Estafa invisible: el nuevo fraude con IA que engaña a usuarios de Gmail

Última actualización: octubre 10, 2025
Autor: Alberto Navarro
  • Texto oculto blanco sobre blanco manipula los resúmenes con IA de Gmail y muestra alertas falsas.
  • Los correos incluyen un número de soporte que conecta con estafadores para robar datos y cobrar tarifas.
  • Evitar llamadas y enlaces; comprobar la seguridad desde la cuenta de Google y activar verificación en dos pasos.
  • Google refuerza la detección y recuerda que no solicita contraseñas por correo o teléfono.

Alerta de seguridad por estafa invisible en Gmail

Una nueva modalidad de fraude está poniendo en jaque a los usuarios de correo: la llamada estafa invisible se apoya en inteligencia artificial para colarse en la bandeja de entrada y generar avisos de seguridad que parecen legítimos, pero que en realidad conducen a un engaño muy bien orquestado.

A diferencia del phishing de toda la vida, con errores y señales evidentes, este método destaca por su realismo y personalización. Los delincuentes explotan funciones automáticas de Gmail para crear alertas falsas que piden actuar con urgencia, lo que complica detectar la trampa a simple vista.

Qué es la estafa invisible y por qué preocupa

Los investigadores de ciberseguridad han documentado una técnica inédita que mete instrucciones sigilosas dentro del propio correo. La clave está en insertar texto oculto en blanco sobre fondo blanco, imperceptible para la persona que lee, pero reconocible por los sistemas de IA que generan resúmenes o anotaciones automáticas.

Cuando Gmail procesa ese mensaje, el sistema puede mostrar un aviso alarmante del tipo filtración de contraseña o acceso no autorizado. En ese supuesto aviso se facilita un teléfono de “soporte” para resolver el problema, lo que da credibilidad al engaño.

El siguiente paso es el más delicado: al llamar a ese número, la víctima es atendida por una central de estafadores que solicita información sensible (contraseñas, códigos de verificación o datos bancarios) y, en ocasiones, intenta cobrar por un servicio de supuesta recuperación de la cuenta.

  ¿Cómo puedo cambiar el tamaño de la letra en Google News?

Cómo operan los atacantes paso a paso

El correo llega con apariencia normal, ya sea una comunicación de soporte o una promoción, pero incluye instrucciones ocultas dirigidas a los sistemas automatizados. Esa manipulación provoca resúmenes falsos que simulan proceder de Google y empujan a la acción inmediata.

Para camuflar mejor el fraude, algunos atacantes aprovechan funciones como el modo confidencial o las respuestas inteligentes, lo que dificulta rastrear el origen y burlar filtros básicos. Incluso usuarios avanzados pueden bajar la guardia si confían ciegamente en lo que muestran las ayudas automáticas.

Señales de alerta en tu bandeja

Conviene afinar el radar: la urgencia injustificada, los mensajes que incluyen números a los que llamar y los avisos que no aparecen también en el panel de seguridad de Google son pistas claras de posible manipulación.

  • Correos “limpios” que luego muestran resúmenes con problemas graves de seguridad.
  • Direcciones de remitente que imitan a Google con mínimas variaciones.
  • Indicaciones de llamar a un teléfono externo o escribir a un soporte no verificado.
  • Enlaces que llevan a páginas de autenticación fuera de google.com.

Qué hacer para proteger tu cuenta

Antes de actuar, verifica si el supuesto aviso aparece en el Chequeo de Seguridad de tu cuenta de Google. Si el panel no muestra nada, lo más probable es que te enfrentes a un intento de phishing automatizado.

Además de desconfiar de cualquier llamada o enlace recibido por correo, es recomendable reforzar los controles: activa la verificación en dos pasos, revisa sesiones y dispositivos con acceso y considera desactivar respuestas automáticas si no las necesitas.

  • No llames a números proporcionados en correos inesperados ni compartas códigos de verificación.
  • Comprueba el estado de tu cuenta desde myaccount.google.com y cierra sesiones sospechosas.
  • Activa alertas de seguridad y el modo de Protección Avanzada si procede.
  • Utiliza la opción Informar phishing en Gmail para reportar cualquier intento.
  ¿Cómo puedo ver las aplicaciones para un dispositivo específico en Google Play Store?

La postura de Google y medidas en marcha

Desde la compañía se insiste en que Google no pide contraseñas ni datos sensibles por correo o teléfono. Los avisos oficiales aparecen en el panel de seguridad y en notificaciones verificadas dentro del ecosistema de la cuenta.

De forma paralela, Google está ajustando sus sistemas de detección para reducir el impacto de estas técnicas basadas en IA y minimizar los intentos de manipulación en los resúmenes automáticos, reforzando además los controles contra llamadas de soporte falsas.

La combinación de ingeniería social y automatización ha elevado el listón del fraude, pero con prudencia, verificación directa en la cuenta y medidas como la 2FA, es posible cortar el circuito de la estafa invisible antes de que llegue a más.