Software malicioso y software no deseado

Google analiza los sitios web para detectar si tienen software o archivos ejecutables que se puedan descargar y que puedan afectar negativamente a la experiencia de usuario. En el informe "Problemas de seguridad", puedes ver la lista de los archivos sospechosos alojados en tu sitio.

Introducción

El software malicioso y el no deseado son binarios que se pueden descargar o aplicaciones que se ejecutan en sitios web y afectan a sus visitantes.

¿Qué es el software malicioso?

El software malicioso es cualquier software o aplicación móvil que se haya diseñado específicamente para perjudicar a los usuarios o dañar los ordenadores, los dispositivos móviles o el software que se ejecute en ellos. Este tipo de software realiza acciones maliciosas, como instalar programas dañinos (por ejemplo, virus) o software sin el consentimiento de los usuarios. A veces, los propietarios de sitios web no se dan cuenta de que sus archivos descargables se consideran software malicioso, por lo que quizá alojen esos binarios sin saberlo.

  • Consulta el artículo Protecting users from malicious downloads (Cómo proteger a los usuarios de las descargas maliciosas) en el blog sobre seguridad online de Google para obtener más información sobre las medidas que toma Google para proteger a los usuarios contra dicho tipo de descargas.
  • Consulta la Política de Software No Deseado para obtener información sobre nuestros criterios en relación con el software seguro en la Web.

¿Qué es el software no deseado?

El software no deseado son archivos ejecutables o aplicaciones móviles que se comportan de manera engañosa o inesperada, o que perjudican de otro modo a los usuarios cuando navegan o utilizan sus dispositivos. Por ejemplo, software que provoca cambios en la página principal o en otros ajustes del navegador sin que lo solicites, o aplicaciones que filtran información privada o personal sin avisarte.

  • Consulta el artículo That's not the download you're looking for... (Esta no es la descarga que buscas) del blog sobre seguridad online de Google para obtener más información sobre cómo protege Google a los usuarios del software no deseado.

Directrices

Comprueba que no infrinjas la Política de Software No Deseado y sigue las directrices que se indican en este artículo. La lista de directrices que se incluye a continuación no es exhaustiva, pero recoge comportamientos que, de producirse, pueden hacer que se muestren advertencias a los usuarios que descarguen tu aplicación o visiten tu sitio. En el informe "Problemas de seguridad", puedes ver la lista de los archivos sospechosos alojados en tu sitio.

No distorsiones la realidad
  • Explica de forma clara a los usuarios para qué sirve el software. Los usuarios deberían descargar el software deliberadamente haciendo clic en un anuncio en el que se indique claramente qué van a descargar. Los anuncios que lleven a los usuarios a descargar el software no deben ser engañosos ni contener información inexacta, como en los siguientes casos:
    • El anuncio solo contiene las palabras "Descargar" o "Reproducir" sin información del software anunciado.
    • El anuncio contiene un botón "Reproducir" que en realidad activa una descarga.
    • El aspecto del anuncio es similar al del sitio web del editor y se indica que se ofrece contenido (por ejemplo, una película), cuando en realidad lleva a software sin relación con el anuncio.
    • Consulta información sobre la ingeniería social en nuestro blog de seguridad online.
  • Ofrece lo anunciado. Se debería informar claramente sobre la función e intenciones del programa. Si tu software recoge datos del usuario o genera anuncios en su navegador, notifícalo de forma clara y no intentes ocultar esta información como si fuera algo sin importancia.
  • Explica a los usuarios de forma clara y explícita qué cambios hará tu software en el navegador y en el sistema. Permite que los usuarios revisen y aprueben todas las opciones de instalación, así como todos los cambios importantes. La interfaz de usuario principal del programa debe mostrar claramente los componentes del binario y sus funciones principales. El binario debe ofrecer a los usuarios una forma fácil de impedir la instalación de componentes agrupados. Por ejemplo, no se consideran técnicas aceptables ocultar estas opciones o incluirlas en texto apenas visible.
  • Usa recomendaciones de terceros solo si tienes la autorización correspondiente. No uses logotipos de otras empresas ni de un Gobierno para validar o recomendar un producto si no tienes la autorización para hacerlo.
  • No asustes a los usuarios. No se debería dar información falsa sobre el estado del equipo del usuario mediante el software. Por ejemplo, no debería afirmarse que el sistema tiene problemas de seguridad graves o que se ha infectado con virus. No se debe indicar que el software ofrece un servicio que no proporciona o que no puede prestar, como aumentar la velocidad de su ordenador. Por ejemplo, no se debe anunciar que cierto software de limpieza o de optimización de ordenadores es gratuito si es necesario pagar por los servicios y los componentes anunciados.
Directrices sobre el software
  • Usa la API de Ajustes de Google si tu programa cambia ajustes de Chrome. Para hacer cambios en los ajustes de búsqueda predeterminados, en la página de inicio o en la página de pestaña nueva de los usuarios, hay que utilizar la API Settings Override de Chrome; para emplearla, hay que usar una extensión de Chrome, que debe instalarse cumpliendo las políticas correspondientes.
  • Permite que los cuadros de diálogo del navegador y del sistema operativo adviertan a los usuarios. No inhabilites las alertas del navegador ni del sistema operativo, especialmente si informan a los usuarios de que va a haber cambios en ellos.
  • Te recomendamos que firmes tu código. Aunque el hecho de que un binario no esté firmado no es motivo para clasificarlo como software no deseado, recomendamos que los programas tengan una firma de código válida y verificada emitida por una autoridad de firma de código en la que se muestre información verificable del editor.
  • No rebajes las medidas de protección y seguridad que ofrecen las conexiones TLS/SSL. Las aplicaciones no deberían instalar certificados de autoridad o certificados raíz, así como tampoco interceptar conexiones SSL/TLS, salvo que esta operación la realicen expertos para depurar o analizar el software. Consulta más información en la entrada correspondiente del blog de seguridad de Google.
  • Protege los datos de los usuarios. El software, incluidas las aplicaciones móviles, solo debe compartir datos privados de los usuarios con los servidores en la medida en que sea necesario para que las aplicaciones funcionen. Además, se debe informar al usuario de estas transferencias de datos, que siempre deben estar cifradas.
  • No causes daños. Tu binario debe respetar la experiencia de navegación de los usuarios, y no empeorarla. Los binarios descargables deben cumplir las siguientes políticas habituales:
    • No afectar a la función para restablecer el navegador. Consulta más información sobre el botón para restablecer la configuración del navegador Chrome.
    • No saltarse ni suprimir los controles de la interfaz del navegador o del sistema operativo para cambiar la configuración. Tu programa debe advertir adecuadamente a los usuarios de los cambios en la configuración del navegador y permitirles controlar dichos cambios. Puedes cambiar ajustes de Chrome con la API Settings. Consulta más información en esta entrada del blog de Chromium.
    • Utiliza una extensión para cambiar funciones de Google Chrome. Procura no modificar el comportamiento del navegador con otras herramientas de programación. Por ejemplo, tu programa no debe utilizar archivos DLL (bibliotecas de enlace dinámico) para insertar anuncios en el navegador; tampoco debe implementar servidores proxy que intercepten tráfico, emplear proveedores de servicios por niveles para interceptar acciones de los usuarios, ni insertar una nueva interfaz en cada página web modificando el binario de Chrome.
    • Las descripciones de tus productos y componentes no deben asustar a los usuarios ni hacer afirmaciones falsas o engañosas. Por ejemplo, el producto no debe afirmar, si no es verdad, que el sistema tiene problemas de seguridad graves o que contiene virus. Los programas (como los limpiadores de registros) no deben mostrar mensajes alarmantes sobre el estado del ordenador o el dispositivo de un usuario ni afirmar que pueden optimizar su equipo.
    • El proceso de desinstalación debe ser sencillo, fácil de encontrar y no resultar intimidatorio. Tu programa debe incluir instrucciones marcadas de forma clara para recuperar la configuración anterior del navegador o del sistema. El programa de desinstalación debe quitar todos los componentes sin disuadir al usuario de continuar con el proceso. Por ejemplo, en caso de que el software se desinstale, no se deben alegar posibles efectos perjudiciales para el sistema o la privacidad del usuario.
  • Evita las malas compañías. Si tu software incluye otros componentes, tienes la responsabilidad de asegurarte de que ninguno infrinja las recomendaciones que acabamos de explicar.
Directrices sobre las extensiones de Chrome
  • Todas las extensiones deben notificarse e instalarse en Chrome de modo que cumplan las políticas correspondientes. Además, tienen que alojarse en Chrome Web Store, estar inhabilitadas de forma predeterminada y cumplir las políticas de Chrome Web Store (incluida la de finalidad única). En el caso de las extensiones instaladas desde un programa, se debe seguir el proceso de instalación de extensiones autorizado de Chrome, por lo que se debe solicitar a los usuarios que las habiliten en el navegador. Las extensiones no deben bloquear los cuadros de diálogo de Chrome que advierten a los usuarios de que se van a cambiar ajustes.
    Ventana emergente de Chrome en la que se solicita aprobación para instalar una extensión.
  • Indica a los usuarios cómo se desinstalan las extensiones de Chrome. Para ofrecer una buena experiencia de usuario, cuando se desinstala un programa, también deberían desinstalarse todos los componentes adicionales que se instalaron con él. En el proceso de desinstalación deberían explicarse los pasos que deben seguir los usuarios para inhabilitar y eliminar tu extensión por su cuenta.
  • Si tu binario instala un complemento en el navegador o cambia su configuración predeterminada, debe seguir un flujo de instalación compatible con el navegador y usar la API. Por ejemplo, si tu binario instala una extensión de Chrome, esta tiene que estar alojada en Chrome Web Store y cumplir las Políticas del Programa para Desarrolladores de Google. Se considerará que tu binario es software malicioso si instala una extensión de Chrome de un modo que infrinja la Política de Opciones Alternativas de Distribución de Extensiones de Chrome.
Directrices sobre aplicaciones móviles
  • Informa a los usuarios de que vas a recoger sus datos, incluidos datos de cuentas de terceros, del correo, del número de teléfono, de aplicaciones instaladas y de archivos guardados en su dispositivo móvil, y dales la oportunidad de aceptarlo antes de empezar. Los datos de usuario personales o sensibles que se recojan deben tratarse de forma segura y transmitirse con métodos de cifrado modernos, como el HTTPS. Si tu aplicación no está alojada en Google Play, debes informar a los usuarios de que vas a recoger sus datos en la misma aplicación; si lo está, avisa a los usuarios de un modo que cumpla la política de Play. No recojas más datos de los que se necesitan según el uso publicado de la aplicación.

  • No suplantes la identidad de otra marca o aplicación. No utilices imágenes ni diseños parecidos a los de otras marcas o aplicaciones de forma indebida o sin autorización de un modo que pueda confundir a los usuarios.
  • Mantén todo el contenido en el contexto de la aplicación. Las aplicaciones no deben causar interferencias en otras aplicaciones ni en la usabilidad de los dispositivos. Tampoco deben mostrar a los usuarios anuncios ni contenido adicional fuera del contexto o función propios de la aplicación sin que los usuarios hayan dado su consentimiento después de haberles proporcionado toda la información necesaria. Debe indicarse claramente de dónde provienen los anuncios que aparecen.
  • Las aplicaciones deben cumplir lo prometido. Es decir, tienen que ofrecer todas las funciones anunciadas. Pueden actualizar su contenido, pero no deben descargar aplicaciones adicionales sin el consentimiento informado de los usuarios.
  • Las aplicaciones deben ser transparentes. No pueden desinstalar ni sustituir otras aplicaciones ni sus accesos directos, salvo que esa sea su finalidad anunciada. Además, su desinstalación debe ser sencilla y completa, y sus mensajes no deben parecerse a los del sistema operativo ni a los de otras aplicaciones.

Las aplicaciones que se distribuyen mediante Google Play deben cumplir las Políticas del Programa para Desarrolladores y el Acuerdo de Distribución para Desarrolladores, que incluyen requisitos adicionales.

Solucionar el problema

Comprueba que tu sitio o aplicación siga las directrices que se indican más arriba y, a continuación, solicita una revisión con el informe Problemas de seguridad.

Si en tu aplicación móvil aparecen advertencias, consulta más información sobre la verificación de aplicaciones y las apelaciones.