Así usó Outsider Enterprise la IA Gemini de Google para un fraude masivo: el juicio que sacude el cibercrimen

Cómo utilizó la IA Gemini de Google

El grupo aprovechó Gemini de dos formas decisivas:

• Generación automática de sitios falsos: el kit usaba Gemini para producir el código HTML de páginas de phishing que imitaban bancos, servicios de mensajería como FedEx y el Servicio Postal de Estados Unidos (USPS), sistemas de peaje y pantallas de inicio de sesión del propio Google . La IA producía en segundos páginas falsas pulidas y muy convincentes a escala industrial.
• Burlar los filtros de seguridad: los operadores esquivaban los sistemas de protección de Gemini disfrazando las solicitudes como tareas inofensivas. Por ejemplo, le pedían a la IA “generar una página HTML para una notificación de entrega de paquete”, en lugar de pedir explícitamente una página de fraude .

Al automatizar la creación de sitios con inteligencia artificial, Outsider Enterprise eliminó la barrera técnica para los estafadores. Transformó un proceso manual en una cadena de montaje digital. La demanda de Google señala que la red desplegó más de un millón de sitios web fraudulentos y lanzó más de dos millones de mensajes de texto engañosos contra usuarios de teléfonos móviles en Estados Unidos .

La estructura del grupo, al descubierto en la demanda

La demanda y las investigaciones paralelas revelan una organización sofisticada, casi corporativa, con al menos cinco divisiones especializadas :

Esta división del trabajo —combinada con la automatización mediante IA— permitió a Outsider Enterprise operar con la escala y eficiencia de una empresa legítima de software como servicio, no de una banda criminal tradicional .

Las implicaciones más amplias para el fraude potenciado por IA

• La “democratización” del cibercrimen: al integrar la inteligencia artificial en un kit tan barato y fácil de usar, Outsider puso campañas de phishing muy elaboradas al alcance de personas sin ningún conocimiento de programación. Esto marca un salto: pasamos de ataques dirigidos a un verdadero fraude como servicio, mercantilizado y acelerado por IA .
• Una acción legal pionera: se trata de la primera demanda de Google específicamente por el abuso de sus productos de inteligencia artificial generativa . La señal es clara: las grandes tecnológicas ya no solo bloquean el abuso con medidas técnicas, sino que están dispuestas a ir a los tribunales para cortar la cadena de suministro criminal.
• Nuevo modelo de acción conjunta entre sector público y privado: Google trabajó de forma coordinada con el FBI, AT&T, T-Mobile, Verizon y Lumen Technologies. El mensaje es que desbaratar el fraude potenciado por IA exige una respuesta articulada entre proveedores de inteligencia artificial, operadoras de telecomunicaciones y fuerzas de seguridad .
• Señalamiento de un vacío legal: Google usó la demanda para pedir leyes actualizadas que aborden los abusos específicos de la inteligencia artificial, por ejemplo, tipificar penalmente el uso de IA generativa como arma para el fraude, algo que las normas actuales quizás no cubren con precisión .

Advertencia importante: la demanda es una acción civil, no una condena penal. Las acusaciones contra Outsider Enterprise no han sido probadas en un juicio y los operadores del grupo no han sido identificados públicamente con nombres propios. Las cifras de 1.900 millones de dólares y 3,87 millones de tarjetas de crédito son estimaciones del FBI recogidas en la demanda, no cifras definitivas dictadas por un tribunal .