Ingeniería social: suplantación de identidad (phishing) y sitios engañosos

La ingeniería social es el contenido que engaña a los visitantes para que realicen acciones peligrosas, como revelar información confidencial o descargar software. Si Google detecta que tu sitio presenta contenido de ingeniería social, es posible que el navegador Chrome muestre una advertencia de "Sitio engañoso" cuando un visitante vea tu sitio. Puedes comprobar si se sospecha que alguna página de tu sitio contiene ataques de ingeniería social visitando el Informe de problemas de seguridad en Search Console.

Abrir el informe "Problemas de seguridad"

¿Qué es la ingeniería social?

Un ataque de ingeniería social se produce cuando se engaña a un usuario de la Web para que realice una acción peligrosa en línea.

Existen diferentes tipos de ataques:

  • Suplantación de identidad (phishing): El sitio engaña a los usuarios para que revelen su información personal (como contraseñas, números de teléfono o números de seguridad social). En este caso, el contenido simula el funcionamiento o la apariencia de una entidad confiable (por ejemplo, un navegador, sistema operativo, banco o entidad gubernamental).
  • Contenido engañoso: El contenido intenta engañarte para que realices una acción que solo harías con una entidad confiable, como compartir una contraseña, comunicarte con un equipo de asistencia, descargar software o, si el contenido incluye un anuncio que avisa falsamente que el dispositivo está desactualizado, hacer que los usuarios instalen software no deseado.
  • Servicio de terceros que no tenga las etiquetas necesarias: Un servicio de terceros es un sitio o un servicio que alguien opera en nombre de otra entidad. Si tú (tercero) operas un sitio en nombre de otra parte (propietario) sin aclarar la relación, podría indicarse que en el sitio existe ingeniería social. Por ejemplo, si tú (propietario) operas un sitio web de caridad que utiliza un sitio de administración de donaciones (tercero) a fin de controlar las recaudaciones para el sitio propio, en la página de donación se debe identificar claramente que se trata de una plataforma de un tercero que funciona en nombre de ese sitio de caridad. De lo contrario, se puede considerar un caso de ingeniería social.

La Navegación segura de Google protege a los usuarios web de las amenazas en línea mostrando una advertencia antes de que visiten páginas en las que se registran instancias de ingeniería social de manera constante.

Se considera que una página web utiliza ingeniería social en los siguientes casos:

  • Simula el funcionamiento o la apariencia de una entidad confiable, por ejemplo, tu propio dispositivo o navegador, o bien el sitio mismo.
  • Intenta engañarte para que realices una acción que solo harías con una entidad confiable, como compartir una contraseña, comunicarte con un equipo de asistencia o descargar software.

Ingeniería social en contenido incorporado

La ingeniería social también puede aparecer en contenido que está incorporado en sitios web por lo demás benignos, normalmente en anuncios. El contenido de ingeniería social incorporado es un incumplimiento de políticas de la página de alojamiento.

En algunos casos, los usuarios de la página de alojamiento podrán ver el contenido de ingeniería social incorporado, como se muestra en los ejemplos. En otros casos, el sitio de alojamiento no contiene ningún anuncio visible, pero dirige a los usuarios a páginas de ingeniería social mediante ventanas emergentes, subyacentes o cualquier otro tipo de redireccionamiento. En ambos casos, este tipo de contenido de ingeniería social incorporado se considerará un incumplimiento de políticas de la página de alojamiento.

Yo no uso ingeniería social

Es posible que se incluya contenido engañoso de ingeniería social por medio de recursos incorporados en la página, como imágenes, otros componentes de terceros o anuncios. Este contenido engañoso puede hacer que los usuarios caigan en la trampa de descargar software no deseado.

Además, los hackers pueden tomar el control de sitios inocentes y utilizarlos para alojar o distribuir contenido de ingeniería social. Por ejemplo, pueden cambiar el contenido del sitio o insertar páginas adicionales, en general, con la intención de engañar a los visitantes para que proporcionen información personal, como números de tarjetas de crédito. Puedes descubrir si tu sitio fue identificado como una página que aloja o distribuye contenido de ingeniería social consultando el Informe problemas de seguridad, en Search Console.

Consulta nuestra Ayuda para sitios hackeados si piensas que se vulneró tu sitio.

Ejemplos de incumplimientos asociados a ingeniería social

Ejemplos de contenido engañoso

Estos son algunos ejemplos de páginas que participan en prácticas de ingeniería social:

Ventana emergente de ingeniería social que intenta hacer que el usuario instale una aplicación no deseada
Ventana emergente engañosa que intenta que el usuario instale software malicioso.

Ejemplo de intento de ingeniería social que afirma que es necesario actualizar el navegador
Ventana emergente engañosa que dice ayudar al usuario a actualizar su navegador

Página falsa de acceso a Google
Página falsa de acceso a Google.

Ejemplos de anuncios engañosos

A continuación, se muestran algunos ejemplos de contenido engañoso dentro de anuncios incorporados. Estos anuncios parecen componentes de la interfaz de la página.

Anuncio engañoso que afirma que es una actualización del reproductor multimedia de la página
Ventana emergente engañosa que afirma que el software del usuario está desactualizado.

Anuncio engañoso que afirma que es un instalador para un componente obligatorio
Ventanas emergentes engañosas que dicen provenir de un desarrollador FLV

Anuncios engañosos con apariencia de botones de control de reproducción de la página de alojamiento
Anuncios que se hacen pasar por botones de acción de la página.

Cómo solucionar el problema

Si tu sitio está marcado por contener ingeniería social (contenido engañoso), asegúrate de que en la página no se registre ninguna de estas prácticas y, luego, sigue estos pasos:

  1. Consulta en Search Console.
    • Verifica que seas el propietario de tu sitio en Search Console y que no se hayan agregado propietarios sospechosos nuevos.
    • Consulta el Informe de problemas de seguridad para saber si se indica que tu sitio incluye contenido engañoso (el término del informe para referirse a la ingeniería social). Si el informe contiene URLs marcadas de muestra, visita algunas de ellas, pero usa una computadora que no esté dentro de la red que publica tu sitio web (los hackers astutos pueden inhabilitar sus ataques si creen que el usuario que visita el sitio es el propietario).

      Si en el informe no hay URLs de muestra y estás seguro de que tu sitio no contiene ingeniería social (contenido engañoso), solicita una revisión de seguridad en el Informe de problemas de seguridad.

  2. Quita el contenido engañoso. Asegúrate de que ninguna página de tu sitio tenga contenido engañoso. Si consideras que la Navegación segura clasificó una página web por error, infórmalo.
  3. Verifica los recursos de terceros que incluye tu sitio. Asegúrate de que ningún anuncio, imagen ni recurso de terceros incorporado en las páginas de tu sitio sea engañoso.
    • Ten en cuenta que las redes de anuncios pueden rotar los anuncios que se muestran en las páginas de tu sitio. Por lo tanto, es posible que debas actualizar una página algunas veces para que puedas ver anuncios de ingeniería social.
    • Algunos anuncios pueden tener apariencias diferentes en dispositivos móviles y computadoras de escritorio. Con la Herramienta de inspección de URLs, puedes ver las versiones para dispositivos móviles y para computadoras de escritorio de tu sitio.
    • Sigue los lineamientos sobre servicios de terceros con relación a cualquier servicio de este tipo, como los de pagos, que utilices en tu sitio.
  4. Solicita una revisión. Una vez que hayas quitado todo el contenido de ingeniería social de tu sitio, solicita una revisión de seguridad en el informe "Problemas de seguridad". La revisión puede tardar varios días en completarse.

Guía de servicios de terceros

Si incluyes un servicio de un tercero en tu sitio, te recomendamos que cumplas con las siguientes condiciones para evitar que se etiquete como ingeniería social:

  • En cada página, el sitio del tercero debe incluir claramente la marca del tercero de una manera que garantice que los usuarios entiendan quién es el que opera el sitio. Por ejemplo, colocando la marca del tercero en la parte superior de la página.
  • En cada página que contenga la marca propia, indica de manera explícita la relación entre propietario y tercero, y proporciona un vínculo en el que pueda obtenerse más información. Por ejemplo, puedes usar un enunciado como este:

    Example.com aloja este sitio en nombre de Example.beneficencia.com. Obtén más información.

Una buena pauta de usabilidad es si el usuario que ve la página suelta entiende en qué sitio se encuentra y cuál es la relación entre el propietario y el tercero en todo momento.

Si eres usuario de Search Console y tienes problemas de seguridad persistentes o que no se pueden resolver en tu sitio, puedes informarnos al respecto.

Informar un problema de seguridad