En el Centro de alertas puedes acceder a la lista de alertas para consultar más información sobre cada una de ellas. Cada tipo de alerta muestra información distinta y te da diferentes opciones para solucionar la incidencia que indica.
Para consultar la información de las alertas, sigue estos pasos:
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadCentro de alertas.
- Si quieres ver más detalles, haz clic en cualquier elemento de la página para abrir la página de información de la alerta.
En la página de información de la alerta, puedes consultar información sobre una alerta, eliminar una alerta, acceder a los detalles de la regla que la ha generado y llevar a cabo otras acciones.
Nota: El Centro de alertas no muestra información sobre zonas horarias. Las horas indicadas en el Centro de alertas se corresponden con la zona horaria definida en la consola de administración de Google.
Acceder al Centro de alertas desde cualquier página de la consola de administración
Estés en la página que estés de la consola de administración de Google, puedes consultar el widget Alertas para saber qué alertas afectan a tu organización. Este widget incluye una lista de alertas, una breve descripción de cada alerta y su nivel de gravedad (alta, media o baja).
Para abrir el widget Alertas, haz clic en el icono de la campana, situado en la parte superior de cualquier página de la consola de administración. Para acceder a la información de una alerta concreta, haz clic en uno de los elementos de línea del widget. Para acceder a la lista completa de alertas del Centro de alertas, haz clic en Ver todo.
Alertas de Gmail
Nota: Las notificaciones de alerta de Gmail pueden llegar hasta 4 horas después de que se active una regla de alerta.
Esta alerta te informa de que un remitente externo podría estar suplantando mediante spoofing las identidades de usuarios con nombres similares pertenecientes a tu organización, usando nombres visibles de usuarios que figuran en tu lista global de direcciones. Es posible que el remitente externo tenga un historial de envío de spam o un historial limitado (o inexistente) de envíos de correos electrónicos a tu organización.
Nota: Esta alerta solo se activa si la opción de autenticación y protección contra spoofing relativa al spoofing de nombres de empleados está inhabilitada. Para obtener instrucciones sobre cómo habilitar o inhabilitar esta función, consulta la sección Activar la autenticación y la protección contra spoofing del artículo Protección avanzada contra phishing y software malicioso.
Para saber con qué mensajes han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación. Tienes las instrucciones pertinentes en el artículo Tomar medidas en función de los resultados de búsqueda. Para bloquear remitentes, consulta el artículo Bloquear mensajes de una dirección de correo o de un dominio.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta, con detalles como el número de posibles mensajes de spoofing, el nombre visible usado y el número de destinatarios
- Fecha: fecha y hora del evento
- Remitente: nombre de usuario del remitente
- Número total de notificaciones de los usuarios
- Recibido por: número de destinatarios y sus nombres de usuario
Para facilitar la investigación, la página de información incluye también una tabla con los detalles del mensaje, como su fecha, ID de mensaje, hash del asunto, hash del cuerpo del mensaje, nombre de usuario del destinatario, hashes de archivos adjuntos y nombre de tu dominio principal. La herramienta de investigación puede aportar información adicional para continuar con la investigación.
Nota: Para controlar el volumen de alertas, no se crea una alerta si ya hay alguna anterior abierta por mensajes procedentes del mismo remitente externo.
Los mensajes afectados por software malicioso que se detecten después de la entrega y no se hayan abierto, se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por software malicioso que se hayan abierto.
En la página Información de la alerta se incluyen estas secciones:
- Resumen: resumen de la alerta, que incluye el número de mensajes afectados por software malicioso y el número de destinatarios, entre otros datos
- Fecha: fecha y hora del evento
- Remitente: nombre de usuario del remitente
- Número total de eventos de entrega de mensajes
- Recibido por: número de destinatarios y sus nombres de usuario
La página de información también incluye una lista con ejemplos de eventos de entrega de mensajes. Esta lista aparece en una tabla situada en la parte inferior de la página. En cada elemento de la lista se incluye su fecha, ID del mensaje, hash del asunto, hash del cuerpo del mensaje, destinatario, hashes de archivos adjuntos y nombre de tu dominio principal.
Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas en función de los resultados de búsqueda). Para bloquear remitentes, consulta el artículo Bloquear mensajes de una dirección de correo o de un dominio.
Es posible que los mensajes marcados como spam por los filtros de Gmail acaben llegando a las bandejas de entrada de los usuarios si se ha creado una lista de permitidos en la consola de administración de Google que ignora los filtros de spam. Como consecuencia, es posible que los usuarios de tu organización reciban mensajes afectados por phishing. En la alerta Se ha detectado suplantación de identidad (phishing) en las bandejas de entrada debido a una lista blanca errónea se proporciona información sobre este tipo de actividad relacionada con la seguridad.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
- Fecha: fecha y hora del evento
- Remitente: nombre de usuario del remitente
- IP de origen: dirección IP del dominio del remitente
- Tipo de lista de permitidos: el ajuste de la consola de administración de Google que ha anulado los filtros de spam
- Eventos de entrega de mensajes: número de eventos
- Recibido por: lista de los destinatarios y sus nombres de usuario
La página de información también incluye una lista con ejemplos de eventos de entrega de mensajes. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID de mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de los archivos adjuntos y el nombre de tu dominio principal.
Con la información de esta alerta, puedes tomar medidas para bloquear remitentes.
Los mensajes afectados por phishing que se detecten después de la entrega y no se hayan abierto se volverán a clasificar y se quitarán automáticamente de la bandeja de entrada del usuario. Sin embargo, si el destinatario ha abierto esos mensajes o interactuado con ellos, se mantendrán en la bandeja de entrada hasta que los quite manualmente. Es recomendable quitar lo antes posible de las bandejas de entrada de los usuarios todos los mensajes afectados por phishing que se hayan abierto.
Para ver los mensajes con los que han interactuado los usuarios y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas en función de los resultados de búsqueda). Para bloquear remitentes, consulta el artículo Bloquear mensajes de una dirección de correo o de un dominio.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
- Fecha: fecha y hora del evento
- Remitente: nombre de usuario del remitente
- Número total de eventos de entrega de mensajes
- Recibido por: número de destinatarios y sus nombres de usuario
La página de información también incluye una lista con ejemplos de eventos de entrega de mensajes. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye su fecha, ID de mensaje, hash del asunto, hash del cuerpo del mensaje, destinatario, hashes de archivos adjuntos y nombre de tu dominio principal.
Esta alerta se activa cuando los usuarios de tu organización han marcado como spam un volumen inusualmente alto de mensajes.
Para saber cómo bloquear este remitente, consulta el artículo Bloquear mensajes de una dirección de correo o de un dominio. Para encontrar mensajes similares que los usuarios aún no hayan llegado a notificar, volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas en función de los resultados de búsqueda).
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta, que incluye el número de mensajes marcados como spam y el número de destinatarios, entre otros datos
- Fecha: fecha y hora del evento (suele ser la fecha del primer mensaje que se ha indicado en la agrupación del aumento de mensajes)
- Número total de notificaciones de los usuarios
- Recibido por: número de destinatarios y sus nombres de usuario
La página de información también incluye una lista con ejemplos de notificaciones de usuarios. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID de mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de los archivos adjuntos y el nombre de tu dominio principal.
Esta alerta indica que un remitente externo ha enviado a tu organización mensajes que algunos usuarios han clasificado como spam.
Pueden clasificarse como sospechosos los mensajes que parecen ser spam, pero en los que Google no ha encontrado suficientes indicios para marcarlos como tales. Esta alerta se activa cuando los usuarios marcan como spam mensajes de este tipo y confirman así las sospechas de Google.
Para saber cómo bloquear este remitente, consulta el artículo Bloquear mensajes de una dirección de correo o de un dominio. Para encontrar mensajes similares que los usuarios aún no hayan llegado a notificar, volverlos a clasificar y quitarlos de sus bandejas de entrada, ve a la herramienta de investigación (consulta las instrucciones en el artículo Tomar medidas en función de los resultados de búsqueda).
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta, que incluye el número de mensajes sospechosos y el número de destinatarios, entre otros datos
- Fecha: fecha y hora del evento
- Remitente: nombre de usuario del remitente
- Número total de notificaciones de los usuarios
- Recibido por: número de destinatarios y sus nombres de usuario
La página de información también incluye una lista con ejemplos de notificaciones de usuarios. Esta lista aparece en una tabla situada en la parte inferior de la página. Cada elemento de la lista incluye la fecha, el ID de mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de los archivos adjuntos y el nombre de tu dominio principal.
Un aumento de los correos electrónicos marcados por los usuarios como phishing podría indicar que tu organización está recibiendo un ataque de este tipo. La alerta Suplantación de identidad (phishing) denunciada por el usuario facilita información sobre este tipo de actividad relacionada con la seguridad.
En la página Información de la alerta, puedes consultar información importante sobre esta alerta:
- Resumen: resumen de la alerta, que incluye el número de mensajes afectados por phishing y el número de destinatarios, entre otros datos
- Fecha: fecha y hora del evento
- Remitente: nombre de usuario del remitente
- Número total de notificaciones de los usuarios
- Recibido por: lista de los destinatarios y sus nombres de usuario
La página de información también incluye una lista con ejemplos de notificaciones de usuarios. Esta lista aparece en una tabla situada en la parte inferior de la página. En cada elemento de la lista se incluye la fecha, el ID del mensaje, el hash del asunto, el hash del cuerpo del mensaje, el nombre de usuario del destinatario, los hashes de archivos adjuntos y el nombre de tu dominio principal.
Con la información de esta alerta, puedes tomar medidas para bloquear remitentes.
Alertas de usuario
Cuando se detecta que se han vulnerado credenciales, se requiere el cambio de la contraseña del usuario para que pueda volver a iniciar sesión.
Las causas más frecuentes de robo de contraseñas son los virus, las respuestas de usuarios a correos electrónicos afectados por phishing o el uso de una misma contraseña en diferentes sitios web, algunos de los cuales pueden haberse vulnerado.
Es recomendable que cambies la contraseña del usuario y compruebes si su cuenta se ha vulnerado. También te aconsejamos que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha del inicio de sesión
- Usuario afectado: nombre de usuario con credenciales vulneradas
Para obtener más información sobre cómo detecta Google las credenciales vulneradas, consulta Cambiar contraseñas no seguras en la cuenta de Google > Información sobre las contraseñas vulneradas.
La alerta Se ha añadido un nuevo usuario te informa de que se ha añadido un nuevo usuario a tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Se ha añadido un nuevo usuario:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento.
- Usuario: usuario que se ha añadido a tu organización
- Cambiado por: usuario que añadió el nuevo usuario a tu organización
Importante: Las alertas de inicio de sesión sospechoso bloqueado no se muestran en la vista de lista predeterminada del Centro de alertas, pero las puedes ver seleccionando el filtro de tipo de alerta Inicio de sesión sospechoso. Aunque las alertas no se muestran en la vista de lista, las alertas nuevas seguirán activando el envío de notificaciones por correo electrónico mientras esta opción esté habilitada.
Se considera sospechoso un inicio de sesión si sus circunstancias no coinciden con el comportamiento habitual de un usuario (por ejemplo, porque se ha hecho desde una ubicación no habitual) o si es posible que una persona no autorizada esté intentando acceder a la cuenta de un usuario.
En la mayoría de los casos, antes de enviar una alerta, se muestra al usuario un mensaje solicitándole que verifique su identidad. En el caso de que no pueda verificar la identidad o ni siquiera lo intente, recibirás una alerta por inicio de sesión sospechoso.
Es recomendable que suspendas la cuenta de ese usuario hasta que hayas seguido este procedimiento de seguridad. Puedes suspenderla desde su página de configuración o mediante la herramienta de investigación.
Puedes restaurar la cuenta del usuario y cambiar su contraseña cuando consideres que es seguro hacerlo. Se recomienda que el usuario revise la lista de comprobación de seguridad de Gmail. También te aconsejamos que actives la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha en la que el inicio de sesión se ha marcado como sospechoso
- Fecha de intento de inicio de sesión
- Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
- Dirección IP en la que se detectó el inicio de sesión
Se considera sospechoso un inicio de sesión si sus circunstancias no coinciden con el comportamiento habitual de un usuario (por ejemplo, porque se ha hecho desde una ubicación no habitual) o si es posible que una persona no autorizada esté intentando acceder a la cuenta de un usuario.
Las aplicaciones que son poco seguras no utilizan estándares de seguridad modernos como OAuth. El uso de aplicaciones y dispositivos que no utilizan este tipo de estándares aumenta el riesgo de que se vulneren las cuentas.
A continuación se muestran algunos ejemplos de aplicaciones que no son compatibles con los estándares de seguridad modernos:
- Aplicaciones nativas para sincronizar correos, contactos y calendarios de versiones antiguas de iOS y OSX
- Algunos clientes de correo electrónico para ordenadores, como versiones antiguas de Microsoft Outlook
En la página Información de la alerta, puedes consultar información importante sobre la alerta Inicio de sesión sospechoso desde una aplicación poco segura, incluidos un resumen de la alerta y la fecha y la hora del evento.
Consulta más información en el artículo Controlar el acceso a aplicaciones poco seguras.
Se considera sospechoso un inicio de sesión si sus circunstancias no coinciden con el comportamiento habitual de un usuario (por ejemplo, porque se ha hecho desde una ubicación no habitual) o si es posible que una persona no autorizada esté intentando acceder a la cuenta de un usuario.
Al igual que los inicios de sesión web convencionales, los inicios de sesión automáticos (los que se hacen a través de aplicaciones) están sujetos a los análisis de riesgos. Para que las cuentas de Google (de trabajo, de centro educativo o de otros grupos) sean más seguras, los inicios de sesión automáticos sospechosos se bloquean para que no se acceda a ninguna cuenta.
Te recomendamos que utilices OAuth en todas las conexiones a datos de tus usuarios. Si un usuario intenta iniciar sesión de forma automática, ponte en contacto con el usuario afectado para identificar la aplicación que ha utilizado y asegurarte de que era él quien intentaba acceder a su cuenta. Posteriormente, te recomendamos que le proporciones una aplicación parecida que utilice OAuth y que desactives el acceso a las aplicaciones poco seguras, tanto en la cuenta de ese usuario como en las del resto.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha en la que el inicio de sesión se ha marcado como sospechoso
- Fecha de intento de inicio de sesión
- Usuario afectado: nombre de usuario afectado por el inicio de sesión sospechoso
- Dirección IP en la que se detectó el inicio de sesión
La alerta Se ha activado un usuario suspendido te informa de que se ha activado un usuario suspendido en tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Se ha activado un usuario suspendido:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Usuario: usuario suspendido que se ha activado
- Cambiado por: usuario que ha activado un usuario suspendido
La alerta Usuario eliminado te informa de que se ha eliminado un usuario de tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Usuario eliminado:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento.
- Usuario: usuario que se ha eliminado de tu organización.
- Cambiado por: usuario que eliminó el usuario de tu organización.
La alerta Privilegios de administrador concedidos a un usuario te informa de que se ha concedido un privilegio de administrador a un usuario de tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Privilegios de administrador concedidos a un usuario:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Usuario: usuario al que se ha concedido un privilegio de administrador
- Cambiado por: usuario que ha concedido un privilegio de administrador a un usuario
Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta, se suspende la cuenta de usuario afectada.
Como administrador, también puedes suspender usuarios desde su página de configuración o mediante la herramienta de investigación.
Una vez que hayas comprobado que no hay peligro, puedes restaurar la cuenta del usuario afectado y cambiar su contraseña. Antes de restaurar la cuenta, te recomendamos que sigas estos pasos de seguridad.
Es recomendable que el usuario siga los pasos de la lista de comprobación de seguridad de Gmail. También te aconsejamos que actives la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha del inicio de sesión
- Usuario afectado: nombre de usuario afectado por la actividad sospechosa
La alerta Usuario suspendido por el administrador te informa de que un administrador ha suspendido un usuario de tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Usuario suspendido por el administrador:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Usuario: usuario que se ha suspendido
- Cambiado por: administrador que ha suspendido al usuario
Esta alerta genérica informa de que se ha suspendido la cuenta de un usuario por actividad sospechosa. Ante esta alerta, puedes ponerte en contacto con el usuario en cuestión o, si es necesario, con el equipo de Asistencia de Google para ver si pueden darte más información.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha en la que el inicio de sesión se ha marcado como sospechoso
- Fecha de intento de inicio de sesión
- Usuario afectado: nombre de usuario afectado por actividad sospechosa
- La dirección IP en la que se detectó el inicio de sesión
Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario), se suspende la cuenta de usuario afectada.
Puedes restaurar la cuenta del usuario y cambiar su contraseña cuando consideres que es seguro hacerlo. Se recomienda que el usuario revise la lista de comprobación de seguridad de Gmail. También te aconsejamos que actives la verificación en dos pasos en tu dominio y requieras que tus usuarios utilicen llaves de seguridad.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha
- Usuario afectado: nombre de usuario afectado por actividad sospechosa
Cuando se detecta una actividad sospechosa que puede indicar que se ha vulnerado una cuenta (por ejemplo, envío de spam por parte de un usuario a través del servicio de relay SMTP), se suspende la cuenta de usuario afectada.
Puedes reactivar la cuenta una vez que hayas resuelto el problema de spam mediante relay. Durante el periodo de suspensión, el usuario no puede iniciar sesión en servicios de Google ni enviar correos electrónicos a través de esa cuenta, pero sigue recibiéndolos con normalidad.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha
- Usuario afectado: nombre de usuario afectado por actividad sospechosa
La alerta Privilegios de administrador del usuario revocados te informa de que un administrador ha revocado los privilegios de administrador de un usuario de tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Privilegios de administrador del usuario revocados:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Usuario: usuario al que se han revocado los privilegios de administrador
- Cambiado por: administrador que ha revocado los privilegios de administrador
La alerta Se ha cambiado la contraseña del usuario indica que se ha cambiado la contraseña de un usuario de tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Se ha cambiado la contraseña del usuario:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Usuario: usuario cuya contraseña se ha cambiado
Alertas de dispositivos
- Resumen: resumen de la alerta.
- Fecha de vencimiento del certificado de APNS: fecha y hora en que caducó el certificado.
- ID de Apple que se ha utilizado para crear el certificado de APNS: ID con el que se ha creado el certificado de APNS. Utiliza el mismo ID de Apple para renovar el certificado.
- UID del certificado de APNS: identificador del certificado de APNS. Además, debes renovar el certificado con el mismo UID.
- Pasos siguientes: sigue estos pasos para solucionar el problema.
- Resumen: resumen de la alerta.
- Fecha de vencimiento del certificado de APNS: fecha y hora en que caduca el certificado.
- ID de Apple que se ha utilizado para crear el certificado de APNS: ID con el que se ha creado el certificado de APNS. Utiliza el mismo ID de Apple para renovar el certificado.
- UID del certificado de APNS: identificador del certificado de APNS. Además, debes renovar el certificado con el mismo UID.
- Pasos siguientes: sigue estos pasos para solucionar el problema.
La alerta Dispositivo vulnerado facilita información sobre los dispositivos en riesgo de seguridad de tu organización. Se considera que los dispositivos se encuentran en riesgo de seguridad si están rooteados (dispositivos Android), tienen jailbreak (dispositivos iOS) o se modifica su estado de forma imprevista.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: información general sobre la alerta, como el ID y el tipo de dispositivo
- Fecha: fecha y hora del evento
- Propietario del dispositivo: nombre de usuario del propietario del dispositivo
- Dispositivo afectado: datos sobre el dispositivo, como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso
Se considera que modificar las propiedades de un dispositivo (por ejemplo, su ID, número de serie, tipo o fabricante) es una actividad sospechosa. La alerta Actividad sospechosa en el dispositivo facilita información sobre este tipo de actividad relacionada con la seguridad.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta, incluido el número de propiedades del dispositivo modificadas y el ID del dispositivo, entre otros datos
- Fecha: fecha y hora del evento
- Propietario del dispositivo: nombre de usuario del propietario del dispositivo
- Dispositivo afectado: datos sobre el dispositivo, como su ID, número de serie, tipo, nombre del modelo y nombre del ID de recurso
- Recibido por: lista de los destinatarios y sus nombres de usuario
En la página de información también se incluye una lista con los cambios hechos en las propiedades del dispositivo. Esta lista aparece en una tabla situada en la parte inferior de la página. Aquí se incluyen los valores anteriores y nuevos de cada propiedad del dispositivo modificada.
Alertas administrativas
Cuando hay un problema con la configuración de Google Voice, los asistentes automáticos y los grupos destinatarios pueden finalizar las llamadas de forma inesperada. Por ejemplo, si un asistente automático está configurado para enviar a la persona que llama al buzón de voz, pero se han eliminado todos los destinatarios del mensaje de voz porque esos destinatarios han dejado la empresa, el asistente automático no podrá enviar el mensaje de voz y finalizará la llamada.
Cuando esto ocurre, los administradores de Google Workspace reciben la alerta Problema de configuración de Google Voice en el Centro de alertas. Esta alerta te permite conocer el estado del problema y te proporciona instrucciones para resolverlo. De este modo, te aseguras de que las personas que llamen a números de teléfono de Google Voice reciban una respuesta.
Esta alerta está activada de forma predeterminada, así como las notificaciones a los superadministradores por correo electrónico.
Estas son algunas de las configuraciones más habituales de Google Voice que provocan que aparezca esta alerta:
- No hay destinatarios del mensaje de voz.
- Los destinatarios de los mensajes de voz no pueden recibir más mensajes porque han alcanzado el límite.
- El destino de una transferencia no es válido. Por ejemplo, el destino de la transferencia se ha eliminado o suspendido.
- No hay miembros válidos en el grupo destinatario de la llamada. Por ejemplo, porque todos los miembros se han eliminado o suspendido.
En la página Información de la alerta, puedes consultar la información importante que se indica a continuación sobre la alerta de problema de configuración de Google Voice:
- Resumen: resumen de la alerta con una descripción general de los datos
- Mitigación: descripción de las acciones necesarias para resolver el problema
- Fecha de inicio: fecha y hora del evento
- Usuarios afectados: usuarios afectados por el evento
La alerta Se ha cambiado la configuración de Calendar te informa cuando un administrador ha cambiado la configuración de Calendar de tu cuenta de Google Workspace.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Se ha cambiado la configuración de Calendar:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Configuración: el ajuste cambiado por el administrador
- Valor nuevo: nuevo valor del ajuste
- Valor antiguo: valor antiguo del ajuste
- Cambiado por: administrador que ha cambiado el ajuste
Haz clic en Buscar en los registros de auditoría para ver más información sobre el evento que ha activado la alerta.
Si se produce un error con un servicio de terceros, como una configuración incorrecta o una interrupción del servicio de proveedor de identidades (IdP) o de lista de control de acceso de claves (SLCAC), recibirás una alerta de cifrado del lado del cliente (CLC). También es posible que veas esta alerta si un usuario de tu organización intenta acceder a contenido cifrado del lado del cliente fuera de tu organización y su IdP o servicio de claves no funciona.
Hay dos tipos de alertas de CLC:
- Alerta de SLCAC: hay un problema con tu servicio de claves externo. Prueba la conexión para confirmar que está configurado correctamente.
- Alerta de IdP: hay un problema con la configuración de tu IdP. Revísala e intenta conectarte de nuevo para comprobar si hay interrupciones en el servicio.
En la página Información de la alerta, puedes consultar detalles importantes, como los siguientes:
- Problema: descripción del error
- Fecha: fecha y marca de tiempo del problema
- Endpoint: URL del endpoint en el que se ha producido el error (si se conoce)
- Código de estado HTTP: estado HTTP (si el endpoint ha devuelto un error)
- Repeticiones del problema: número de veces que se ha producido el error desde la marca de tiempo de la fecha
Puedes inspeccionar los registros del servicio para determinar la causa del error.
Para obtener más información sobre cómo configurar servicios de terceros, consulta lo siguiente:
La alerta Exportación de datos de dominio iniciada informa de que un superadministrador de tu cuenta de Google ha empezado a exportar datos de tu organización. Una vez solicitada una exportación de datos, tienes 48 horas para cancelar la operación antes de que se haga efectiva. Si crees que esa exportación se ha iniciado por error, ponte en contacto con el equipo de Asistencia de Google Workspace.
Este proceso suele tardar al menos 72 horas, en función del tamaño del organización. Puedes consultar su estado en la herramienta de exportación de datos. Para obtener más información sobre esta herramienta, consulta el artículo Exportar los datos de una organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha
- Actor: usuario que inició la exportación de datos
La alerta Se ha cambiado la configuración de Drive te informa cuando un administrador ha cambiado la configuración de Drive de tu cuenta de Google Workspace.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Se ha cambiado la configuración de Drive:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Configuración: el ajuste cambiado por el administrador
- Valor nuevo: nuevo valor del ajuste
- Valor antiguo: valor antiguo del ajuste
- Cambiado por: administrador que ha cambiado el ajuste
Haz clic en Buscar en los registros de auditoría para ver más información sobre el evento que ha activado la alerta.
La alerta Se ha cambiado la configuración del correo electrónico te informa de que un administrador ha cambiado la configuración de Gmail de tu cuenta de Google Workspace.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Se ha cambiado la configuración del correo electrónico:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Configuración: el ajuste cambiado por el administrador
- Valor nuevo: nuevo valor del ajuste
- Valor antiguo: valor antiguo del ajuste
- Cambiado por: administrador que ha cambiado el ajuste
Haz clic en Buscar en los registros de auditoría para ver más información sobre el evento que ha activado la alerta.
La alerta Se ha cambiado la configuración móvil te informa de que un administrador ha cambiado la configuración de la gestión de dispositivos móviles.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Se ha cambiado la configuración móvil:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Configuración: el ajuste cambiado por el administrador
- Valor nuevo: nuevo valor del ajuste
- Valor antiguo: valor antiguo del ajuste
- Cambiado por: administrador que ha cambiado el ajuste
Haz clic en Buscar en los registros de auditoría para ver más información sobre el evento que ha activado la alerta.
La alerta Administrador principal cambiado te informa cuando cambia la cuenta del administrador principal.
Esta información es importante porque la cuenta del administrador principal tiene acceso a información sensible (recibe la información relativa a la facturación y otras notificaciones importantes relativas a la cuenta que envía Google).
En la página Información de la alerta, puedes consultar información sobre la alerta Administrador principal cambiado:
- Resumen: resumen de la alerta con una descripción general de los cambios, incluidas las direcciones de correo de la antigua cuenta del administrador principal y la nueva.
- Fecha: fecha y hora del evento.
- Actor: dirección de correo del administrador que ha hecho el cambio.
La alerta Cambio de contraseña de superadministrador te informa cuando cambia la contraseña de una cuenta de superadministrador.
Esta información es importante porque los superadministradores tienen acceso a información sensible (gestionan todas las funciones de la consola de administración y las APIs de administración).
En la página Información de la alerta, puedes consultar información sobre la alerta Cambio de contraseña de superadministrador:
- Resumen: resumen de la alerta con una descripción general de los cambios y los datos, como la dirección de correo del superadministrador.
- Fecha: fecha y hora del evento.
- Actor: dirección de correo del administrador que ha hecho el cambio.
La alerta Perfil de SSO añadido te informa cuando se añade y habilita un perfil de SSO de terceros en tu organización.
Este cambio es importante, dado que al añadir y habilitar un perfil de SSO de terceros, todos los usuarios de tu organización pueden iniciar sesión en los servicios de Google a través de tu proveedor de identidades externo.
En la página Información de la alerta, puedes consultar información sobre la alerta Perfil de SSO añadido:
- Resumen: resumen de la alerta con una descripción general de los cambios.
- Fecha: fecha y hora del evento.
- Actor: dirección de correo del administrador que ha hecho el cambio.
- ID del perfil de SSO: nombre del perfil de SSO que se ha añadido.
La alerta Perfil de SSO actualizado te informa cuando se actualiza un perfil de SSO de terceros en tu organización.
La actualización del perfil de SSO de terceros es un cambio importante, dado que un perfil de este tipo permite a todos los usuarios de tu organización iniciar sesión en los servicios de Google a través de tu proveedor de identidades externo.
En la página Información de la alerta, puedes consultar información sobre la alerta Perfil de SSO actualizado:
- Resumen: resumen de la alerta con una descripción general de los cambios.
- Fecha: fecha y hora del evento.
- Actor: dirección de correo del administrador que ha hecho el cambio.
- ID del perfil de SSO: nombre del perfil de SSO que se ha actualizado.
La alerta Perfil de SSO eliminado te informa cuando se elimina un perfil de SSO de terceros de tu organización.
Este cambio es importante, dado que si se elimina un perfil de SSO de terceros de tu organización, los usuarios ya no podrán iniciar sesión en los servicios de Google a través de tu proveedor de identidades externo.
En la página Información de la alerta, puedes consultar información sobre la alerta Perfil de SSO eliminado:
- Resumen: resumen de la alerta con una descripción general de los cambios.
- Fecha: fecha y hora del evento.
- Actor: dirección de correo del administrador que ha hecho el cambio.
- ID del perfil de SSO: nombre del perfil de SSO que se ha eliminado.
Alertas de uso inadecuado de clientes
La alerta Se ha detectado un abuso por parte de un cliente te notifica las actividades de los usuarios que podrían infringir los términos del servicio de Google:
- Términos del Servicio de Google Workspace
- Términos del Servicio de Google Workspace for Education
- Términos del servicio de Google Cloud Platform
- Términos del Servicio de Cloud Identity
En función del tipo, la gravedad o la frecuencia de uso inadecuado, Workspace puede suspender cuentas de usuario o la cuenta de tu organización de forma proactiva.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: una descripción de los detalles de la alerta
- Fecha: muestra la fecha y la hora en que se publicó la alerta.
- Detalles adicionales: información basada en el tipo o el subtipo de alerta. Algunos tipos podrían no incluir detalles, mientras que otros podrían incluir datos como el tipo de contenido o el nombre del propietario del contenido.
Esta alerta te informa cuando el contenido de Google Drive propiedad de usuarios de tu organización puede poner en riesgo la seguridad de tus usuarios al infringir los Términos del Servicio de Google Workspace o los Términos del Servicio de Google Workspace for Education.
En la alerta, la tabla "Información adicional" muestra los usuarios que han activado esta alerta, junto con información sobre el nombre del archivo, la URL del archivo, el ID del documento y el tipo de infracción abusiva. Si tienes la edición Enterprise Plus o Education Plus, puedes usar la herramienta de investigación de seguridad para hacer un análisis más detallado. Ponte en contacto con el usuario final para preguntarle sobre el contenido o las acciones que ha realizado.
Nota: En la mayoría de los tipos de infracciones por uso inadecuado, el propietario del archivo puede seguir accediendo a él y solicitar una revisión de la infracción.Esta alerta te informa cuando los usuarios de tu organización han tenido acceso a servicios o funciones restringidos debido a una infracción de los Términos del Servicio de Google Workspace o de los Términos del Servicio de Google Workspace for Education.
En la alerta, en la tabla "Información adicional" se muestran los usuarios involucrados en esta alerta, junto con información sobre el tipo de infracción por uso inadecuado y los servicios o funciones que se han restringido. Informa a los usuarios de su acceso restringido y hazles saber que pueden enviar una apelación en account.google.com. La mayoría de las solicitudes se revisan en 2 días hábiles, pero algunas pueden tardar más.
Esta alerta puede aparecer en el Centro de alertas hasta 24 horas después de que se haya restringido el acceso de un usuario a un servicio o función.
Alertas de reglas personalizadas
Las reglas de actividad son conjuntos de condiciones y acciones definidas por un administrador. Si se cumplen las condiciones de una regla, esta se activa y se ejecutan automáticamente las acciones correspondientes. Las reglas de actividad te permiten automatizar procesos que de otro modo tendrías que llevar a cabo manualmente, y se pueden adaptar a las necesidades particulares de tu organización.
Como administrador, puedes crear reglas para que Google haga continuamente cualquier búsqueda que configures en la herramienta de investigación. Las alertas que se activan debido a una regla aparecen clasificadas como Regla de actividad en el Centro de alertas. Para obtener más información al respecto, consulta el artículo Crear reglas con la herramienta de investigación.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha
- Umbral
- Estado de la alerta
- Gravedad de la alerta: baja, media o alta
- Regla que ha activado la alerta
Recibirás una alerta de Prevención de la pérdida de datos (DLP) en el Centro de alertas cuando se active una regla de DLP de Drive.
Como administrador, puedes impedir que los usuarios compartan contenido sensible en Google Drive o en unidades compartidas con usuarios ajenos a tu organización. Con las reglas de DLP, puedes analizar los archivos para buscar contenido sensible. Por ejemplo, si un usuario comparte un archivo que contiene un número de cuenta bancaria o de identificación fiscal, puedes avisar por correo electrónico a los superadministradores. También puedes mostrar una advertencia a los usuarios cuando intenten compartir un archivo, o bien bloquear por completo a usuarios ajenos a tu organización para que no puedan acceder a él.
En la página Información de la alerta puedes ver información importante sobre las alertas de Prevención de la pérdida de datos (DLP):
- Resumen: resumen de la alerta con una descripción general de los datos
- Fecha: fecha y hora del evento
- Usuario que provoca la activación: usuario que ha añadido contenido sensible a un archivo
- Destinatarios: usuarios con los que se ha compartido el archivo de Drive o a los que se ha enviado el contenido de Chat. Ten en cuenta que el campo "Destinatarios" no aparece en el contenido de Chrome.
- ID de documento: identificador único del documento de Drive
- Título del documento: título del documento de Drive
- Nombres de los detectores: nombres de los detectores de contenido definidos por el usuario o predefinidos (por ejemplo, el número de la Seguridad Social o el del permiso de conducir)
- Acciones activadas: acciones que se han activado desde la regla de DLP (por ejemplo, "Impedir que se comparta de forma externa" o "Alerta")
- Acciones suprimidas: acciones que se han suprimido debido a conflictos con acciones configuradas en otras reglas
Nota: Cuando una regla no se configura correctamente, los administradores pueden llegar a recibir un gran número de alertas de DLP. Para evitar que pase, las alertas de DLP están limitadas a 50 alertas por regla al día.
La alerta Regla de informes te informa de la activación de una regla de informes personalizada relacionada con los eventos de registro de auditoría para una determinada actividad.
Además de activar una alerta en el Centro de alertas, las reglas de informes personalizadas también activan una notificación por correo electrónico. Para obtener más información sobre las reglas de informes, consulta Crear y ver reglas de informes y configurar alertas.
En la página Información de la alerta, puedes consultar información importante sobre la alerta Regla de informes, incluidos un resumen de la alerta, la fecha y la hora del evento, la descripción del evento y el nombre del registro de auditoría relacionado.
Haz clic en Buscar en los registros de auditoría para ver más información sobre el evento que ha activado la alerta.
Alertas generales
La alerta de Operaciones de Google proporciona información sobre problemas de seguridad y privacidad que afectan a los servicios de Google Workspace de tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: información concreta sobre el problema o incidente, que puede ser de unas pocas frases o de varios párrafos
- Archivos adjuntos: archivos que contienen más información sobre el incidente o el problema y que puedes descargar (si están disponibles)
Nota: Al editar la regla Operaciones de Google, no se puede quitar al superadministrador principal de la lista de destinatarios de las notificaciones por correo electrónico.
La alerta Interrupción de aplicaciones proporciona información sobre una interrupción de uno o varios servicios de Google Workspace que podría afectar a tu organización.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: información concreta sobre el problema o incidente
- Fecha: fecha y hora del evento
- Estado: estado actual de la interrupción del servicio (nueva, en curso o resuelta)
- Detalles: información de la interrupción del servicio, que suele incluir un enlace al panel de estado de Google Workspace
- Servicios afectados: lista de los servicios que se ven afectados
- Próxima actualización de estado: fecha y hora prometida de la siguiente actualización (sujeto a retrasos involuntarios)
- Plazo de resolución esperado: fecha y hora en la que la interrupción debería resolverse o en la que se ha resuelto (si se conoce)
Esta alerta advierte a los administradores sobre posibles ataques respaldados por un Gobierno. Por ejemplo, aunque no es nada común, esta alerta indica si atacantes respaldados por un Gobierno están intentando robar la contraseña de un usuario de tu organización.
Para mejorar aún más la seguridad en tu organización, te recomendamos encarecidamente que cambies las contraseñas de los usuarios afectados, apliques la verificación en dos pasos en tu dominio y requieras que tus usuarios usen llaves de seguridad.
Consulta más información sobre los ataques respaldados por Gobiernos en el artículo Alertas de ataques respaldados por Gobiernos.
En la página Información de la alerta, puedes consultar información importante sobre la alerta:
- Resumen: descripción de la alerta
- Fecha: fecha y hora del evento
- Actor
La alerta Advertencia de suspensión de cuenta proporciona una advertencia sobre las actividades sospechosas que se han detectado en tu cuenta de Google Workspace (o en la de un usuario).
Importante: Si no se ha activado esta alerta en el periodo al que afecta la opción Apelar de la alerta, se suspenderá tu cuenta de Google Workspace.
En la página Información de la alerta, puedes consultar información importante sobre esta alerta:
- Resumen: información concreta sobre el problema o incidente
- Fecha: fecha y hora del evento.
- Tipo de uso inadecuado: tipo de actividad sospechosa detectada
- Producto: es el producto en el que se originó esta alerta
- Acción recomendada: información sobre las acciones recomendadas
Nota: En función del estado de la advertencia, puede que algunos de estos campos no aparezca.
La alerta Aviso de servicio obligatorio de Google es una comunicación necesaria para seguir usando un producto o servicio, o se considera una actualización legal necesaria. Un aviso de servicio obligatorio (MSA) es una notificación obligatoria por contrato sobre productos o funciones de Google Workspace. El aviso está disponible para los administradores principales. Los administradores no pueden dar de baja la recepción de MSAs.
El Centro de alertas incluye cuatro tipos de alertas de MSA:
- Aviso de servicio obligatorio de Google - Producto: información sobre cambios importantes en tu producto o cuenta de Google Workspace.
- Aviso de servicio obligatorio de Google - Seguridad: información sobre cambios importantes en la seguridad de tu producto o cuenta de Google Workspace.
- Aviso de servicio obligatorio de Google - Facturación: información sobre cambios importantes en la facturación de tu producto o cuenta de Google Workspace.
- Aviso de servicio obligatorio de Google - Legal: información sobre cambios legales importantes en tu producto o cuenta de Google Workspace.
En la página Información de alertas, puedes consultar información sobre la alerta Aviso de servicio obligatorio de Google:
- Resumen: incluye el texto del mensaje de alerta
- Fecha: fecha y hora del aviso de servicio obligatorio
La función Aprobaciones de acceso de Google Workspace exige que el personal de Google pueda realizar acciones de asistencia en relación con los datos de tu organización para solicitar aprobación antes de ver los datos de asistencia necesarios.
La alerta Aprobaciones de acceso es una comunicación que indica que un miembro del personal de Google ha solicitado acceso a los datos de Google Workspace de tu organización. Como administrador, puedes aprobar o rechazar la solicitud cuando veas la alerta en el Centro de alertas.
Nota: Para configurar alertas Aprobaciones de acceso y gestionar las solicitudes correspondientes, consulta el artículo Configurar Aprobación de Accesos.
En la página Información de alertas, puedes consultar detalles sobre la alerta Aprobaciones de acceso:
- Resumen: resumen de la alerta.
- Ámbito: indica el nombre de usuario del usuario al que pertenece el recurso al que el miembro del personal de Google intenta acceder.
- Justificación: texto introducido por el miembro del personal de Google que ha solicitado acceso.
- Zona de acceso: zona del usuario que solicita acceso.
- Duración del acceso: tiempo durante el que se solicita acceso (por ejemplo, 5 días).
- Estado: indica si la solicitud está pendiente, aprobada o rechazada.
- Fecha de vencimiento de la solicitud: fecha en la que caduca la solicitud.
- ID de solicitud: cadena de texto que identifica la solicitud de forma única.
En la sección Acción recomendada de la página Información de alertas, puedes aprobar o rechazar la solicitud.
Configurar notificaciones por correo electrónico del Centro de alertas
Además de ver las alertas del centro de alertas en la consola de administración de Google, también puedes configurar las notificaciones por correo electrónico del centro de alertas. Consulta más información e instrucciones en el artículo Configurar notificaciones por correo electrónico del Centro de alertas.
Importante: Al añadir destinatarios a notificaciones por correo electrónico, tienes la opción de añadir grupos. Para asegurarte de que los usuarios ajenos a tu organización puedan enviar notificaciones por correo electrónico al grupo, debes configurar correctamente la configuración de acceso de ese grupo. Para obtener instrucciones, consulta la sección Ver o editar la configuración de acceso de grupos a las notificaciones por correo electrónico.
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.