Red de pódcast LocutorCo, especializada en tecnología, ciencia y entretenimiento. Con los siguientes títulos pódcast: - El Siglo 21 es Hoy - Flash Diario - Lecturas Misteriosas - EntreVistas
Las nuevas estafas en Gmail usan inyección de instrucciones para engañar a usuarios y hasta a defensas con inteligencia artificial
Un ataque de phishing está usando inteligencia artificial para burlar las defensas de Gmail y robar contraseñas. La campaña incluye correos falsos de soporte técnico, llamadas telefónicas y hasta páginas que imitan al login de Google. Expertos en ciberseguridad advierten que miles de millones de cuentas están en riesgo. Google ha confirmado que la mayoría de usuarios va a tener que cambiar sus contraseñas y activar nuevos métodos de autenticación.
El engaño digital nunca se queda quieto. Ahora los atacantes están probando un nuevo truco: no se conforman con engañar a los humanos, también quieren manipular a las máquinas que nos protegen. Un correo electrónico que aparenta ser una alerta de expiración de contraseña llega a la bandeja de entrada, acompañado de un enlace disfrazado de legítimo. Hasta aquí parece un phishing clásico. Pero lo que no se ve a simple vista es que el código del mensaje contiene instrucciones ocultas dirigidas a modelos de inteligencia artificial, como los que usan muchas empresas de seguridad para clasificar correos. El resultado puede ser que la propia IA se distraiga y no bloquee la amenaza. Y mientras tanto, ¿cuántos usuarios siguen creyendo que Google les va a enviar un mensaje pidiendo su clave?
Los hackers ahora atacan a las personas y a la inteligencia artificial
Los investigadores explican que este ataque comenzó con correos que parecían muy convincentes. El asunto decía “Notificación de expiración de inicio de sesión” con hora y fecha precisas. El cuerpo del mensaje aseguraba que la contraseña estaba a punto de expirar, presionando al usuario a hacer clic en un enlace. El truco clásico de generar urgencia. Lo interesante es que los correos pasaron filtros básicos: superaron pruebas SPF y DKIM, que sirven para verificar la autenticidad, y solo fallaron en DMARC. Esto permitió que aterrizaran en bandejas de entrada reales. Al seguir el enlace, la víctima encontraba primero una página con captcha, diseñada para impedir que los escáneres automáticos llegaran al verdadero destino: una página idéntica al login de Gmail, con código oculto para robar credenciales.
Lo más alarmante es que los atacantes escondieron instrucciones tipo “prompt” en el código del correo. Estos mensajes secretos están redactados en el estilo que usamos con sistemas como ChatGPT o Gemini. Así, si una herramienta de seguridad basada en inteligencia artificial analizaba el correo, podía quedar atrapada en un bucle de razonamiento o distraída generando explicaciones irrelevantes. En otras palabras, los hackers encontraron la manera de hackear a la propia inteligencia artificial. El ataque no se limita a engañar a las personas, también busca engañar a los filtros automáticos. A esto se suma que muchos usuarios siguen sin activar medidas básicas como la autenticación de dos factores o los passkeys, que reemplazan a las contraseñas. Y si a eso agregamos que se filtraron datos de hasta 2.500 millones de cuentas en un ataque previo, la combinación es peligrosa.
Google ha reaccionado confirmando que la mayoría de usuarios de Gmail va a tener que cambiar su contraseña. Recomienda hacerlo de inmediato y no usar la misma clave en diferentes servicios. La empresa también insiste en activar passkeys, que permiten ingresar sin contraseña y reducen la posibilidad de robo. Expertos recomiendan usar aplicaciones de autenticación en lugar de códigos SMS, que son más fáciles de interceptar. Además, recuerdan una regla de oro: Google nunca va a llamar por teléfono para pedirte tu clave, ni a enviarte un mensaje con enlaces directos para iniciar sesión. Si ves un mensaje sospechoso, verifica la…
* Pulzo.com se escribe con Z
.svg)
