Google presentó una demanda contra Outsider Enterprise, una red china de ciberestafas que habría utilizado la propia inteligencia artificial Gemini de Google para automatizar campañas masivas de phishing, enviando millones de mensajes fraudulentos y robando credenciales bancarias a víctimas en al menos 95 países.
La compañía anunció la acción legal el pasado viernes, con el objetivo de desmantelar la infraestructura detrás de esta operación delictiva que, según Google, ha causado pérdidas estimadas en millones de dólares. De acuerdo con el blog corporativo de la empresa y la demanda presentada ante los tribunales, Outsider Enterprise opera a través de Telegram, donde ofrece un servicio de "phishing como plataforma" dirigido a personas con conocimientos técnicos limitados. El software, llamado Outsider, se comercializa a 88 dólares semanales o 200 mensuales, e incluye más de 290 plantillas prediseñadas que imitan sitios legítimos de Google, YouTube, operadores de telecomunicaciones, instituciones financieras, agencias gubernamentales como el sistema E-ZPass de Nueva York, y reconocidas cadenas minoristas.
Lo que distingue a esta red de otras operaciones similares es el uso explícito de Gemini para generar el código de los sitios web fraudulentos. La plataforma incluía guías para "armar código generado por IA", lo que permitía a los operadores crear réplicas convincentes de portales legítimos en cuestión de minutos. Estas páginas suplantaban la identidad de marcas conocidas con el propósito de robar contraseñas, códigos de autenticación multifactor y datos financieros de las víctimas.
Las cifras de la operación son escalofriantes. Google detectó que, en un periodo de cinco meses comprendido entre noviembre de 2025 y abril de 2026, se generaron más de 1,59 millones de URLs vinculadas al grupo. En total, se han identificado 9.000 sitios web falsos y un millón de dominios fraudulentos. Durante mayo pasado, se enviaron aproximadamente 2,5 millones de mensajes de texto a usuarios de Android, de los cuales 55.000 fueron denunciados como spam en apenas dos semanas, equivalente a más de dos reportes por minuto, según Google.
El alcance internacional del fraude también es significativo. De acuerdo con un portavoz del FBI consultado por TechCrunch, desde julio de 2023 la plataforma de Outsider Enterprise ha facilitado el robo de aproximadamente 3,87 millones de tarjetas de crédito, con pérdidas estimadas en 1.900 millones de dólares. Google, por su parte, documentó el robo de al menos 36.000 tarjetas de pago emitidas en 95 países.
Los ciberdelincuentes coordinaban sus actividades en canales de Telegram donde intercambiaban listas de objetivos obtenidas de registros públicos, redes sociales y filtraciones de datos. La red se estructuraba en varios grupos funcionales: desarrolladores del software, proveedores de listas de víctimas, equipos de envío masivo de SMS con bancos de teléfonos y tarjetas SIM, y operadores dedicados a monetizar las credenciales robadas y lavar el dinero obtenido.
Google ha trabajado con los operadores móviles AT&T, Verizon y T-Mobile para bloquear buena parte de los mensajes maliciosos, y asegura que su sistema de detección de estafas integrado en Google Messages, que bloquea unos 10.000 millones de mensajes sospechosos al mes, contribuyó a reducir el número de clics exitosos. El FBI, en coordinación con Google y los laboratorios Black Lotus de la empresa Lumen, logró incautar varios dominios utilizados por la red, así como tiendas y cuentas de Shopify empleadas para probar el servicio de phishing.
En su demanda, Google acusa a los responsables de suplantación de marca, infracción de derechos de autor, asociación ilícita para delinquir, fraude electrónico y publicidad engañosa. La empresa solicita daños compensatorios y punitivos, además de una orden judicial que detenga las actividades de la red.
Este caso ilustra una paradoja creciente en la industria tecnológica: las mismas herramientas de inteligencia artificial que las grandes empresas promueven como motores de innovación y productividad son aprovechadas por organizaciones criminales para escalar operaciones que antes requerían equipos técnicos especializados. La demanda de Google marca un paso inusual en la lucha contra este fenómeno, al convertir a la propia víctima de la suplantación en el principal acusador legal de los estafadores. El desenlace del proceso podría sentar precedentes sobre la responsabilidad de las plataformas de IA y la cooperación entre empresas tecnológicas y fuerzas de seguridad frente a amenazas cibernéticas cada vez más sofisticadas.