Nueva estafa con IA pone en riesgo millones de cuentas Gmail.
Nueva estafa con IA pone en riesgo millones de cuentas Gmail.
Seguridad

Google advierte sobre una nueva estafa “invisible” que engaña a Gmail para robar contraseñas

La compañía alertó sobre un sofisticado fraude que utiliza inteligencia artificial y mensajes ocultos en correos para inducir a los usuarios a entregar credenciales de acceso en páginas falsas, comprometiendo la seguridad de millones de cuentas de Gmail en todo el mundo.

Photo of Redacción de ITSitio Redacción de ITSitio Send an email agosto 18, 2025
2 minutos de lectura

Google ha emitido una nueva advertencia dirigida a los más de 1.800 millones de usuarios de Gmail: una sofisticada modalidad de phishing está aprovechando la inteligencia artificial Gemini para engañar a los sistemas de seguridad y robar contraseñas de forma imperceptible.

¿Cómo funciona esta estafa?

Los ciberdelincuentes envían correos aparentemente inocuos que contienen códigos ocultos insertados mediante HTML y CSS (texto en blanco o tamaño cero). Aunque invisibles para el usuario, estos “prompts” son detectados por Gemini cuando resume el contenido del mensaje y generan una alerta falsa, indicando que la cuenta ha sido comprometida. Luego, se muestra un número de soporte falso para que el usuario llame, exponiéndose al robo de información sensible (por ejemplo, contraseñas).

Esta técnica, conocida como “indirect prompt injection”, aprovecha la IA de Gemini para inducir respuestas generadas de confianza que facilitan el engaño.

Publicaciones relacionadas
Ciberdelincuentes están utilizando correos aparentemente legítimos para insertar instrucciones ocultas dirigidas a Gemini, la IA de Google, generando falsas alertas de seguridad.
Ciberdelincuentes están utilizando correos aparentemente legítimos para insertar instrucciones ocultas dirigidas a Gemini, la IA de Google, generando falsas alertas de seguridad.

¿Qué riesgos implica?

  • Alta credibilidad: las alertas parecen legítimas porque se generan desde una herramienta oficial (Gemini), lo que reduce la sospecha del usuario.
  • Difícil detección visual: al estar ocultos en el código, los mensajes pasan inadvertidos incluso para usuarios técnicos.
  • Alcance masivo: Google advierte que más de 1.800 millones de cuentas están potencialmente en riesgo por esta modalidad.
Gemini, la inteligencia artificial de Google, es explotada mediante técnicas de "prompt injection indirecto", engañándola para generar respuestas que inducen al usuario a cometer errores.
Gemini, la inteligencia artificial de Google, es explotada mediante técnicas de «prompt injection indirecto», engañándola para generar respuestas que inducen al usuario a cometer errores.

Recomendaciones de seguridad

Google y expertos en ciberseguridad sugieren una serie de medidas para blindarse frente a este ataque:

  • No confiar ciegamente en resúmenes generados por IA, especialmente si alertan sobre problemas de seguridad.
  • Configurar clientes de correo para detectar o bloquear contenido oculto en los mensajes.
  • Aplicar filtros post-procesamiento que detecten frases urgentes, URLs inusuales o números de teléfono en los emails.
  • Leer el mensaje completo en lugar de resumirlo con Gemini y verificar toda alerta a través de fuentes oficiales de Google.
  • No llamar a números desconocidos que supuestamente acompañan los mensajes. Google no solicita información sensible por ese medio.
  • Mantener activas medidas de seguridad adicionales, como la autenticación en dos pasos, y evaluar el uso de métodos más seguros como passkeys.
Las falsas alertas incluyen números de soporte falsos. Al llamar, el usuario se expone al robo de contraseñas e información confidencial.
Las falsas alertas incluyen números de soporte falsos. Al llamar, el usuario se expone al robo de contraseñas e información confidencial.

¿Por qué es importante esta alerta?

Esta estafa representa un desafío emergente en el panorama digital: combina el phishing tradicional con IA avanzada para engañar no solo a usuarios desprevenidos, sino también a los sistemas automáticos de seguridad. En un entorno donde la automatización busca facilitar el acceso, los atacantes están aprovechando esa misma automatización en contra de los usuarios.

En un contexto donde el phishing evoluciona al ritmo de la inteligencia artificial, la desconfianza y verificación activa son las mejores defensas. Si recibes una alerta de seguridad —especialmente una generada por herramientas como Gemini—, desconfía, verifica directamente en tu cuenta y evita actuar mediante enlaces o contactos proporcionados en el correo.

Leer más

Autor

Etiquetas
Photo of Redacción de ITSitio Redacción de ITSitio Send an email agosto 18, 2025
2 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Redacción de ITSitio

Redacción de ITSitio

Publicaciones relacionadas

Los ciberdelincuentes aprovechan Google Forms para enviar correos falsos que simulan transacciones de criptomonedas y engañar a los usuarios.

Kaspersky alerta sobre nueva estafa que usa Google Forms para robar criptomonedas

Redes seguras y escalables, clave en el nuevo entorno de trabajo híbrido.

Cómo armar una red segura para oficinas híbridas: claves, amenazas y mejores prácticas

Oscar Chavez-Arrieta, vicepresidente ejecutivo de SonicWall Latinoamérica.

La fórmula de SonicWall: adaptación local, partners fuertes y crecimiento sostenido

Investigadores de Check Point alertan sobre el aumento récord en el robo de credenciales, una práctica que se ha vuelto más automatizada y difícil de detectar en 2025.

Check Point: El robo de credenciales se dispara un 160% en 2025

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba