
Estafa invisible en Gmail: Usando IA están robando información crucial de usuarios
Una nueva modalidad de fraude digital afecta a usuarios de Gmail: correos con código oculto manipulan a la IA
La “estafa invisible” en Gmail se ha convertido en una de las amenazas digitales más comentadas en 2025. Según reportes de medios internacionales y advertencias de la Asociación Finlandesa de Telemarketing, ciberdelincuentes están aprovechando vulnerabilidades en el uso de inteligencia artificial (IA) dentro del correo electrónico para engañar incluso a usuarios experimentados.
El fraude inicia con un correo aparentemente inofensivo, que suele llegar junto a promociones, notificaciones o suscripciones rutinarias. Lo que lo diferencia es la inclusión de un fragmento de código escrito en color blanco, invisible para el ojo humano, pero diseñado para ser interpretado por motores de IA como Gemini, el sistema de Google que genera resúmenes automáticos de mensajes.
Cuando el correo es procesado, la IA interpreta esa instrucción oculta y produce un resumen falso que alerta al usuario sobre una supuesta filtración de contraseña. El mensaje sugiere tomar medidas inmediatas, como llamar a un número de atención al cliente. Sin embargo, ese número conecta directamente con una central telefónica controlada por los estafadores, donde comienza la verdadera extracción de datos.
Cómo funciona la manipulación con IA
La eficacia de esta estafa radica en que el mensaje fraudulento no llega directamente del atacante, sino a través de una herramienta tecnológica que los usuarios consideran confiable. El resumen generado por la IA actúa como un “intermediario de confianza”, lo que aumenta la credibilidad del engaño.
De acuerdo con los especialistas, el proceso sigue estos pasos:
- El usuario recibe un correo aparentemente normal.
- El mensaje contiene un código oculto en blanco, invisible en pantalla.
- La IA de Gmail procesa el correo y genera un resumen manipulado.
- El resumen alerta falsamente sobre una filtración de contraseña.
- El usuario es inducido a llamar a un número o visitar un enlace fraudulento.
- En ese contacto, los delincuentes solicitan datos personales, bancarios o credenciales de acceso.
El presidente de la Asociación Finlandesa de Telemarketing, Arto Isokoski, explicó que “el riesgo está en que el mensaje no llega directamente del atacante, sino a través de una herramienta tecnológica que muchos consideran confiable”
Qué buscan los ciberdelincuentes
Los ciberdelincuentes buscan principalmente credenciales de acceso a cuentas de correo y redes sociales, así como información bancaria y números de tarjetas de crédito. También intentan obtener documentos personales y datos de identidad, además de códigos de autenticación de dos factores, con el fin de vulnerar la seguridad de los usuarios y acceder a información sensible.
En algunos casos, los delincuentes también inducen a las víctimas a ingresar a páginas web falsas que simulan ser portales oficiales de Google o bancos, donde se completa el robo de información.
El temor generado por la advertencia de una supuesta filtración de contraseñas aumenta la probabilidad de que los usuarios actúen de manera impulsiva, sin verificar la autenticidad del mensaje.
Cómo protegerse de la estafa invisible
Expertos en ciberseguridad recomiendan adoptar medidas preventivas para evitar caer en este tipo de fraudes:
- Desconfiar de resúmenes alarmistas: si un correo indica que su contraseña fue filtrada, verifique directamente en la configuración de seguridad de Google y no a través de números o enlaces externos.
- Revisar la fuente del mensaje: comprobar la dirección de correo del remitente y evitar interactuar con remitentes desconocidos.
- No llamar a números no verificados: las empresas tecnológicas no solicitan datos sensibles por teléfono.
- Activar la verificación en dos pasos: añade una capa extra de seguridad a las cuentas.
- Mantener actualizado el software: tanto el sistema operativo como las aplicaciones deben estar al día para reducir vulnerabilidades.
- Reportar correos sospechosos: Gmail permite marcar mensajes como phishing para ayudar a mejorar los filtros de seguridad
La clave está en la educación digital y en no confiar ciegamente en los resúmenes generados por IA, por más útiles que parezcan.
Para seguir leyendo EXPRESO sin restricciones, SUSCRÍBETE AQUÍ