Google demanda a una red china de phishing basada en IA mientras el FBI incauta dominios y 100.000 dólares en la Operación Ghost Hook

Google presentó el viernes una demanda federal contra una red de ciberdelincuencia con sede en China que, según afirman las autoridades, utilizó la inteligencia artificial Gemini de Google para llevar a cabo una campaña de phishing que ahora el FBI vincula con 3,87 millones de tarjetas de crédito robadas y pérdidas totales de 1.900 millones de dólares desde julio de 2023.

Según la denuncia presentada ante un tribunal federal de Manhattan, la red, a la que Google denomina "Outsider Enterprise", vendía software de phishing mediante una suscripción de 88 dólares semanales o 200 dólares mensuales.

Los compradores tuvieron acceso a más de 290 plantillas de sitios web prediseñadas que imitaban a bancos, proveedores de telecomunicaciones, agencias gubernamentales, empresas de transporte, oficinas estatales de vehículos motorizados, el sistema E-ZPass de Nueva York, servicios gubernamentales de la ciudad de Nueva York y minoristas, junto con instrucciones paso a paso para usar plataformas de IA para generar páginas falsas convincentes.

Google está presentando demandas en virtud de la Ley de Organizaciones Corruptas e Influenciadas por la Delincuencia Organizada (RICO), además de por infracción de marca registrada y uso indebido de los servicios de Google Cloud y Drive.

El FBI trac3,87 millones de tarjetas robadas y pérdidas por valor de 1.900 millones de dólares hasta una sola red

Entre el 14 de noviembre de 2015 y el 14 de abril de 2016, Google detectó más de 1,59 millones de URL asociadas con el servicio de phishing.

Durante un período de dos semanas en mayo de este año, los usuarios de Android reportaron 55.000 mensajes de texto no deseados relacionados con la operación, y 2,5 millones de dispositivos Android recibieron mensajes de texto que contenían enlaces a sitios web generados por Outsider.

Según Brett Leatherman, subdirector del FBI, las pérdidas financieras son "mucho mayores" que las reportadas por Google. La plataforma Outsider permitió a los atacantes comprometer aproximadamente 3,87 millones de números de tarjetas de crédito y provocó pérdidas estimadas por un total de 1900 millones de dólares desde julio de 2023.

Según la oficina, los ataques afectaron a personas y empresas en 55 países. Las tarjetas de pago fueron emitidas por instituciones financieras en 95 países, según la denuncia de Google.

“Los delincuentes utilizan cada vez más la IA para que este tipo de fraudes sean más convincentes y difíciles de detectar”, dijo Leatherman.

Outsider vendió una plataforma de phishing llave en mano que funciona en Telegram y Gemini

El software Outsider funciona como una plataforma de phishing lista para usar que no requiere conocimientos de programación. Los suscriptores compran el acceso a través de un bot de Telegram y luego usan plantillas prediseñadas para crear sitios web falsos en minutos. La plataforma ofrece paneles de control en tiempo real, registro de pulsaciones de teclas, recolección automatizadadenty herramientas para eludir la autenticación multifactor.

Según la denuncia de Google, la red distribuía tutoriales detallados sobre cómo sus miembros podían usar Gemini y otras herramientas de IA de Google para crear páginas HTML vacías. Las solicitudes para Gemini estaban redactadas de forma que parecieran solicitudes de programación inofensivas para crear una "página de canje de regalos" con las características deseadas, sin incluir JavaScript y utilizando CSS en línea.

Una vez que un sitio web falso se activa, el grupo de spammers de la operación envía mensajes de texto masivos suplantando la identidad de marcas de confianza. Entre los señuelos más comunes se incluyen paquetes no entregados, peajes impagos, infracciones de estacionamiento, problemas con cuentas de corretaje y programas de recompensas de operadores de telefonía móvil.

Las víctimas que hacen clic e introducen susdententregan datos en tiempo real a través del sistema de registro de pulsaciones de teclas de la plataforma.

La red funcionaba como una empresa con cuatro divisiones especializadas

La denuncia de Google describe a Outsider Enterprise como una organización estructurada. Un grupo desarrolla y mantiene el software y las plantillas de phishing.

Otra herramienta recopila listas de objetivos a partir de registros públicos, redes sociales y filtraciones de datos.

Una tercera entidad se encarga de la infraestructura de envío masivo de SMS, gestionando bancos de teléfonos inteligentes, tarjetas SIM y módems.

Un cuarto grupo monetizadentrobadas y blanquea fondos. Los miembros se coordinan abiertamente en Telegram, donde se capacitan mutuamente, comparten estrategias y reclutan nuevos participantes.

La Operación Ghost Hook combinó una demanda civil con la incautación de infraestructura por parte del FBI

La operación conjunta, denominada "Operación Ghost Hook", permitió la incautación de varios dominios de administración clave, una tienda en Shopify, aproximadamente 100.000 dólares de monederos de pago de usuarios externos y miles de dominios registrados a través de proveedores con sede en Estados Unidos.

El FBI incluso utilizó el bot de Telegram de Outsider para acceder a información sobre los clientes de la red. Google coordinó con el FBI y Black Lotus Labs de Lumen Technologies para desmantelar la red, y está trabajando con AT&T, T-Mobile y Verizon para bloquear los mensajes de texto vinculados a Outsider e impedir que lleguen a sus clientes. Google afirmó que sus sistemas de defensa basados en inteligencia artificial interceptan más de 10 mil millones de mensajes fraudulentos al mes.

Este caso representa la segunda acción importante de Google contra el phishing como servicio con sede en China en siete meses. Como Cryptopolitan informó en mayo, el Grupo de Inteligencia de Amenazas de Google detectó la primera vulnerabilidad de día cero creada con asistencia de IA, atribuida a grupos chinos y norcoreanos.

En noviembre de 2025, Google demandó a una operación independiente llamada Lighthouse, que tuvo como objetivo a más de un millón de víctimas en 120 países y ofreció más de 600 plantillas que suplantaban la identidad de 400 entidades.

Esa demanda anterior, también interpuesta bajo la ley RICO, logró paralizar Lighthouse en cuestión de horas mediante una orden de restricción temporal. El caso Outsider extiende este enfoque a la era de la IA, donde la capa de modelos realiza el trabajo que los programadores humanos hacían para Lighthouse.

Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.