Ingeniería social (sitios web engañosos y de phishing)

La ingeniería social consiste en contenido que pretende engañar a los visitantes para que realicen una acción peligrosa, como revelar información confidencial o descargar software. Si Google detecta que en tu sitio web hay contenido de ingeniería social, mostrará una advertencia de sitio web engañoso en el navegador Chrome cuando los visitantes accedan a él. Puedes comprobar si en tu sitio web hay páginas sospechosas de contener ataques de ingeniería social en el informe "Problemas de seguridad".

Descripción general

¿Qué es la ingeniería social?

Un ataque de ingeniería social consiste en engañar al usuario para que realice una acción peligrosa online.

Estos ataques pueden ser de varios tipos:

  • Phishing: los sitios web de suplantación de identidad (phishing) engañan a los usuarios para que revelen información personal, como contraseñas, números de teléfono o números de tarjetas de crédito. Para conseguirlo, se intenta que el contenido parezca que proviene de una entidad de confianza, como un navegador, un sistema operativo, un banco o un organismo público.
  • Contenido engañoso: contenido que intenta engañar a los usuarios para que hagan algo que solo harían con una entidad de confianza, como compartir contraseñas, llamar al equipo de asistencia técnica o descargar software. También puede ser contenido que incluye anuncios que afirman que el software del dispositivo está obsoleto y tratan de que los usuarios instalen software no deseado.
  • Servicios de terceros sin indicadores claros y visibles: se consideran servicios de terceros aquellas entidades que gestionan sitios o servicios en nombre de otra entidad. Si gestionas un sitio web en nombre de otra persona o entidad, pero no dejas clara esta relación, es posible que se marque esta situación como ingeniería social. Por ejemplo, si tienes un sitio web de una organización benéfica y las donaciones se gestionan a través de otro sitio web (de terceros), en ese sitio web se debe informar claramente de que actúa en nombre del tuyo, ya que de no hacerlo puede que se marque como ingeniería social.

Los internautas pueden protegerse de la ingeniería social activando la función Navegación segura de Google, que les advertirá si intentan acceder a páginas que suelen emplear esta técnica.

Las páginas web se consideran de ingeniería social cuando en ellas se da alguna de estas situaciones:

  • Se pretende suplantar a una entidad de confianza, como tu dispositivo o tu navegador, o el sitio web en sí.
  • Se intenta incitar al usuario a hacer algo que solo haría ante una entidad de confianza, como compartir contraseñas, llamar al servicio técnico o descargar software.

Ingeniería social en contenido insertado

La ingeniería social también puede aparecer en el contenido que se inserta en los sitios web que son benignos; normalmente, en los anuncios. El contenido de ingeniería social insertado constituye una infracción de las políticas por parte de la página que lo aloja.

En ocasiones, el contenido de ingeniería social insertado será visible para los usuarios de la página que lo aloja, como se muestra en los ejemplos siguientes. En otros casos, el sitio web que aloja el contenido no contendrá anuncios visibles, pero llevará a los usuarios a páginas de ingeniería social mediante ventanas emergentes, ventanas subyacentes u otros tipos de redireccionamiento. En ambos casos, este tipo de contenido de ingeniería social insertado constituirá una infracción de las políticas por parte de la página de que lo aloje.

¡Pero si no yo no me dedico a la ingeniería social!

El contenido engañoso de ingeniería social puede estar en recursos incluidos en la página, como imágenes, otros componentes de terceros o anuncios. Es posible que este contenido se use para intentar convencer a los visitantes del sitio web de que descarguen software no deseado.

Además, los hackers pueden hacerse con el control de los sitios web y aprovecharlos para alojar o distribuir contenido de ingeniería social. Un hacker puede cambiar el contenido del sitio web o añadir páginas, a menudo con la intención de engañar a los visitantes para que faciliten información personal, como sus números de tarjeta de crédito. Puedes comprobar si en tu sitio web se aloja o distribuye contenido de ingeniería social consultando el informe "Problemas de seguridad" de Search Console.

Si crees que han pirateado tu sitio web, consulta la sección Ayuda para sitios web pirateados.

Ejemplos de infracciones de ingeniería social

Ejemplos de contenido engañoso

A continuación se dan algunos ejemplos de páginas que emplean técnicas de ingeniería social:

Ventana emergente de ingeniería social que intenta que los usuarios instalen una aplicación no deseada.
Ventana emergente engañosa que intenta confundir al usuario para que instale software malicioso.
Ejemplo de intento de ingeniería social que afirma que se debe actualizar el navegador
Ventana emergente engañosa que aparenta ayudar al usuario a actualizar su navegador.
Página de inicio de sesión de Google falsa. Si te fijas, verás que la URL está falsificada. En otros sitios web de phishing como este pueden intentar que introduzcas otro tipo de información personal, como los datos de tu tarjeta de crédito. El aspecto de este tipo de sitios web puede ser idéntico al de los reales, así que debes comprobar que la dirección empiece por https:// y que la URL de la barra de direcciones sea la correcta

Ejemplos de publicidad engañosa

A continuación se muestran algunos ejemplos de contenido engañoso insertado en anuncios. Anuncios como estos no parecen publicidad, ya que no desentonan con la interfaz de la página.

Anuncio engañoso que se hace pasar por una actualización del reproductor multimedia de la página.
Ventana emergente engañosa que afirma que el software del usuario se ha quedado obsoleto.
Anuncio engañoso que afirma ser un instalador de un componente obligatorio.
Ventana emergente engañosa que parece ser del desarrollador de FLV
Anuncios engañosos que aparentan ser botones para controlar la reproducción en la página donde se alojan los vídeos.
Anuncios que simulan ser botones de acción en la página.

Solucionar el problema

Si en tu sitio web se detecta contenido de ingeniería social (es decir, contenido engañoso), comprueba que en ninguna de tus páginas ocurre nada de lo indicado más arriba y, a continuación, sigue estos pasos:

  1. Visita Search Console.
    • Verifica que eres el propietario del sitio web en Search Console y comprueba que no se hayan añadido propietarios sospechosos.
    • Consulta el informe "Problemas de seguridad" para ver si en tu sitio web se ha detectado contenido engañoso, que es el término que se utiliza en el informe para hacer referencia a la ingeniería social. Visita algunas de las URL de ejemplo que aparecen marcadas con problemas en el informe, pero hazlo con un ordenador que no forme parte de la red desde la que sirves tu sitio web, ya que los hackers más inteligentes pueden desactivar sus ataques si detectan que el visitante es un propietario del sitio web.
  2. Elimina el contenido engañoso. Comprueba que no haya contenido engañoso en ninguna de tus páginas. Si crees que Navegación Segura se ha equivocado al clasificar una página web, notifícalo.
  3. Comprueba los recursos de terceros incluidos en tu sitio web. Asegúrate de que los anuncios, las imágenes y otros recursos de terceros insertados en las páginas de tu sitio web no sean engañosos.
    • Ten en cuenta que las redes publicitarias pueden mostrar anuncios distintos en diferentes páginas de tu sitio web. Por lo tanto, tienes que actualizar la página unas cuantas veces para ver si aparecen anuncios de ingeniería social.
    • Algunos anuncios pueden mostrarse de forma distinta en dispositivos móviles y en ordenadores. Con la herramienta de inspección de URLs, puedes ver tu sitio web tal como se vería desde dispositivos móviles o desde ordenadores.
    • Si quieres incluir en tu sitio web un servicio de terceros (por ejemplo, de pago), sigue las directrices que se describen más adelante sobre este tipo de servicios.
  4. Solicita una revisión. Después de eliminar todo el contenido de ingeniería social de tu sitio web, solicita una revisión de seguridad mediante el informe "Problemas de seguridad". Las revisiones pueden tardar varios días en completarse.

Directrices sobre servicios de terceros

Si incluyes un servicio de terceros en tu sitio web, asegúrate de cumplir las condiciones que se indican a continuación; de lo contrario, es posible que se marque el sitio web como ingeniería social.

  • Los sitios web de terceros deben incluir su marca en todas las páginas de los sitios web con los que colaboren para que los usuarios comprendan quién se encarga de gestionarlos. Por ejemplo, pueden incluir su marca en la parte superior de las páginas.
  • En todas las páginas que contengan la marca del sitio web principal, se debe explicar de manera clara la relación entre ambas partes e incluir un enlace con más información. Por ejemplo, se puede añadir el siguiente mensaje:

Este servicio está alojado por Example.com en nombre de Example.charities.com. Consulta más información

Pregúntate si los usuarios que acceden a una página sin contexto pueden saber en qué sitio web están y comprender la relación entre ambas partes. Si la respuesta es afirmativa, tu sitio web es lo suficientemente transparente.

Práctica recomendada: Si necesitas que un tercero preste un servicio de asistencia básico en tu sitio web, te recomendamos que elijas uno que cuente con una certificación estándar del sector. Por ejemplo, si quieres gestionar la autenticación de los usuarios de tu sitio web, es mejor hacerlo mediante OAuth que por tu cuenta.