Google ha interpuesto una demanda contra una organización criminal de origen chino llamada «Outsider Enterprise» por utilizar sus herramientas y su marca —en particular el modelo Gemini— para ejecutar lo que la compañía describe como una operación de estafa «masiva» que ha afectado a cientos de miles de víctimas con pérdidas estimadas en millones de dólares. La acción legal se coordinó con el FBI y los operadores AT&T, T-Mobile y Verizon para desmantelar la red. Lo publica Engadget hoy. Más allá de la demanda, Google está aprovechando el caso como palanca legislativa: la compañía promueve activamente siete proyectos de ley bipartidistas ante el Congreso de Estados Unidos para actualizar el marco legal frente a las estafas impulsadas por inteligencia artificial. La declaración de la consejera general de Google, DeLaine Prado, al New York Times lo resume sin rodeos: «Esta es nuestra primera acción coordinada como demanda, y eso habla del alcance de esta estafa en particular.»
Las dimensiones del fraude: lo que hizo Outsider Enterprise en dos semanas
Los números que Google detalla en la demanda tienen la escala suficiente para entender por qué la compañía decidió ir a los tribunales en lugar de resolverlo de forma administrativa. En un periodo de tan solo dos semanas, la red criminal de Outsider Enterprise creó 9.000 sitios web falsos y un millón de URLs fraudulentas. En ese mismo plazo generó 55.000 mensajes de texto identificados como spam por usuarios de Android y distribuyó 2,5 millones de mensajes con enlaces a páginas fraudulentas. Los destinatarios eran usuarios que buscaban soporte técnico, servicios gubernamentales o ayuda financiera, y se encontraban con páginas de apariencia legítima construidas con herramientas de IA generativa que imitaban el estilo visual y el tono de comunicación de empresas reales.
La escala no es anecdótica: un informe reciente del FBI cifra los daños del cibercrimen vinculado a IA en 893 millones de dólares solo en el año anterior. Y los deepfakes, que este tipo de operaciones usan para construir páginas y mensajes más convincentes, ya representan el 11% de toda la actividad fraudulenta global según el informe Fraud Trends 2026 de Sumsub. El crecimiento del fraude asistido por IA alcanza el 1.210% en los últimos tres años según el mismo informe. El uso de Gemini no fue una casualidad: las estafas potenciadas por IA que engañan incluso a viajeros bien informados muestran que los modelos de lenguaje facilitan la personalización del engaño a escala industrial.
Cómo usaron Gemini: IA como herramienta de producción masiva de engaños
El mecanismo de Outsider Enterprise no difiere demasiado de cómo usaría la IA un equipo de marketing legítimo: automatización de la producción de contenido. La diferencia es el contenido. La red utilizó Gemini para generar scripts personalizados de engaño, adaptar el tono de cada mensaje al perfil probable del destinatario y producir variantes de páginas web fraudulentas a velocidades que harían inviable el proceso sin IA. La coordinación con los operadores de telecomunicaciones —AT&T, T-Mobile y Verizon— fue clave para identificar los números de origen de los mensajes y dar cobertura técnica a la demanda.
Desde hace tiempo Google trabaja en defensas internas contra este tipo de uso. Iniciativas como la IA de Chrome para detectar estafas en tiempo real mediante el modelo Gemini Nano en el propio dispositivo buscan precisamente interceptar estas amenazas antes de que el usuario las vea. Pero hay una tensión estructural difícil de resolver: el mismo modelo que se usa para hacer el navegador más seguro puede ser secuestrado para construir las amenazas que ese navegador intenta detectar. Es el problema del escudo y la lanza en la misma herrería.
La estrategia legislativa: Google no solo demanda, pide siete leyes nuevas
La demanda contra Outsider Enterprise tiene un propósito doble. El primero es operativo: solicitar una orden de restricción para desmantelar la red. El segundo, más estratégico, es político: Google está usando el caso como evidencia de la insuficiencia del marco legal actual y empuja activamente por varios textos legislativos. Los proyectos de ley que la compañía apoya incluyen la National Strategy for Combatting Scams Act, la Strategic Task Force on Scam Prevention Act, la STOP Scams Against Seniors Act y la llamada AI Plan Act. En total, siete propuestas bipartidistas. La declaración de la compañía es inequívoca: «Esto no es spam. Es crimen organizado transnacional moviéndose a través de nuestros teléfonos, y exige una respuesta igual de coordinada y agresiva.»
Llevamos cubriendo el ecosistema de ciberseguridad y fraude digital desde la época en que los primeros ataques de phishing a gran escala empezaron a organizarse desde redes de bots en Europa del Este. La novedad aquí no es la intención criminal sino la escala que habilita la IA. El mismo volumen de URLs fraudulentas que Outsider Enterprise generó en dos semanas habría requerido semanas de trabajo manual y equipos de cientos de personas en 2015. La iniciativa global de Google contra el fraude online que arrancó en 2024 con la Global Anti-Scam Alliance fue un primer paso en la dirección correcta, pero los datos del caso Outsider Enterprise demuestran que el escalado del problema supera todavía las herramientas de detección desplegadas.
Mi valoración
Lo que más me convence de este movimiento de Google es la transparencia táctica: la compañía no solo demanda, sino que muestra los datos en público y los usa para justificar una agenda legislativa. Es exactamente lo que debería hacer una empresa que controla una infraestructura crítica de comunicación y que ve cómo esa infraestructura se convierte en vector de ataque. Lo que más me preocupa es el riesgo de que la demanda judicial se convierta en un gesto de relaciones públicas sin continuidad real. Outsider Enterprise será desmantelada o no, pero la siguiente organización criminal ya está usando exactamente las mismas herramientas. El problema no es uno ni dos actores: es un modelo de negocio delictivo que se ha hecho accesible con IA barata. Lo más estructuralmente significativo es que Google está usando sus propios datos de fraude como munición legislativa. Eso es nuevo. Hasta ahora las grandes tecnológicas respondían a las presiones regulatorias en modo defensivo. Aquí la estrategia es distinta: ir al Congreso a decir «tenemos el problema, aquí están los datos, necesitamos estas siete leyes». La pregunta a 12 meses no es si se aprueban esas siete leyes —probablemente no todas— sino si alguna de ellas crea un mecanismo real de coordinación entre plataformas, operadores y fuerzas del orden que funcione más rápido que el ciclo de innovación criminal. Mi predicción: al menos dos de las siete leyes avanzan en alguna forma antes de las elecciones de midterm de 2026, y las plataformas invierten en controles de uso de sus APIs significativamente más restrictivos antes de fin de año.
Preguntas frecuentes
¿Qué es Outsider Enterprise y qué se le acusa exactamente?
Outsider Enterprise es una organización criminal china a la que Google acusa en su demanda de usar el modelo de IA Gemini y la marca de Google para ejecutar una operación de fraude masiva. Según la demanda, en solo dos semanas crearon 9.000 sitios web fraudulentos, un millón de URLs falsas y enviaron 2,5 millones de mensajes con enlaces a páginas de estafa. Google solicita al tribunal una orden de restricción para desmantelar la red y ha coordinado la acción con el FBI y los principales operadores de telecomunicaciones de EE.UU.
¿Pueden los usuarios protegerse de este tipo de estafas generadas con IA?
La protección más efectiva pasa por varias capas. A nivel de navegador, Google Chrome tiene activado por defecto el modo de protección estándar contra phishing y fraude. Activar el modo de Protección Mejorada en Chrome duplica la detección de amenazas según datos de Google. A nivel de usuario: desconfiar de cualquier número de soporte técnico obtenido a través de búsqueda en Google o en respuestas de IA generativa —verificar siempre el número directamente en la web oficial de la empresa—, no hacer clic en SMS con URLs acortadas de remitentes desconocidos, y reportar los mensajes sospechosos directamente al operador.
¿Qué leyes propone Google para combatir el fraude por IA?
Google apoya activamente siete proyectos de ley bipartidistas en el Congreso de EE.UU.: la National Strategy for Combatting Scams Act, la Strategic Task Force on Scam Prevention Act, la STOP Scams Against Seniors Act y la AI Plan Act, entre otras. El eje común de todas es la creación de mecanismos de coordinación entre plataformas tecnológicas, operadores de telecomunicaciones y agencias federales para compartir señales de fraude en tiempo real, actualizar las definiciones legales de delito para incluir herramientas de IA generativa, y aumentar las penalizaciones para operaciones de fraude transnacional asistidas por IA.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario