Las nuevas estafas en Gmail usan inyección de instrucciones para engañar a usuarios y hasta a defensas con inteligencia artificial
Por Félix Riaño @LocutorCo
Un ataque de phishing está usando inteligencia artificial para burlar las defensas de Gmail y robar contraseñas. La campaña incluye correos falsos de soporte técnico, llamadas telefónicas y hasta páginas que imitan al login de Google. Expertos en ciberseguridad advierten que miles de millones de cuentas están en riesgo. Google ha confirmado que la mayoría de usuarios va a tener que cambiar sus contraseñas y activar nuevos métodos de autenticación.
El engaño digital nunca se queda quieto. Ahora los atacantes están probando un nuevo truco: no se conforman con engañar a los humanos, también quieren manipular a las máquinas que nos protegen. Un correo electrónico que aparenta ser una alerta de expiración de contraseña llega a la bandeja de entrada, acompañado de un enlace disfrazado de legítimo. Hasta aquí parece un phishing clásico. Pero lo que no se ve a simple vista es que el código del mensaje contiene instrucciones ocultas dirigidas a modelos de inteligencia artificial, como los que usan muchas empresas de seguridad para clasificar correos. El resultado puede ser que la propia IA se distraiga y no bloquee la amenaza. Y mientras tanto, ¿cuántos usuarios siguen creyendo que Google les va a enviar un mensaje pidiendo su clave?
Los hackers ahora atacan a las personas y a la inteligencia artificial
Los investigadores explican que este ataque comenzó con correos que parecían muy convincentes. El asunto decía “Notificación de expiración de inicio de sesión” con hora y fecha precisas. El cuerpo del mensaje aseguraba que la contraseña estaba a punto de expirar, presionando al usuario a hacer clic en un enlace. El truco clásico de generar urgencia. Lo interesante es que los correos pasaron filtros básicos: superaron pruebas SPF y DKIM, que sirven para verificar la autenticidad, y solo fallaron en DMARC. Esto permitió que aterrizaran en bandejas de entrada reales. Al seguir el enlace, la víctima encontraba primero una página con captcha, diseñada para impedir que los escáneres automáticos llegaran al verdadero destino: una página idéntica al login de Gmail, con código oculto para robar credenciales.
Lo más alarmante es que los atacantes escondieron instrucciones tipo “prompt” en el código del correo. Estos mensajes secretos están redactados en el estilo que usamos con sistemas como ChatGPT o Gemini. Así, si una herramienta de seguridad basada en inteligencia artificial analizaba el correo, podía quedar atrapada en un bucle de razonamiento o distraída generando explicaciones irrelevantes. En otras palabras, los hackers encontraron la manera de hackear a la propia inteligencia artificial. El ataque no se limita a engañar a las personas, también busca engañar a los filtros automáticos. A esto se suma que muchos usuarios siguen sin activar medidas básicas como la autenticación de dos factores o los passkeys, que reemplazan a las contraseñas. Y si a eso agregamos que se filtraron datos de hasta 2.500 millones de cuentas en un ataque previo, la combinación es peligrosa.
Google ha reaccionado confirmando que la mayoría de usuarios de Gmail va a tener que cambiar su contraseña. Recomienda hacerlo de inmediato y no usar la misma clave en diferentes servicios. La empresa también insiste en activar passkeys, que permiten ingresar sin contraseña y reducen la posibilidad de robo. Expertos recomiendan usar aplicaciones de autenticación en lugar de códigos SMS, que son más fáciles de interceptar. Además, recuerdan una regla de oro: Google nunca va a llamar por teléfono para pedirte tu clave, ni a enviarte un mensaje con enlaces directos para iniciar sesión. Si ves un mensaje sospechoso, verifica la actividad en la página oficial de seguridad de tu cuenta. Los grupos de hackers como ShinyHunters ya han usado tácticas similares para robar datos de millones de usuarios en otras plataformas, así que no se trata de un caso aislado.
Este tipo de ataques mezcla varias técnicas de engaño. Hay “vishing”, que son llamadas telefónicas en las que un supuesto soporte técnico pide códigos. Hay correos falsos que imitan el estilo de las alertas de seguridad reales de Google. Y ahora, se suma la inyección de instrucciones para confundir a los sistemas de inteligencia artificial. Según la Comisión Federal de Comercio de Estados Unidos, también se han visto casos similares con Amazon y PayPal. En estos, los usuarios reciben mensajes falsos de reembolso o de fallos en la entrega de productos. La táctica es siempre la misma: generar miedo o urgencia, y convencer a la persona de entregar sus datos sin pensar demasiado. Lo novedoso aquí es que también intentan manipular la tecnología que debería detenerlos. Los expertos en seguridad advierten que, así como los filtros se vuelven más inteligentes, los atacantes también se actualizan.
Los ataques de phishing en Gmail evolucionan. Ahora mezclan engaños para personas y trucos contra la inteligencia artificial. Cambia tu contraseña, activa passkeys y revisa tus alertas solo en la página oficial de Google. Y no olvides seguir Flash Diario en Spotify para mantenerte protegido con la mejor información.
Nuevo phishing en Gmail engaña a usuarios y hasta a la inteligencia artificial. Google exige cambiar contraseñas y activar passkeys.🔗 Bibliografía
