Alerta del FBI: estafas de phishing con IA están engañando a usuarios de Gmail

Google ha emitido una advertencia sobre un reciente ataque de phishing dirigido a sus usuarios de Gmail, el cual ha sido descrito como uno de los más sofisticados hasta la fecha debido al uso de inteligencia artificial (IA). Según un artículo publicado por Forbes el 5 de febrero de 2025, el ataque fue descubierto tras un intento fallido de apropiación de cuenta que involucró tácticas avanzadas para engañar a la víctima.

Este incidente destaca cómo la evolución de la tecnología está permitiendo que los ciberdelincuentes desarrollen métodos más complejos para vulnerar la seguridad digital. A pesar de la sofisticación del ataque, los expertos señalan que existen medidas básicas que pueden prevenir que los usuarios caigan en este tipo de estafas.

El FBI también ha emitido advertencias sobre este tipo de amenazas, subrayando la importancia de no responder a llamadas o correos electrónicos inesperados que soliciten información personal. La combinación de tácticas tradicionales de phishing con tecnologías avanzadas como la IA está redefiniendo el panorama de la ciberseguridad.

Además, expertos en seguridad informática han advertido que los ciberdelincuentes están utilizando técnicas de ingeniería social combinadas con IA para personalizar sus ataques, aumentando la probabilidad de éxito. Esto hace que sea crucial que los usuarios estén informados sobre las señales de advertencia y las mejores prácticas de seguridad.

El ataque comenzó con una llamada telefónica que supuestamente provenía del equipo de soporte de Google. El número de teléfono aparentaba ser legítimo y estaba respaldado por un correo electrónico enviado desde un dominio que imitaba a Google, según informó The Register, citado por Forbes. La víctima, un ingeniero con conocimientos en tecnología, describió el intento de fraude como “el ataque de phishing más sofisticado que he visto jamás”.

Los estafadores utilizaron una combinación de llamadas telefónicas convincentes y correos electrónicos diseñados para parecer auténticos. En algunos casos, incluso emplearon voces generadas por IA para simular acentos y tonos de voz específicos, haciendo que la comunicación pareciera más creíble.

Google confirmó que el atacante utilizó una cuenta de Workspace no verificada para enviar correos electrónicos engañosos. La compañía suspendió dicha cuenta y anunció que está fortaleciendo sus sistemas de seguridad para prevenir abusos similares, según declaraciones recogidas por Forbes. Google también enfatizó que nunca realiza llamadas para solicitar el restablecimiento de contraseñas o para solucionar problemas de cuentas, subrayando que estos contactos son una señal clara de intento de fraude.

La compañía está implementando nuevas herramientas de detección de amenazas basadas en IA, capaces de identificar patrones sospechosos en tiempo real. Estas herramientas buscan anomalías en el comportamiento del usuario y en la actividad de las cuentas para detectar posibles intentos de acceso no autorizados.

El FBI ha emitido advertencias reiteradas sobre la creciente frecuencia de estas estafas telefónicas, no solo relacionadas con el soporte técnico de empresas tecnológicas, sino también con instituciones financieras y organismos gubernamentales. En una declaración citada por Forbes, el FBI señaló que “las empresas legítimas de atención al cliente, seguridad o soporte técnico no inician contactos no solicitados con personas”.

El organismo recomienda no compartir información personal o financiera por teléfono, especialmente si la llamada no fue iniciada por el usuario. Además, sugiere verificar directamente con la institución correspondiente antes de tomar cualquier acción solicitada durante una llamada sospechosa.

Según el informe de Forbes, el ataque en cuestión se prolongó durante un período considerable hasta que el estafador cometió un error al intentar hacerse pasar por un superior, lo que llevó a la víctima a sospechar. Aunque Google afirmó que no hay evidencia de que esta táctica se esté utilizando a gran escala, la sofisticación del ataque ha generado preocupación debido al potencial de replicación.

La IA está permitiendo que los ciberdelincuentes automaticen procesos de recopilación de datos para personalizar sus ataques. Esto incluye el análisis de perfiles en redes sociales para obtener información personal que pueda ser utilizada para hacer que los mensajes de phishing sean más convincentes.

Los atacantes aprovecharon tácticas de “spoofing” para falsificar números de teléfono y direcciones de correo electrónico, haciéndolos parecer auténticos. Este método no es nuevo, pero el uso de IA ha incrementado la capacidad de los estafadores para crear escenarios más creíbles, según expertos citados por Forbes. La IA permite automatizar y personalizar mensajes fraudulentos, lo que dificulta su detección.

Se recomienda a los usuarios verificar la dirección de correo electrónico del remitente, buscar errores ortográficos y gramaticales en los mensajes, y desconfiar de las solicitudes urgentes de información personal o financiera. También es aconsejable activar la autenticación en dos pasos siempre que sea posible.

Google ha implementado nuevas medidas para proteger a los usuarios, incluyendo el refuerzo de sus defensas contra abusos relacionados con dominios como “g.co”, que son utilizados por estafadores para registrar cuentas y enviar correos falsificados. La compañía está también trabajando en mejorar la educación de los usuarios sobre cómo identificar intentos de phishing, de acuerdo con Forbes.

Además, Google está desarrollando algoritmos de aprendizaje automático para mejorar la detección de amenazas emergentes. Estos algoritmos analizan grandes volúmenes de datos para identificar patrones que puedan indicar actividades maliciosas.

El incidente destaca la necesidad de mantener la vigilancia ante comunicaciones no solicitadas. Los usuarios deben estar atentos a señales de alerta, como solicitudes inesperadas de información personal o instrucciones para realizar cambios en cuentas. Según el FBI, nunca se debe proporcionar información confidencial por teléfono o correo electrónico a menos que se pueda verificar la legitimidad del contacto.

Se recomienda mantener actualizado el software de seguridad, utilizar contraseñas fuertes y únicas para cada cuenta, y realizar copias de seguridad de la información importante de forma regular. La concienciación y la educación en ciberseguridad son herramientas clave para prevenir ser víctima de estafas.