Google demanda a una red china que usó Gemini para crear un millón de URLs fraudulentas

Por: Carmen Ruiz | hoy dia, 02:07

Google ha presentado una demanda judicial contra Outsider Enterprise, una red de cibercrimen con base en China, acusada de usar la IA Gemini para montar estafas a escala industrial. La operación generó más de 9.000 sitios web falsos y cerca de un millón de URLs fraudulentas, con pérdidas estimadas en millones de dólares y cientos de miles de víctimas. Es la primera vez que Google actúa legalmente contra el abuso específico de Gemini.

La estafa

Outsider Enterprise utilizó Gemini para generar código HTML de páginas de phishing disfrazadas de portales legítimos. Las webs imitaban servicios de Google, YouTube, el Servicio Postal de EE. UU. (USPS) y el sistema de peaje electrónico E-ZPass. Los estafadores pedían a la IA que creara, por ejemplo, "una página de canje de regalo", obteniendo así sitios de aspecto convincente sin necesidad de conocimientos técnicos avanzados.

La escala es llamativa: en solo dos semanas se enviaron 2,5 millones de mensajes con enlaces a esos sitios falsos. En mayo se registraron 55.000 mensajes de spam denunciados por usuarios de Android. El FBI estima que este tipo de fraude con IA ha generado pérdidas de 1.900 millones de dólares desde julio de 2023, según Digital Trends.

Lo que esto significa

Google colaboró con el FBI y con las operadoras AT&T;, T-Mobile y Verizon para bloquear los mensajes y desmantelar la infraestructura. Un tribunal del Distrito Sur de Nueva York emitió una orden de restricción temporal para detener la actividad de la red.

La empresa también apoya siete proyectos de ley bipartidistas en EE. UU. orientados a regular el fraude potenciado por IA. El caso pone de manifiesto un problema estructural: cualquier persona con acceso a un modelo de IA puede ahora producir campañas de phishing masivas en horas.

Para el mercado español, la pregunta relevante es de responsabilidad. La Agencia Española de Protección de Datos (AEPD) ya supervisa el uso de datos en sistemas de IA, y el Reglamento General de Protección de Datos (RGPD) obliga a actuar ante accesos no autorizados. Si se confirmaran víctimas en España, la CNMC y los cuerpos de ciberseguridad del Estado tendrían base legal para investigar. Por ahora, la demanda se centra en EE. UU., pero el patrón —redes chinas que explotan plataformas de IA occidentales para fraude transfronterizo— es un escenario que los reguladores europeos ya no pueden ignorar.