Software malicioso y software no deseado

Google analiza los sitios web para detectar si tienen software o archivos ejecutables que se puedan descargar y que puedan afectar negativamente a la experiencia del usuario. El software malicioso y el no deseado son binarios que se pueden descargar o aplicaciones que se ejecutan en sitios web y afectan a sus visitantes. En el informe Problemas de seguridad, puedes ver la lista de los archivos sospechosos alojados en tu sitio.

¿Qué es el software malicioso?

El software malicioso es cualquier software o aplicación móvil que se haya diseñado específicamente para perjudicar a los usuarios o dañar los ordenadores, los dispositivos móviles o el software que se ejecute en ellos. Este tipo de software realiza acciones maliciosas, como instalar programas dañinos (por ejemplo, virus) o software sin el consentimiento de los usuarios. A veces, los propietarios de sitios web no se dan cuenta de que sus archivos descargables se consideran software malicioso, por lo que quizá alojen esos binarios sin saberlo.

¿Qué es el software no deseado?

El software no deseado son archivos ejecutables o aplicaciones móviles que se comportan de manera engañosa o inesperada, o que perjudican de otro modo a los usuarios cuando navegan o utilizan sus dispositivos. Por ejemplo, software que provoca cambios en la página principal o en otros ajustes del navegador sin que lo solicites, o aplicaciones que filtran información privada o personal sin avisarte.

Para obtener más información sobre cómo protege Google a los usuarios frente al software no deseado, consulta la entrada sobre la advertencia que indica que no es la descarga que buscas del blog sobre seguridad online de Google.

Solucionar el problema

Comprueba que tu sitio o aplicación siga las directrices y, a continuación, solicita una revisión con el informe Problemas de seguridad.

Si en tu aplicación móvil aparecen advertencias, puedes presentar una apelación.

Directrices

Comprueba que no infrinjas la Política de Software No Deseado y sigue las directrices que se indican en este artículo. La lista de directrices que se incluye no es exhaustiva, pero recoge comportamientos que, de producirse, pueden hacer que se muestren advertencias a los usuarios que descarguen tu aplicación o visiten tu sitio. En el informe "Problemas de seguridad", puedes ver una lista de los archivos sospechosos alojados en tu sitio.

No distorsiones la realidad

  • Explica de forma clara a los usuarios para qué sirve el software. Los usuarios tienen que poder descargar el software deliberadamente haciendo clic en un anuncio en el que se indique claramente qué van a descargar. Los anuncios que lleven a los usuarios a descargar el software no deben ser engañosos ni contener información inexacta, como en los siguientes casos:
    • El anuncio solo contiene las palabras "Descargar" o "Reproducir" sin información del software anunciado.
    • El anuncio contiene un botón "Reproducir" que en realidad activa una descarga.
    • El aspecto del anuncio es similar al del sitio web del editor y se indica que se ofrece contenido (por ejemplo, una película), cuando en realidad lleva a software sin relación con el anuncio.
    • Consulta información sobre ingeniería social en nuestro blog de seguridad online.
  • Ofrece lo anunciado. Tienes que informar claramente sobre la función e intenciones del programa. Si tu software recoge datos de los usuarios o inserta anuncios en su navegador, notifícalo de forma clara y no intentes ocultar esta información como si fuera algo sin importancia.
  • Explica a los usuarios de forma clara y explícita qué cambios hará tu software en el navegador y en el sistema. Permite que los usuarios revisen y aprueben todas las opciones de instalación, así como todos los cambios importantes. La interfaz de usuario principal del programa debe mostrar claramente los componentes del binario y sus funciones principales. El binario tiene que ofrecer a los usuarios una forma fácil de saltarse la instalación de componentes incluidos. Por ejemplo, no se consideran técnicas aceptables ocultar estas opciones o incluirlas en texto apenas visible.
  • Usa recomendaciones de terceros solo si tienes la autorización correspondiente. No uses logotipos de otras empresas ni del Gobierno para validar o recomendar un producto si no cuentas con autorización para hacerlo.
  • No asustes a los usuarios. No se debe dar información falsa sobre el estado del equipo de los usuarios mediante el software. Por ejemplo, no se debe afirmar que el sistema tiene problemas de seguridad graves o que está infectado por virus. Tampoco hay que indicar que el software ofrece un servicio que no proporciona o que no puede prestar, como aumentar la velocidad del ordenador. Por ejemplo, no se debe anunciar que cierto software de limpieza o de optimización de ordenadores es "gratuito" si es necesario pagar por los servicios y los componentes anunciados.

Directrices de software

  • Usa la API de Ajustes de Google si tu programa cambia ajustes de Chrome. Cualquier cambio en los ajustes de búsqueda predeterminados, en la página de inicio o en la página de nueva pestaña de los usuarios debe hacerse por medio de la API Settings Override de Chrome. Para utilizarla se necesita una extensión de Chrome, que debe instalarse cumpliendo las políticas correspondientes.
  • Permite que los cuadros de diálogo del navegador y del sistema operativo adviertan a los usuarios. No inhabilites las alertas del navegador ni del sistema operativo, especialmente si informan a los usuarios de que va a haber cambios en ellos.
  • Te recomendamos que firmes tu código. Aunque el hecho de que un binario no esté firmado no es motivo para clasificarlo como software no deseado, recomendamos que los programas tengan una firma de código válida y verificada emitida por una autoridad de firma de código en la que se muestre información verificable del editor.
  • No rebajes las medidas de protección y seguridad que ofrecen las conexiones TLS/SSL. Las aplicaciones no deberían instalar certificados de autoridad o certificados raíz, así como tampoco interceptar conexiones SSL/TLS, salvo que esta operación la hagan expertos para depurar o analizar el software. Consulta más información en la entrada correspondiente del blog de seguridad de Google.
  • Protege los datos de los usuarios. El software, incluidas las aplicaciones móviles, solo debe compartir datos privados de los usuarios con los servidores en la medida en que sea necesario para que las aplicaciones funcionen. Además, se debe informar al usuario de estas transferencias de datos, que siempre deben estar cifradas.
  • No causes daños. Tu binario debe respetar la experiencia de navegación de los usuarios, y no empeorarla. Los binarios descargables deben cumplir las siguientes políticas habituales:
    • No modifiques la función para restablecer el navegador. Consulta más información sobre el botón para restablecer la configuración del navegador de Chrome.
    • No evites ni suprimas los controles de la interfaz del navegador o del sistema operativo para cambiar la configuración. Tu programa debe advertir adecuadamente a los usuarios de los cambios en la configuración del navegador y permitirles controlar dichos cambios. Si necesitas cambiar ajustes de Chrome, usa la API Settings. Consulta más información en esta entrada del blog de Chromium.
    • Usa una extensión para cambiar funciones de Google Chrome. Procura no modificar el comportamiento del navegador con otras herramientas de programación. Por ejemplo, tu programa no debe insertar anuncios en el navegador mediante archivos DLL (bibliotecas de enlace dinámico). Tampoco debe implementar servidores proxy que intercepten tráfico, utilizar proveedores de servicios por niveles para interceptar acciones de los usuarios ni insertar una nueva interfaz en cada página web modificando el binario de Chrome.
    • Las descripciones de tus productos y componentes no deben asustar a los usuarios ni hacer afirmaciones falsas o engañosas. Por ejemplo, el producto no debe afirmar, si no es verdad, que el sistema tiene problemas de seguridad graves o que contiene virus. Los programas (como los limpiadores de registros) no deben mostrar mensajes alarmantes sobre el estado del ordenador o el dispositivo de un usuario, ni afirmar que pueden optimizar su equipo.
    • El proceso de desinstalación debe ser sencillo, fácil de encontrar y no resultar intimidatorio. Tu programa debe incluir instrucciones debidamente etiquetadas para recuperar la configuración anterior del navegador o del sistema. La herramienta para desinstalar tu programa debe quitar todos los componentes sin disuadir a los usuarios de continuar con el proceso. Por ejemplo, si un usuario decide desinstalar tu programa, no se deben alegar posibles efectos perjudiciales para el sistema o la privacidad del usuario.
  • Evita las malas compañías. Si tu software incluye otros componentes, debes asegurarte de que ninguno infrinja las recomendaciones que acabamos de explicar.

Directrices de la extensión de Chrome

  • Todas las extensiones deben notificarse e instalarse en Chrome de modo que cumplan las políticas correspondientes. Además, tienen que alojarse en Chrome Web Store, estar inhabilitadas de forma predeterminada y cumplir las políticas de Chrome Web Store (incluida la de finalidad única). En el caso de las extensiones que instalan desde un programa, se debe seguir el proceso de instalación de extensiones autorizado de Chrome, que solicita a los usuarios que las habiliten una vez instaladas en este navegador. Las extensiones no deben bloquear los cuadros de diálogo de Chrome que advierten a los usuarios de que se van a cambiar ajustes.
    Ventana emergente de Chrome en la que se solicita aprobación para instalar una extensión.
  • Indica a los usuarios cómo se desinstalan las extensiones de Chrome. Para ofrecer una buena experiencia de usuario, cuando se desinstala un programa, también deberían desinstalarse todos los componentes adicionales que se instalaron con él. En el proceso de desinstalación, hay que explicar a los usuarios los pasos que deben seguir para inhabilitar y eliminar tu extensión por su cuenta.
  • Si tu binario instala un complemento en el navegador o cambia su configuración predeterminada, debe seguir un flujo de instalación compatible con el navegador y usar la API. Por ejemplo, si tu binario instala una extensión de Chrome, esta tiene que estar alojada en Chrome Web Store y cumplir las Políticas del Programa para Desarrolladores de Chrome. Se considerará que tu binario es software malicioso si instala una extensión de Chrome de un modo que infrinja la Política de Opciones Alternativas de Distribución de Extensiones de Chrome.

Directrices sobre las aplicaciones móviles

  • Informa a los usuarios de que vas a recoger sus datos. Informa a tus usuarios de que vas a recoger sus datos, incluidos los datos de cuentas de terceros, del correo electrónico, del número de teléfono, de aplicaciones instaladas y de archivos guardados en el dispositivo móvil, y dales la oportunidad de aceptarlo antes de empezar. Gestiona de forma segura los datos sensibles o personales que recojas, lo que incluye transmitirlos usando técnicas criptográficas modernas, como HTTPS. Si tu aplicación no está alojada en Google Play, debes informar a los usuarios en la misma aplicación de que vas a recoger sus datos. Si lo está, avisa a los usuarios de un modo que cumpla la política de Play. No recojas más datos de los que se necesitan según el uso publicado de la aplicación.

  • No suplantes la identidad de otra marca o aplicación. No utilices imágenes ni diseños parecidos a los de otras marcas o aplicaciones de forma indebida o sin autorización de un modo que pueda confundir a los usuarios.
  • Mantén todo el contenido en el contexto de la aplicación. Las aplicaciones no deben causar interferencias en otras aplicaciones ni en la usabilidad de los dispositivos. Tampoco deben mostrar a los usuarios anuncios ni contenido adicional fuera del contexto o función propios de la aplicación sin que los usuarios hayan dado su consentimiento después de haberles proporcionado toda la información necesaria. Debe indicarse claramente de dónde provienen los anuncios que aparecen.
  • Las aplicaciones deben cumplir lo prometido. Es decir, tienen que ofrecer todas las funciones anunciadas. Pueden actualizar su contenido, pero no deben descargar aplicaciones adicionales sin el consentimiento informado de los usuarios.
  • Las aplicaciones deben ser transparentes. Las aplicaciones no deben desinstalar ni sustituir otras aplicaciones ni sus accesos directos si no están diseñadas para realizar dichas tareas. Además, su desinstalación debe ser sencilla y completa, y sus mensajes no deben parecerse a los del sistema operativo ni a los de otras aplicaciones.

Las aplicaciones que se distribuyen mediante Google Play deben cumplir las Políticas del Programa para Desarrolladores y el Acuerdo de Distribución para Desarrolladores, que incluyen requisitos adicionales.

Si utilizas Search Console y en tu sitio hay problemas de seguridad persistentes o que no puedes solucionar, ponte en contacto con nosotros.

Notifica un problema de seguridad