Compartir
INFORME DE AMENAZA - PHISHING CON IA

El FBI desmantela Outsider Enterprise, el phishing con IA que costó 1.900 millones de dólares

El FBI, junto a Google y Lumen Technologies, tumbó una operación que usaba inteligencia artificial para fabricar más de un millón de páginas y enlaces de phishing. La captura es buena noticia. La lección es inquietante: la IA ya produce estafas perfectas, sin erratas, y las vende baratas por suscripción.

SafeBrowz Threat Research Investigación de seguridad15 de junio de 20268 min de lectura

¿Qué fue Outsider Enterprise y por qué importa ahora?

Veredicto: el desmantelamiento de Outsider Enterprise eliminó una operación, no la amenaza. El phishing-as-a-service con IA hace que los SMS fraudulentos perfectos sean baratos e infinitos, así que la única defensa fiable es la regla de siempre: nunca actúes desde un enlace de un SMS inesperado, abre tú mismo el sitio oficial. Outsider Enterprise era una plataforma china de phishing que se alquilaba por suscripción y usaba IA para generar en masa páginas falsas de bancos, tarjetas, paquetería, peajes e impuestos. El FBI, con Google y Lumen, incautó sus servidores y miles de dominios. Pero el modelo ya está suelto: aparecerán imitadores. Lo que no cambia es que el dominio del enlace y el canal del mensaje siguen delatando el fraude.

Qué pasó: la Operation Ghost Hook

El 12 de junio de 2026, el FBI anunció el desmantelamiento de una de las mayores operaciones de phishing por SMS conocidas hasta la fecha. La acción, bautizada como Operation Ghost Hook, fue una colaboración entre la oficina federal, Google y Lumen Technologies a través de su unidad de investigación Black Lotus Labs. El objetivo era una plataforma con base en China que Google identifica con el nombre de Outsider Enterprise.

No se trataba de un grupo que enviara estafas por su cuenta, sino de un negocio que vendía la capacidad de estafar. Es lo que en el sector se llama phishing-as-a-service: una infraestructura lista para usar que cualquier delincuente podía alquilar. Según las cifras del caso, la suscripción rondaba los 88 dólares a la semana o 200 dólares al mes. Por ese precio, un cliente sin conocimientos técnicos accedía a un sistema capaz de producir campañas de fraude a escala industrial.

La pieza central, y lo que hace este caso distinto a todo lo anterior, es la inteligencia artificial. Google señala que la operación se apoyaba en Gemini y en otras herramientas de IA para generar de forma automática las páginas de phishing y los textos de los mensajes. El resultado fueron más de un millón de URLs fraudulentas, cada una imitando a una marca de confianza: bancos, emisores de tarjetas, empresas de paquetería, sistemas de peaje, agencias tributarias. Esos enlaces se distribuían por SMS, una técnica que se conoce como smishing, con el fin de robar datos de tarjeta y contraseñas.

La escala del daño

La operación llevaba activa desde julio de 2023, casi tres años antes de su caída. En ese tiempo, según las estimaciones del FBI, comprometió alrededor de 3,87 millones de tarjetas y causó pérdidas cercanas a los 1.900 millones de dólares. Las víctimas se cuentan por cientos de miles repartidas por todo el mundo.

En el desmantelamiento, las autoridades golpearon la infraestructura por varios flancos a la vez. Google presentó una demanda civil el 12 de junio de 2026. El FBI incautó los servidores de la plataforma, una tienda de Shopify que la operación usaba, una cuenta de prueba y unos 100.000 USDT (la criptomoneda Tether) en fondos. Miles de los dominios de phishing redirigen ahora a una página de aviso del propio FBI. Para cerrar el canal de distribución, Google está coordinando con los operadores AT&T, T-Mobile y Verizon el bloqueo de los mensajes fraudulentos.

Por qué la captura no es el final

Es tentador leer esta noticia como una victoria limpia y pasar página. Caer una operación de este tamaño es, sin duda, un buen resultado. Pero quedarse ahí sería perder lo importante. El verdadero titular no es a quién atraparon, sino qué demostró este caso sobre cómo funciona el fraude ahora.

Durante años, el consejo de seguridad más repetido fue mirar la ortografía. Un correo con faltas, una frase mal traducida, un tono raro: esas eran las pistas que delataban una estafa. Outsider Enterprise prueba que esa era ya no sirve. La IA escribe mensajes perfectos, sin erratas, en el idioma y el registro exactos de la marca que suplanta. Y los fabrica por millones, a un coste irrisorio, alquilables por menos de 100 dólares a la semana.

Eso significa dos cosas. Primero, que aunque esta plataforma haya caído, el modelo de negocio funciona y otros lo copiarán. Aparecerán imitadores con la misma fórmula. Segundo, que las viejas pistas visuales (la mala ortografía, el diseño chapucero) ya no protegen a nadie. Necesitamos anclas que la IA no pueda falsificar. Esas anclas son dos: el dominio del enlace y el canal por el que llega el mensaje.

🛡 VERIFICACIÓN EN VIVO

Comprueba un enlace sospechoso ahora mismo

¿Recibiste un SMS de tu banco, de una empresa de paquetería o de un peaje con un enlace y no estás seguro de a dónde lleva? Pega aquí el enlace. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro. No introduzcas ningún dato personal en la página antes de verificarla.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

El dominio es la pista que la IA no puede falsificar

Cuando un atacante puede generar texto impecable, el contenido del mensaje deja de ser una prueba fiable. Lo único que no puede falsificar es la dirección real a la que apunta el enlace. Un banco, una empresa de tarjetas o una administración tienen su dominio oficial registrado, y nadie más puede usarlo.

La regla práctica es sencilla: el dominio de un enlace fraudulento nunca es el .com o el dominio oficial de la marca. Es una imitación. Los estafadores registran nombres que se parecen, jugando con que casi nadie lee la dirección entera. Verás cosas como banco-verificar[.]top, mi-tarjeta-seguridad[.]com o trucos de subdominio como correos.es.rastreo-paquete[.]xyz, donde el nombre de la marca aparece dentro del texto pero el dominio que controla de verdad la página es otro completamente distinto. Estos son ejemplos ilustrativos, no direcciones fijas, y los mostramos "defangados" (con corchetes) para que no se puedan pulsar.

Para leer un dominio correctamente, míralo de derecha a izquierda hasta la última parte antes de la primera barra. Esa es la dirección real. Si no coincide exactamente con el dominio oficial de tu banco o de la empresa, no importa lo bien escrito que esté el mensaje: es falso.

Cómo detectar el SMS fraudulento

  • Un banco o entidad real nunca pide "verificar" por un enlace de SMS. Ni te pide pagar, ni reactivar, ni confirmar datos desde un mensaje. Si crees que algo pasa con tu cuenta, abre tú mismo la app o el sitio oficial y compruébalo allí.
  • El dominio del enlace no es el oficial. Es la señal número uno. No es el .com ni el dominio real de la marca, sino una imitación. El dominio es la pista que la IA no puede falsificar.
  • Urgencia fabricada. "Cuenta bloqueada", "paquete retenido", "peaje impagado", "actúa en 24 horas". La presión de tiempo existe para que reacciones antes de pensar. Un trámite real no caduca en un SMS.
  • Te piden datos de tarjeta o credenciales. El número completo de la tarjeta, el CVV, la contraseña del banco. Ninguna entidad legítima te pide eso desde un enlace recibido por mensaje.
  • El mensaje llega por SMS y no lo esperabas. El canal importa. Un aviso inesperado por SMS con enlace y prisa reúne todas las características del fraude moderno.

Qué hacer ahora mismo para protegerte

El reflejo correcto es siempre el mismo: no pulses, navega tú.

Nunca actúes desde el enlace del SMS. Si de verdad crees que tienes un asunto pendiente con tu banco, tu tarjeta o un envío, no pulses nada. Abre tú mismo el navegador y escribe a mano la dirección oficial, o entra desde la app que ya tienes instalada, o desde un marcador guardado. Así te saltas por completo cualquier enlace manipulado.

Trata la urgencia como una alarma, no como una orden. En cuanto un mensaje te mete prisa con un plazo, un bloqueo o una multa, ya tienes motivo suficiente para desconfiar. Tu banco no te cierra la cuenta por no pulsar un enlace en 24 horas.

Denuncia. En España, puedes reenviar el SMS sospechoso al INCIBE a través de su línea de ayuda en ciberseguridad, el 017, y consultar a la OSI (Oficina de Seguridad del Internauta). En México, repórtalo a la CONDUSEF si afecta a tu banco o a la PROFECO si es una tienda, además de a la policía local. En cualquier país, no reenvíes el enlace a otras personas ni lo pulses para "comprobar". Si llegaste a introducir tus datos de tarjeta, contacta de inmediato con tu banco para bloquearla.

Cómo ayuda SafeBrowz con esta amenaza

SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA. El reto que plantea el phishing con IA es directo: como las páginas falsas parecen perfectas, leer el contenido ya no basta para distinguirlas de las reales. Por eso SafeBrowz se apoya en señales que la IA no puede falsificar. Detecta cuando una marca de confianza aparece en un dominio que no es el oficial sin necesidad de leer la página, identifica las cadenas de subdominios donde el nombre de la marca se usa como cebo (marca.com.atacante.xyz), reconoce las imitaciones alojadas en servicios de hosting gratuito y en sufijos revendidos, y para las variantes nuevas usa análisis de contenido con IA en más de 100 idiomas. Es una combinación de metodología y base de datos de marcas, no de vigilancia: SafeBrowz nunca recopila el historial de navegación de los usuarios.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Atrapa el enlace fraudulento antes de entregar tu tarjeta

SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge, con Safari muy pronto. Marca los sitios que imitan a tu banco, a una empresa de paquetería o a un peaje, y las páginas falsas que piden tu tarjeta o tus contraseñas en cuanto el enlace se abre, antes de que entregues nada. La capa local cubre más de 550 marcas. El análisis profundo con IA (Premium, 14,99 $ al año) atrapa los nuevos dominios fabricados con IA el mismo día en que aparecen, incluso cuando ninguna lista de bloqueo los tiene aún.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

Preguntas frecuentes

¿Qué fue Outsider Enterprise?

Outsider Enterprise es el nombre que Google da a una plataforma de phishing-as-a-service con base en China, desmantelada por el FBI el 12 de junio de 2026 en la Operation Ghost Hook, junto a Google y Lumen Technologies. La operación alquilaba por suscripción (unos 88 dólares a la semana o 200 al mes) una infraestructura que usaba inteligencia artificial para generar más de un millón de URLs de phishing imitando bancos, tarjetas, paquetería, peajes e impuestos, distribuidas por SMS para robar datos de tarjeta y contraseñas.

¿Cuánto daño causó la operación?

La operación llevaba activa desde julio de 2023. Según las estimaciones del FBI, comprometió alrededor de 3,87 millones de tarjetas y causó pérdidas cercanas a los 1.900 millones de dólares, con cientos de miles de víctimas en todo el mundo. En el desmantelamiento, el FBI incautó servidores, una tienda de Shopify, una cuenta de prueba y unos 100.000 USDT, y miles de los dominios de phishing redirigen ahora a una página de aviso del FBI.

Si la IA escribe el mensaje sin erratas, ¿cómo detecto la estafa?

Dejando de fijarte en la ortografía y mirando el dominio y el canal. La IA puede escribir textos perfectos, pero no puede falsificar la dirección real a la que apunta el enlace. El dominio de un mensaje fraudulento nunca es el .com oficial de la marca, sino una imitación. Lee la dirección de derecha a izquierda y comprueba la última parte antes de la primera barra. Además, ningún banco o entidad real te pide verificar o pagar desde un enlace de SMS: ese canal, por sí solo, ya es una señal de alarma.

¿Recibí un SMS de mi banco con un enlace, lo abro?

No. Un banco o entidad real nunca te pide verificar tu cuenta, pagar o confirmar datos desde un enlace de SMS. Aunque el mensaje parezca perfecto, no pulses el enlace. Si crees que de verdad pasa algo con tu cuenta, abre tú mismo la app oficial del banco o escribe a mano su dirección en el navegador, y compruébalo allí. Así evitas cualquier enlace manipulado, por muy convincente que sea.

¿Por qué dicen que la captura "no es el final"?

Porque el problema no era esa operación concreta, sino el modelo que demostró que funciona. El phishing-as-a-service con IA permite fabricar estafas perfectas a escala industrial y venderlas baratas por suscripción. Aunque Outsider Enterprise haya caído, otros copiarán la fórmula porque es rentable y barata. La defensa fiable no es esperar a la siguiente captura, sino aplicar siempre la misma regla: nunca actúes desde un enlace de un SMS inesperado, abre tú mismo el sitio oficial.

Introduje mis datos de tarjeta en una página falsa. ¿Qué hago?

Actúa rápido. Contacta de inmediato con tu banco para bloquear la tarjeta y vigilar cargos. Cambia las contraseñas que hayas podido revelar. En España, reporta el caso al INCIBE a través de la línea 017 y consulta a la OSI; en México, a la CONDUSEF o la PROFECO según corresponda, y a la policía local. No reenvíes ni vuelvas a pulsar el enlace. Vigila tus cuentas las semanas siguientes, ya que tus datos pueden reutilizarse en nuevas estafas. Si dudas de un enlace, verifícalo antes en el comprobador de SafeBrowz de esta página.

Última actualización: 15 de junio de 2026

Más cobertura de SafeBrowz