¿Puede el administrador de Google Workspace acceder a sus correos electrónicos sin saber su contraseña?

Por Desamark

¿Puede el administrador de Google Workspace acceder a sus correos electrónicos sin saber su contraseña?
Varias veces me han preguntado si era posible ver los correos electrónicos de los usuarios, así que investigué y probé si era realmente posible.Google permite a los administradores de Google Workspace supervisar y auditar los correos electrónicos de los usuarios. Un administrador puede utilizar Google Vault, las normas de conformidad de contenido, el API de auditoría o la delegación de correo electrónico para ver y auditar los correos electrónicos de los usuarios. Se recomienda a los administradores el G Suite que tengan en cuenta las leyes locales antes de realizar auditorías de correo electrónico en los buzones de sus usuarios.
En este artículo te mostraré cómo puedes obtener una copia en formato bcc de los correos electrónicos de tus usuarios/empleados sin saber su contraseña de G Suite .

Debes ser un administrador de G Suite, y debes usar la edición G Suite Basic, Business, Government, Education o Enterprise ya que no funciona para la versión de Gmail gratuita .

Verás como siendo un Administrador del G Suite puedes obtener una copia de los correos electrónicos enviados y recibidos por tus usuarios sin saber sus contraseñas o sin ponerlos en sus buzones de correo.
Nota: Esta opción está pensada principalmente para la auditoría, debe tener en cuenta la legislación y la política de su país antes de intentar este método de acceso a los correos electrónicos de sus usuarios.

Escenario :

Con fines de auditoría, deseas realizar un seguimiento de los mensajes de correo electrónico entrantes y salientes (incluidos los del dominio) de uno o de todos los usuarios de Google Apps, sin pedirles ni cambiarles la contraseña ni proponerles una regla de reenvío en sus buzones.

Explicación de la solución :

Para lograrlo, crearás una regla de servidor en G Suite (antes Google Apps) que puedes aplicar a un usuario, o a un OU o incluso a todos los usuarios.
Esta regla establece que cualquier mensaje que contenga @sudominio.com en el encabezado del mensaje, enviará su copia al ID que defina...
Requisitos del sistema :

Esta solución sólo funcionará con la edición básica, empresarial, educativa y gubernamental de G Suite (Google Apps), y no con la edición gratuita

PASO 1 - ACCESO AL PANEL DE CONTROL DE G SUITE

Para lograrlo, necesitamos acceder a la consola de administración de la G Suite.

Asumo que tienes permiso de administración para realizar esta tarea, si no es así tiense que convertirte en Administrador de la G Suite o administrador delegado.

Una vez que hayas iniciado sesión en el Panel de Control de G Suite, haz clic en el icono APPS del Panel de Control.

Haz clic en Apps en el panel de control de G suite
Navega y haz clic en Gmail

PASO 3 - IR A GMAIL

Como vamos a aplicar un lado del servidor a nuestra aplicación de Gmail, que nos dará una copia en bcc de todos los correos electrónicos enviados y recibidos de nuestros usuarios

Haga clic en el icono de GMAIL

PASO 4 - HAZ CLIC EN LA CONFIGURACIÓN AVANZADA

La regla que queremos aplicar es una parte de la configuración avanzada de Gmail, adelante y haz clic en ella

Haga clic en Configuración avanzada en la consola de administración de G Suite

PASO 5 - SELECCIONAR LA UNIDAD DE ORGANIZACIÓN

Si quieres recibir una copia en formato bcc de todos los usuarios de tu dominio, puedes seleccionar la unidad organizativa principal.

Si quieres aplicarla a una función específica, como ventas o contabilidad, o incluso sólo a unos pocos usuarios, puedes crear una nueva unidad organizativa y colocar en ella a los usuarios necesarios.

Después de seleccionar la unidad organizativa correcta, desplázate hacia abajo para encontrar "Cumplimiento del contenido" y haz clic en "Configurar"

PASO 6 - DEFINIR EL ALCANCE DE LA REGLA

Se recomienda añadir una descripción para su regla para asegurar que otros administradores de su dominio puedan referirse a ella y entender el objetivo de esta regla en su ausencia

Seleccione los correos electrónicos que desea obtener como bcc para los usuarios, puede seleccionar cualquiera o todos incluyendo los de entrada, salida, envío o recepción interna, por el bien de este ejemplo, sólo estoy considerando los de entrada y salida.

PASO 7 - DEFINIR LA EXPRESIÓN

Definamos nuestra condición, pensemos en ello como si fuera una declaración de IF/ELSE :

Selecciona "Si alguno de los siguientes elementos coincide con el mensaje"
Haga clic en "Añadir" para añadir una declaración de condición
Haga clic en "Avanzar en el contenido"
La ubicación debe ser "Cabezas llenas"
El tipo de coincidencia debe ser "Contiene texto"
El contenido debe ser "yourdomainanme.com" (necesita cambiar su nombre de dominio.com por su nombre de dominio real)
Guarda tu condición

Explicación : En este paso, hemos creado una condición (declaración IF) que indica si "@sudominio.com" se encuentra en el encabezado del mensaje, entonces coincida con la condición, ahora si sus usuarios envían o reciben el mensaje a través de su identificación corporativa, @sudominio.com seguramente estará allí en los encabezados, ya que no es posible enviar/recibir sin él desde/hacia su identificación corporativa, sin embargo si su requisito es un poco complejo, también puede utilizar expresiones regex para definir su criterio.

PASO 8 - QUIEN DEBE RECIBIR BCC ?

Desplácese hacia abajo y haga clic en "Añadir más destinatarios".
Haga clic en Avance
Marque la casilla "Cambiar el destinatario del sobre"
Seleccione "reemplazar el recipiente del sobre"
Introduce el ID de correo electrónico en el que te gustaría obtener una copia de la CCO.
Desplácese hacia abajo y siga el siguiente paso de este artículo

PASO 9 - PREPARAR EL TEMA (RECOMENDADO)

En este paso, definiremos una forma de separar estos correos electrónicos de los regulares, para que pueda identificarlos fácilmente y filtrarlos/etiquetarlos si es necesario.

Haga clic en "Prepárese para el asunto"
Añade cualquier cosa que quieras añadir en el asunto de estos emails de BCC, por ejemplo {{BCC}}
Ahora, todas estas copias cc que obtendrás tendrán {{BCC}} delante del asunto, lo que te ayudará a hacer un filtro en Gmail y a ponerlas bajo una etiqueta/carpeta.
Guardar los cambios

PASO 10 - HECHO!

Felicidades, ahora obtendrá una copia en bcc de sus usuarios en el buzón que puso en su condición como se muestra en el ejemplo anterior

Google Workspace USER EMAIL AUDITING FAQ

Aquí hay detalles sobre algunas formas adicionales por las que un administrador de Google Workspace puede monitorear y auditar los correos electrónicos de los usuarios. Si no encuentra la respuesta, no dude en preguntar en los comentarios de abajo.

¿Hay más formas en que el administrador de Google Workspace puede acceder a mis correos electrónicos?

Google Workspace Admin no puede acceder directamente a los correos electrónicos de los usuarios, sin embargo, Sí, tiene las siguientes opciones para mirar los correos electrónicos de los usuarios:

(I) Google Vault :

Google Workspace tiene diferentes planes, y uno de ellos se llama "G Suite for Business" que viene con una aplicación llamada "Google Vault", que guarda una copia de todos los correos electrónicos de los usuarios,el registro de chat, mensajes de grupo, archivos en Google Drive y Team Drive.

Así que incluso si un usuario borra su correo electrónico o un archivo en Google Drive, puede acceder a Google Vault como administrador y buscar los correos electrónicos de los usuarios.

Por favor, tenga en cuenta que: la solución para acceder al correo electrónico de sus usuarios no funcionará con el plan G Suite Basic , ya que Google no realiza copias con él .

(II) Delegación de correo electrónico :

G Suite ofrece una función de delegación de correo electrónico donde un usuario puede delegar su buzón de Gmail a alguien , esto normalmente lo hace un usuario, sin embargo el G Suite Admin también puede hacerlo a través de la API de Gmail sin que los usuarios se den cuenta.

Nota: Aunque G Suite Admins puede configurar la delegación de correo electrónico entre bastidores, si eres un usuario puedes ir a la configuración de la delegación (Gmail -> Configuración -> Cuentas -> Conceder acceso a tu cuenta) y comprobar si su cuenta está delegada a alguien y también puedes eliminar la delegación.

(III) Regla de cumplimiento de contenido de Google Workspace :

Google Workspace Admin también puede configurar una regla en la consola de administración para activar una copia en bcc de todos los correos electrónicos de los usuarios (o requeridos) , y esta solución funciona con todos los planes de pago de G Suite.

(IV) Google Workspace Admin Audit API :

En caso de que su requerimiento no se cumpla con las soluciones anteriores, puede considerar poner una solución personalizada basada en sus necesidades con G Suite Email Audit API. Tampoco es necesario que empieces de cero aquí, si conoces un poco de Google Apps Script, puedes utilizar esta biblioteca de OAuth 2 para utilizar fácilmente el API de auditoría dentro de Apps Script.

¿Puedo acceder a mi usuario de Google Workspace como administrador?

NO, no puedes acceder a ninguna de tus cuentas de usuario del G Suite aunque tengas derechos de superadministrador.

La única forma de hacerlo es restablecer primero la contraseña del usuario y, a continuación, utilizarla para acceder a la cuenta de usuario, pero el usuario puede averiguarlo fácilmente, ya que no podrá acceder con la contraseña antigua.

Así que si usted es un administrador de G Suite y realmente quiere monitorear los correos electrónicos de sus usuarios, considere las soluciones mencionadas anteriormente.

¿Es legal o ético que el Administrador de Gmail lea los correos electrónicos de los usuarios?

He estado trabajando con socios de Google Workspace y todos mis empleadores usan G Suite (antes Google Apps) para el correo electrónico y la colaboración.

Tengo esta misma pregunta, y después de preguntar a algunos de mis empleadores y de buscar en Google, honestamente no tengo una respuesta clara al respecto.

Algunas personas dicen que cuando trabajas para una empresa, se supone que estás utilizando los activos de la empresa y que conservan los derechos para investigar cualquier cosa si es necesario.

Además, como no soy un experto legal, no haré ningún comentario al respecto, pero si eres un usuario, no dudes en leer tu contrato de trabajo, mirar las leyes de tu estado y/o país, o incluso contactar con tu empleador para preguntarle.

He visto casos en los que, debido a una investigación legal, los administradores del G Suite han puesto en espera legal el buzón de correo electrónico del usuario en cuestión (en Google Vault), así que, a pesar de todo, si eres un usuario del G Suite, mi recomendación sería usar tu Gmail asumiendo que tu empleador pueda acceder a tus correos electrónicos.

Mediante estos enlaces, puedes probar unos días de Google Workspace GRATIS y en caso de que te guste también puedes obtener un código promocional Google Workspace del 10% de descuento durante el primer año: