Para los estafadores, obtener sus contraseñas y números de tarjeta de crédito nunca fue la parte difícil. Lo difícil era obtenerlos a gran escala. Una red de ciberdelincuencia china llamada Outsider Enterprise aparentemente resolvió ese problema utilizando la propia Gemini AI de Google.
Google presentó una demanda en Nueva York contra Outsider Enterprise, acusando al grupo de crear una operación de phishing tan automatizada y accesible que criminales sin conocimientos técnicos podían ejecutarla. Las cifras vinculadas a este caso no son menores.
Paga menos por tus juegos.
Consigue descuentos de hasta 80%
Lo que realmente construyó Outsider Enterprise
No se trató de un puñado de hackers enviando unos cuantos correos electrónicos falsos convincentes. Outsider Enterprise operaba más bien como un negocio de software criminal bajo franquicia. El grupo creó una plataforma basada en suscripción, también llamada Outsider, que comienza en $88 por semana y entrega a los compradores un kit de herramientas de phishing listo para usar. Se incluyen más de 290 plantillas de sitios web preconfiguradas, cada una diseñada para suplantar a empresas reales: bancos, proveedores de telefonía móvil, agencias gubernamentales, minoristas y, sí, a la propia Google.
Al menos 14 de esas plantillas utilizan la marca de Google directamente, incluyendo logotipos de YouTube, Google Pay y Google Play. El grupo utilizó la infraestructura de Google Cloud para alojar los sitios falsos y Google Drive para almacenar los datos robados. "Descarado" es quedarse corto.
En solo un periodo de dos semanas durante mayo de 2026, la operación generó 9,000 sitios web falsos, un millón de dominios web fraudulentos y 2.5 millones de mensajes de texto de estafa enviados a usuarios de Android. Durante cinco meses, entre noviembre de 2025 y abril de 2026, Google rastreó más de 1.59 millones de URL vinculadas a la actividad de Outsider Enterprise.
Cómo se involucró Gemini en esto
Aquí está el punto: el ángulo de la IA no es incidental. Outsider Enterprise utilizó Gemini para producir contenido de phishing en masa a una velocidad y volumen que habrían sido imposibles de mantener manualmente. El grupo se coordinaba a través de Telegram, compartiendo consejos e intercambiando kits de software que integraban los resultados de Gemini directamente en campañas de estafa a través de múltiples plataformas.
Los sitios falsos eran lo suficientemente convincentes como para extraer múltiples formas de verificación de las víctimas, incluyendo códigos SMS, PIN, confirmaciones por correo electrónico y autenticación basada en aplicaciones. Ese bypass de verificación de múltiples pasos es lo que permitió a la operación eludir las protecciones 3D Secure, la capa que normalmente bloquea transacciones no autorizadas con tarjetas de crédito.
El FBI expuso el daño total en términos crudos: desde julio de 2023, la plataforma de Outsider Enterprise permitió el robo de un estimado de 3.87 millones de tarjetas de crédito y causó aproximadamente $1.9 mil millones en pérdidas. Una versión anterior del software por sí sola estuvo vinculada a al menos 36,000 tarjetas de pago robadas en 95 países.
La estructura detrás de la estafa
Outsider Enterprise no es un solo grupo. La demanda de Google describe cinco subgrupos distintos que operan en paralelo:
- Grupo de Desarrolladores: Construye el software de phishing y las plantillas de sitios
- Grupo de Corredores de Datos: Obtiene listas de contacto de víctimas a partir de registros públicos, redes sociales y filtraciones de datos pasadas
- Grupo de Spam: Maneja la infraestructura de mensajes de texto masivos
- Grupo de Robo: Monetiza los datos robados y lava los fondos
- Grupo de Telegram: Administra los foros que conectan a todos los anteriores y recluta nuevos miembros
El atractivo de la plataforma, como indica la demanda de Google, es que alguien con conocimientos técnicos limitados puede comprar el acceso, contactar inmediatamente a otros especialistas a través de los foros de Telegram y ejecutar una campaña de phishing completa a los pocos minutos de registrarse.
El panorama general para cualquier usuario en línea
Esta demanda llega en un contexto que los propios datos del FBI hacen incómodo de leer. Los ciudadanos estadounidenses perdieron $21 mil millones por ciberfraude el año pasado. De esa cifra, $893.3 millones estuvieron directamente vinculados a fraudes habilitados por IA, con 5,879 quejas presentadas solo desde la India, convirtiéndola en la segunda fuente de reportes más alta a nivel mundial.
Que las herramientas de IA reduzcan la barrera de entrada para los estafadores no es una preocupación nueva, pero el caso de Outsider Enterprise le da un rostro concreto. Un criminal sin experiencia en programación podría pagar menos de $100 a la semana y comenzar a ejecutar campañas que eluden la seguridad de nivel bancario. Ese es el cambio que documenta esta demanda.
La acción legal de Google tiene que ver en parte con los daños y en parte con establecer que el mal uso de sus productos de IA tiene consecuencias. El resultado del caso en Nueva York será digno de observar, particularmente sobre cómo los tribunales tratan a los proveedores de IA cuando sus herramientas son utilizadas como armas contra los usuarios.
Por ahora, la realidad práctica es que los sitios de phishing son cada vez más difíciles de detectar. Si quieres mantenerte al tanto de cómo las estafas y las amenazas digitales se cruzan con los videojuegos y las plataformas web3, la sección de guías de videojuegos cubre temas relacionados con la seguridad junto con todo lo demás que vale la pena saber. Y si pasas tiempo en juegos que mezclan mecánicas de dinero real con la partida, como el casino crawler que vendió 1 millón de copias en una semana, consulta la guía Gamble With Your Friends before you buy para entender exactamente en qué te estás metiendo. Estar informado es mejor que ser tomado por sorpresa, ya sea que la amenaza esté dentro del videojuego o en tu bandeja de entrada.
El caso de Google contra Outsider Enterprise sigue en curso. Se espera que surjan más detalles de los documentos judiciales a medida que la demanda avance a través del sistema federal de Nueva York.
