Estafa invisible en Gmail: manipulan a Gemini para robar datos personales
Estafadores utilizaban a la IA de Google para vulnerar a los usuarios
Una nueva modalidad de fraude digital ha encendido las alarmas en el ecosistema de ciberseguridad global. Se trata de la llamada “estafa invisible”, una técnica sofisticada que explota vulnerabilidades en Gemini, la inteligencia artificial integrada en Gmail, para inducir a los usuarios a entregar información confidencial sin advertir el engaño.
La amenaza, detectada por la Asociación Finlandesa de Telemarketing y reconocida por Google, pone en riesgo a más de 1.800 millones de cuentas en todo el mundo.
¿Cómo funciona el engaño?
El mecanismo de esta estafa comienza con un correo electrónico aparentemente inofensivo. En su contenido, los ciberdelincuentes insertan un fragmento de código HTML o CSS en color blanco —invisible para el lector humano— que es interpretado por Gemini al momento de generar el resumen automático del mensaje.
Este código oculto activa una instrucción que induce a Gemini a elaborar una advertencia falsa, como por ejemplo: “Tu contraseña de Google ha sido expuesta”. A continuación, el resumen sugiere llamar a un número de atención al cliente que, en realidad, pertenece a los propios estafadores. La llamada suele ser de pago y, una vez en contacto, los delincuentes obtienen datos sensibles o redirigen al usuario a sitios fraudulentos.
Este tipo de manipulación se conoce como “prompt injection indirecto”, una técnica que explota la capacidad de la IA para interpretar instrucciones ocultas y generar respuestas creíbles. La eficacia del fraude radica en la confianza que los usuarios depositan en los resúmenes automáticos de Gemini, sin sospechar que han sido manipulados desde el código fuente del correo.
Más allá del phishing tradicional
A diferencia del phishing clásico, que suele incluir enlaces sospechosos o archivos adjuntos maliciosos, la estafa invisible se camufla en el propio funcionamiento de la inteligencia artificial. Esto la vuelve especialmente difícil de detectar, incluso para usuarios con experiencia técnica.
Las consecuencias pueden ser graves: desde el robo de credenciales de acceso hasta la exposición de datos bancarios, documentos personales y fotografías almacenadas en la cuenta de Google. Además, al tratarse de una llamada telefónica, los atacantes pueden persuadir a la víctima en tiempo real, aumentando la probabilidad de éxito del fraude.
Recomendaciones para protegerse
Google y expertos sugieren adoptar una serie de medidas preventivas para evitar caer en esta modalidad de estafa:
- Leer el mensaje completo antes de confiar en el resumen generado por Gemini.
- Configurar filtros de correo que detecten contenido oculto o frases urgentes.
- No llamar a números de atención al cliente que aparezcan en correos electrónicos, especialmente si no provienen de fuentes verificadas.
- Acceder directamente a la página oficial de recuperación de cuentas de Google en caso de sospecha.
- Cambiar la contraseña de inmediato si se detecta actividad sospechosa, utilizando combinaciones seguras con letras, números y símbolos.
