Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Ingeniería social: suplantación de identidad (phishing) y sitios engañosos
La ingeniería social es el contenido que engaña a los visitantes para que realicen acciones peligrosas, como revelar información confidencial o descargar software. Si Google detecta que tu sitio presenta contenido de ingeniería social, es posible que el navegador Chrome muestre una advertencia de "Sitio engañoso" cuando un visitante vea tu sitio. Puedes comprobar si se sospecha que alguna página de tu sitio contiene ataques de ingeniería social visitando el Informe de problemas de seguridad en Search Console.
Un ataque de ingeniería social se produce cuando se engaña a un usuario de la Web para que realice una acción peligrosa en línea.
Existen diferentes tipos de ataques:
Suplantación de identidad (phishing): El sitio engaña a los usuarios para que revelen su información personal (como contraseñas, números de teléfono o números de seguridad social). En este caso, el contenido simula el funcionamiento o la apariencia de una entidad confiable (por ejemplo, un navegador, sistema operativo, banco o entidad gubernamental).
Contenido engañoso: El contenido intenta engañarte para que realices una acción que solo harías con una entidad confiable, como compartir una contraseña, comunicarte con un equipo de asistencia, descargar software o, si el contenido incluye un anuncio que avisa falsamente que el dispositivo está desactualizado, hacer que los usuarios instalen software no deseado.
Servicio de terceros que no tenga las etiquetas necesarias: Un servicio de terceros es un sitio o un servicio que alguien opera en nombre de otra entidad. Si tú (tercero) operas un sitio en nombre de otra parte (propietario) sin aclarar la relación, podría indicarse que en el sitio existe ingeniería social. Por ejemplo, si tú (propietario) operas un sitio web de caridad que utiliza un sitio de administración de donaciones (tercero) a fin de controlar las recaudaciones para el sitio propio, en la página de donación se debe identificar claramente que se trata de una plataforma de un tercero que funciona en nombre de ese sitio de caridad. De lo contrario, se puede considerar un caso de ingeniería social.
La Navegación segura de Google protege a los usuarios web de las amenazas en línea mostrando una advertencia antes de que visiten páginas en las que se registran instancias de ingeniería social de manera constante.
Se considera que una página web utiliza ingeniería social en los siguientes casos:
Simula el funcionamiento o la apariencia de una entidad confiable, por ejemplo, tu propio dispositivo o navegador, o bien el sitio mismo.
Intenta engañarte para que realices una acción que solo harías con una entidad confiable, como compartir una contraseña, comunicarte con un equipo de asistencia o descargar software.
Ingeniería social en contenido incorporado
La ingeniería social también puede aparecer en contenido que está incorporado en sitios web por lo demás benignos, normalmente en anuncios. El contenido de ingeniería social incorporado es un incumplimiento de políticas de la página de alojamiento.
En algunos casos, los usuarios de la página de alojamiento podrán ver el contenido de ingeniería social incorporado, como se muestra en los ejemplos. En otros casos, el sitio de alojamiento no contiene ningún anuncio visible, pero dirige a los usuarios a páginas de ingeniería social mediante ventanas emergentes, subyacentes o cualquier otro tipo de redireccionamiento. En ambos casos, este tipo de contenido de ingeniería social incorporado se considerará un incumplimiento de políticas de la página de alojamiento.
Yo no uso ingeniería social
Es posible que se incluya contenido engañoso de ingeniería social por medio de recursos incorporados en la página, como imágenes, otros componentes de terceros o anuncios. Este contenido engañoso puede hacer que los usuarios caigan en la trampa de descargar software no deseado.
Además, los hackers pueden tomar el control de sitios inocentes y utilizarlos para alojar o distribuir contenido de ingeniería social. Por ejemplo, pueden cambiar el contenido del sitio o insertar páginas adicionales, en general, con la intención de engañar a los visitantes para que proporcionen información personal, como números de tarjetas de crédito. Puedes descubrir si tu sitio fue identificado como una página que aloja o distribuye contenido de ingeniería social consultando el Informe problemas de seguridad, en Search Console.
Ejemplos de incumplimientos asociados a ingeniería social
Ejemplos de contenido engañoso
Estos son algunos ejemplos de páginas que participan en prácticas de ingeniería social:
Ventana emergente engañosa que intenta que el usuario instale software malicioso.Ventana emergente engañosa que dice ayudar al usuario a actualizar su navegadorPágina falsa de acceso a Google.
Ejemplos de anuncios engañosos
A continuación, se muestran algunos ejemplos de contenido engañoso dentro de anuncios incorporados. Estos anuncios parecen componentes de la interfaz de la página.
Ventana emergente engañosa que afirma que el software del usuario está desactualizado.Ventanas emergentes engañosas que dicen provenir de un desarrollador FLVAnuncios que se hacen pasar por botones de acción de la página.
Cómo solucionar el problema
Si tu sitio está marcado por contener ingeniería social (contenido engañoso), asegúrate de que en la página no se registre ninguna de estas prácticas y, luego, sigue estos pasos:
Consulta el Informe de problemas de seguridad para saber si se indica que tu sitio incluye contenido engañoso (el término del informe para referirse a la ingeniería social). Si el informe contiene URLs marcadas de muestra, visita algunas de ellas, pero usa una computadora que no esté dentro de la red que publica tu sitio web (los hackers astutos pueden inhabilitar sus ataques si creen que el usuario que visita el sitio es el propietario).
Si en el informe no hay URLs de muestra y estás seguro de que tu sitio no contiene ingeniería social (contenido engañoso), solicita una revisión de seguridad en el Informe de problemas de seguridad.
Quita el contenido engañoso. Asegúrate de que ninguna página de tu sitio tenga contenido engañoso. Si consideras que la Navegación segura clasificó una página web por error, infórmalo.
Verifica los recursos de terceros que incluye tu sitio. Asegúrate de que ningún anuncio, imagen ni recurso de terceros incorporado en las páginas de tu sitio sea engañoso.
Ten en cuenta que las redes de anuncios pueden rotar los anuncios que se muestran en las páginas de tu sitio. Por lo tanto, es posible que debas actualizar una página algunas veces para que puedas ver anuncios de ingeniería social.
Algunos anuncios pueden tener apariencias diferentes en dispositivos móviles y computadoras de escritorio. Con la Herramienta de inspección de URLs, puedes ver las versiones para dispositivos móviles y para computadoras de escritorio de tu sitio.
Solicita una revisión. Una vez que hayas quitado todo el contenido de ingeniería social de tu sitio, solicita una revisión de seguridad en el informe "Problemas de seguridad". La revisión puede tardar varios días en completarse.
Guía de servicios de terceros
Si incluyes un servicio de un tercero en tu sitio, te recomendamos que cumplas con las siguientes condiciones para evitar que se etiquete como ingeniería social:
En cada página, el sitio del tercero debe incluir claramente la marca del tercero de una manera que garantice que los usuarios entiendan quién es el que opera el sitio. Por ejemplo, colocando la marca del tercero en la parte superior de la página.
En cada página que contenga la marca propia, indica de manera explícita la relación entre propietario y tercero, y proporciona un vínculo en el que pueda obtenerse más información. Por ejemplo, puedes usar un enunciado como este:
Example.com aloja este sitio en nombre de Example.beneficencia.com. Obtén más información.
Una buena pauta de usabilidad es si el usuario que ve la página suelta entiende en qué sitio se encuentra y cuál es la relación entre el propietario y el tercero en todo momento.
Si eres usuario de Search Console y tienes problemas de seguridad persistentes o que no se pueden resolver en tu sitio, puedes informarnos al respecto.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Falta la información que necesito","missingTheInformationINeed","thumb-down"],["Muy complicado o demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Desactualizado","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema con las muestras o los códigos","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-04 (UTC)"],[[["\u003cp\u003eSocial engineering attacks trick users into revealing personal information or performing dangerous actions, often by impersonating trusted entities.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Safe Browsing protects users by displaying warnings for websites identified as engaging in social engineering practices.\u003c/p\u003e\n"],["\u003cp\u003eWebsite owners can use Search Console's Security Issues report to identify and resolve social engineering issues on their sites.\u003c/p\u003e\n"],["\u003cp\u003eEmbedding third-party content, like ads, can introduce social engineering risks if the content is deceptive or leads to malicious pages.\u003c/p\u003e\n"],["\u003cp\u003eWebsites using third-party services should clearly disclose the relationship to avoid being mistakenly flagged as social engineering.\u003c/p\u003e\n"]]],["Social engineering tricks users into dangerous actions, like revealing personal data or downloading harmful software. This can occur through phishing, deceptive content, or unclear third-party services. Websites with such content may trigger browser warnings. Site owners should check the Security Issues report in Search Console for violations. Actions include removing deceptive content, ensuring third-party resources are not deceptive, and requesting a security review. Clear labeling of third-party involvement is crucial to avoid being flagged.\n"],null,["# Social Engineering (Phishing and Deceptive Sites) | Google Search Central\n\nSocial engineering (phishing and deceptive sites)\n=================================================\n\nSocial engineering is content that tricks visitors into doing something dangerous, such as\nrevealing confidential information or downloading software. If Google detects that your website\ncontains social engineering content, the Chrome browser may display a \"Deceptive site ahead\"\nwarning when visitors view your site. You can check if any pages on your site are suspected of\ncontaining social engineering attacks by visiting the Security Issues report in Search Console.\n\n[Open\nthe Security Issues Report](https://search.google.com/search-console/security-issues)\n\nWhat is social engineering?\n---------------------------\n\nA *social engineering attack* is when a web user is tricked into doing something\ndangerous online.\n\nThere are different types of social engineering attacks:\n\n- **[Phishing](https://support.google.com/websearch/answer/106318):** The site tricks users into revealing their personal information (for example, passwords, phone numbers, or social security numbers). In this case, the content pretends to act, or looks and feels, like a trusted entity --- for example, a browser, operating system, bank, or government.\n- **Deceptive content:** The content tries to trick you into doing something you'd only do for a trusted entity --- for example, sharing a password, calling tech support, downloading software, or the content contains an ad that falsely claims that device software is out-of-date, prompting users into installing unwanted software.\n- **Insufficiently labeled third-party services:** A *third-party service* is someone that operates a site or service on behalf of another entity. If you (third party) operate a site on behalf of another (first) party without making the relationship clear, that might be flagged as social engineering. For example, if you (first party) run a charity website that uses a donation management website (third party) to handle collections for your site, the donation site must clearly identify that it is a third-party platform acting on behalf of that charity site, or else it could be considered social engineering.\n\n[Google Safe\nBrowsing](https://www.google.com/transparencyreport/safebrowsing) protects web users by warning users before they visit pages that consistently\nengage in social engineering.\n\nWeb pages are considered social engineering when they either:\n\n- Pretend to act, or look and feel, like a trusted entity, like your own device or browser, or the website itself, or\n- Try to trick you into doing something you'd only do for a trusted entity, like sharing a password, or calling a tech support number, or downloading software.\n\n### Social engineering in embedded content\n\nSocial engineering can also show up in content that is embedded in otherwise benign websites,\nusually in ads. Embedded social engineering content is a policy violation for the host page.\n\nSometimes embedded social engineering content will be visible to users on the host page, as\nshown in the [examples](#example). In other cases, the host site does not contain\nany visible ads, but leads users to social engineering pages via pop-ups, pop-unders, or other\ntypes of redirection. In both cases, this type of embedded social engineering content will\nresult in a policy violation for the host page.\n\nBut I don't engage in social engineering!\n-----------------------------------------\n\nDeceptive social engineering content may be included via resources embedded in the page, such\nas images, other third-party components, or ads. Such deceptive content may trick site visitors\ninto downloading [unwanted\nsoftware](https://www.google.com/about/unwanted-software-policy.html).\n\nAdditionally, **hackers** can take control of innocent sites and use them to\nhost or distribute social engineering content. The hacker could change the content of the site\nor add additional pages to the site, often with the intent of tricking visitors into parting\nwith personal information such as credit card numbers. You can find out if your site has been\nidentified as a site that hosts or distributes social engineering content by checking the\nSecurity Issues report in Search Console.\n\nSee our [Help\nfor Hacked Sites](https://web.dev/articles/hacked) if you believe that your site has been hacked.\n\nExamples of social engineering violations\n-----------------------------------------\n\n### Deceptive content examples\n\nHere are some examples of pages that engage in social engineering practices:\n\n\u003cbr /\u003e\n\nDeceptive popup intended to trick the user into installing malware.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to help the user update their browser\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nFake Google login page\n\n\u003cbr /\u003e\n\n| Note the deceptive URL. Other phishing sites like this could trick you into giving up other personal information such as credit card information. Phishing sites may look exactly like the real site---so be sure to look at the address bar to check that the URL is correct, and also check to see that the website begins with `https://`.\n\n### Deceptive ad examples\n\nHere are some examples of deceptive content inside embedded ads. These ads appear to be part\nof the page interface rather than ads.\n\n\u003cbr /\u003e\n\nDeceptive popup claiming that the user's software is out of date.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to come from the FLV developer\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nAds masquerading as page action buttons.\n\n\u003cbr /\u003e\n\nFixing the problem\n------------------\n\nIf your site is flagged for containing social engineering (deceptive content), ensure that\nyour page doesn't engage in any of the [practices](#examples), and then follow these steps:\n\n1. **Check in Search Console** .\n - [Verify that you own your site in Search Console](https://support.google.com/webmasters/answer/2739618) and that no new, suspicious owners have been added.\n -\n Check the\n [Security Issues report](https://search.google.com/search-console/security-issues)\n to see if your site is listed as containing deceptive content (the\n reporting term for social engineering). If the report contains sample flagged URLs, visit\n some of those URLs listed in the report, but use a computer that's not inside the network\n that is serving your website (clever hackers can disable their attacks if they think the\n visitor is a website owner).\n\n\n If the report doesn't contain sample URLs and you're confident your site doesn't contain\n social engineering (deceptive content),\n [request a security review](https://support.google.com/webmasters/answer/9044101#fix)\n in the Security Issues report.\n2. **Remove deceptive content** . Ensure that none of your site's pages contain deceptive content. If you believe Safe Browsing has classified a web page in error, [report it](https://www.google.com/safebrowsing/report_error/).\n3. **Check the third-party resources included in your site** . Ensure that any ads, images, or other embedded third-party resources on your site's pages are not deceptive.\n - Note that ad networks may rotate the ads shown on your site's pages. Therefore, you might need to refresh a page a few times before you're able to see any social engineering ads appear.\n - Some ads may appear differently on mobile devices and desktop computers. You can use the [URL\n Inspection tool](https://support.google.com/webmasters/answer/9012289) to view your site in both mobile and desktop views.\n - Follow the [third-party service guidelines](#third-party-guidelines) for any third-party services, such as payment services, that you use in your site.\n4. **Request a review** . After you remove all social engineering content from your site, you can [request a security review](https://support.google.com/webmasters/answer/9044101#fix) in the Security Issues report. A review can take several days to complete.\n\n### Third-party service guidelines\n\nIf you include a third-party service in your site, we recommend that you meet the following conditions\nin order to avoid being labeled as social engineering:\n\n- On every page, the third-party site clearly includes the third-party brand in a way that ensures users understand who is operating the site. For example, by including the third-party brand at the top of the page.\n- On every page that contains first-party branding, explicitly state the relationship between the first and third party, and provide a link for more information. For example, a statement like this: *This service is hosted by Example.com on behalf of Example.charities.com. More\n information.*\n\nA good usability guideline is whether a user viewing the page in isolation understands which\nsite they are on, and the relationship between the first and third party at all times.\n| **Best practice:** If you need a third party to perform a basic support service for your site, a best practice is to use an industry standard third party for that service. For example, to manage user authentication on your site, use [OAuth](https://oauth.net/) rather than managing authentication yourself.\n\nIf you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.\n\n[Report a security issue](https://support.google.com/webmasters/contact/report_security_issues)"]]
