Phishing con IA fue el núcleo de un servicio de phishing-as-a-service desmantelado recientemente por el FBI en colaboración con Google y Lumen Technologies. La operación, denominada Ghost Hook, apuntó a una plataforma que permitía generar páginas de fraude en minutos y que, según las autoridades, está vinculada a 3,87 millones de tarjetas robadas y unas pérdidas estimadas en 1.900 millones de dólares.
Qué fue la operación y cómo funcionaba el kit de phishing con IA
La infraestructura desmantelada pertenecía a una organización que operaba bajo el nombre Outsider Enterprise y se vendía como un kit de phishing en un bot de Telegram. En la práctica, no hacía falta experiencia técnica: los suscriptores pagaban desde 88 dólares por semana o 200 dólares al mes y elegían entre más de 290 plantillas que imitaban bancos, operadores móviles, agencias estatales, el servicio postal de EE. UU. y sistemas de peaje como E‑ZPass.
El software capturaba datos en tiempo real y podía solicitar códigos SMS, PINs, códigos de correo y aprobaciones de apps, lo que permitía a los operadores recuperar códigos de autenticación de doble factor. Google señala además que Outsider distribuía guías y un vídeo tutorial para que los clientes usaran la IA de Google, Gemini, para generar el código HTML de las páginas fraudulentas.
Esas instrucciones enseñaban a formular las peticiones a Gemini como si fueran para una “página de canjeo de regalo” sin JavaScript, usando CSS inline —una formulación pensada para evitar los filtros de seguridad del modelo—. El resultado era una plantilla base que se importaba al software de Outsider y se convertía en una web de estafa operativa, multiplicando las variaciones disponibles a partir de las plantillas iniciales.
Resultados, decomisos y repercusiones legales
La acción del FBI, que formó parte de una iniciativa mayor llamada Operation Riptide, incautó los dominios administrativos centrales del grupo, una tienda en Shopify y aproximadamente 100.000 USDT de las carteras de pago de Outsider. Miles de dominios de phishing que se habían registrado a través de proveedores estadounidenses ahora redirigen a una página del FBI.
Según el FBI, la plataforma está ligada a 3,87 millones de tarjetas robadas y pérdidas por valor de 1.900 millones de dólares desde julio de 2023. Google, en su demanda civil, ofrece una estimación algo más conservadora: habla de cientos de miles de víctimas y menciona que en dos semanas de mayo se enviaron 2,5 millones de mensajes de estafa a usuarios de Android.
La demanda presentada por Google en el Southern District of New York incluye reclamaciones bajo la Ley RICO y por infracción de marcas. En su escrito, la compañía afirma que, aunque ha identificado a los operadores, estos son poco probables de ser extraditados desde China.
En declaraciones recogidas por las autoridades, Brett Leatherman, subdirector de la División Cibernética del FBI, advirtió que “los criminales usan cada vez más la IA para hacer que este tipo de fraude sea más convincente y más difícil de detectar”.
Qué distingue a este caso
Hay tres aspectos que explican por qué el operativo atrajo atención: primero, la facilidad de uso del kit; segundo, la integración explícita de una IA generativa (Gemini) para producir el código de las páginas fraudulentas; y tercero, la capacidad del servicio para automatizar la captura de factores de autenticación adicionales.
No es un detalle menor: en la práctica, eso significa que una persona sin conocimientos técnicos podía generar rápidamente sitios que imitaban a entidades legítimas y que, además, pedían y obtenían códigos de verificación en tiempo real.
Contexto y antecedentes
Google ya había advertido sobre el uso de modelos como Gemini por parte de actores maliciosos en campañas de phishing y de intrusión. El recurso a IA para producir contenido de fraude no es nuevo, pero en este caso se usó para crear código operativo que infectaba a víctimas de forma masiva.
El caso también recuerda la demanda previa de Google contra otra plataforma, Lighthouse, que en noviembre fue relacionada con más de un millón de víctimas en 120 países. La repetición de acciones legales y decomisos muestra que los grandes proveedores están combinando medidas técnicas y litigiosas para cortar estas cadenas de abuso.
Desde el punto de vista operativo, las autoridades aprovecharon la propia infraestructura del grupo: investigaron datos extraídos del bot de Telegram y redirigieron dominios para neutralizar campañas activas.
Lo que Google no aclara todavía es la completa trazabilidad de los fondos y hasta qué punto los administradores principales están localizados o apoyados por otras organizaciones. Tampoco está claro si el uso de Gemini fue responsabilidad directa de los operadores o simplemente una herramienta que los suscriptores adoptaron por su comodidad.
En la práctica, esto significa que la amenaza no depende únicamente del software de Outsider: la combinación de plantillas, automatización de cobros y herramientas de IA facilita que actores dispersos puedan montar operaciones a gran escala.
Para usuarios y empresas, el episodio subraya que el fraude por SMS y páginas falsas —incluidos mensajes que simulan avisos de peaje o entregas— sigue siendo una vía efectiva para robar credenciales y obtener códigos de autenticación.
Habrá que ver si las medidas legales y técnicas recientes sirven para reducir la eficacia de estos kits o solo obligan a los operadores a cambiar de proveedor o técnica.
