configuración de Gmail.
Implementa más medidas de seguridad
Te recomendamos que sigas estos pasos adicionales para garantizar la seguridad de las cuentas de tus usuarios.
Paso 1: Inscríbete en la verificación en 2 pasos con llaves de seguridad
Si habilitas la verificación en 2 pasos, agregarás una capa adicional de seguridad a las cuentas de tus usuarios. Requiere que los usuarios ingresen un código de verificación además de su nombre de usuario y contraseña cuando acceden a sus cuentas. Consulta Cómo agregar la verificación en 2 pasos para obtener más información. Te recomendamos usar llaves de seguridad en lugar de códigos de seguridad de la 2SV para obtener una mejor protección contra la suplantación de identidad (phishing).
Paso 2: Agrega, protege o actualiza las opciones de recuperación
Consulta Cómo agregar opciones de recuperación a tu cuenta de administrador para obtener instrucciones sobre cómo agregar direcciones de correo electrónico y números de teléfono secundarios. Te recomendamos que protejas las direcciones de correo electrónico secundarias cambiando las contraseñas o actualizando el correo electrónico secundario a una dirección nueva.
Paso 3: Habilita las alertas de actividad de la cuenta
Como administrador, puedes optar por recibir alertas de actividad de la cuenta cuando se produzcan eventos importantes, como accesos potencialmente sospechosos o cambios en la configuración del servicio por parte de otros administradores.
Consulta el Centro de seguridad de Google para obtener recomendaciones generales sobre cómo proteger tu cuenta.