El 12 de junio de 2026, Google presentó una demanda civil contra una red criminal con sede en China conocida como Outsider Enterprise. La demanda alega que el grupo utilizó la propia IA Gemini de Google para generar páginas de phishing y enviar aproximadamente 2,5 millones de mensajes fraudulentos en una sola ventana de dos semanas durante mayo de 2026. Los mensajes suplantaban la identidad de Google, YouTube y el Servicio Postal de Estados Unidos (USPS). La operación generó aproximadamente 55.000 denuncias de spam, dejó casi 9.000 sitios web falsos y más de un millón de URLs fraudulentas, y está vinculada al robo de aproximadamente 3,87 millones de números de tarjeta de crédito y pérdidas estimadas en 1.900 millones de dólares desde julio de 2023.
Google acusa a Outsider Enterprise de crimen organizado, fraude electrónico e infracción de marcas registradas. La demanda es una de las acciones legales corporativas más importantes jamás emprendidas contra el fraude asistido por inteligencia artificial.
Lo que Outsider Enterprise construyó realmente
No se trataba de un grupo disperso de estafadores que enviaban correos de phishing elaborados manualmente. Outsider Enterprise construyó infraestructura. Según la demanda, la red desarrolló herramientas, plantillas y paneles de campaña que permitían a operadores sin conocimientos técnicos lanzar campañas de phishing sofisticadas sin escribir una sola línea de código. La IA Gemini se utilizó para generar el contenido de las páginas de destino de phishing: páginas diseñadas para imitar flujos de autenticación legítimos, portales de rastreo de paquetes y pantallas de verificación de cuentas de grandes marcas.
El resultado fue una operación de phishing como servicio con la IA en su núcleo. Un participante sin conocimientos técnicos podía seleccionar una marca a suplantar, elegir una plantilla de mensaje, especificar una lista de destinatarios y lanzar una campaña en cuestión de minutos. La IA se encargaba de la calidad del contenido. La infraestructura se encargaba de la entrega.
En mayo de 2026, esa infraestructura envió 2,5 millones de mensajes en dos semanas. Ese ritmo –aproximadamente 178.000 mensajes al día– no es alcanzable mediante esfuerzo manual. Solo es posible porque la IA eliminó el cuello de botella de contenido que antes limitaba el phishing a gran escala. Los operadores ya no necesitan redactar textos convincentes, clonar sitios web ni mantener conocimientos técnicos. Solo necesitan una cuenta y una lista de objetivos.
Por qué esto es una historia de seguridad del correo electrónico
Los mensajes que Outsider Enterprise envió se entregaron principalmente a través de SMS, dirigidos a usuarios de Android. Ese detalle es relevante para el contexto, pero no limita la lección a los mensajes de texto.
Las páginas de phishing generadas por la IA Gemini –páginas que imitan los flujos de inicio de sesión de Google, las pantallas de rastreo de paquetes del USPS y la verificación de cuentas de YouTube– son funcionalmente idénticas a las páginas de destino utilizadas en las campañas de phishing por correo electrónico. El canal de entrega es diferente; la infraestructura de suplantación es la misma. Cualquier operación capaz de desplegar 2,5 millones de mensajes en dos semanas usando contenido generado por IA es capaz de enrutar ese mismo contenido a través del correo electrónico a una escala comparable o mayor.
El aviso de fraudes y estafas de Google para junio de 2026, publicado junto con la demanda, hace explícita esta conexión. El aviso identifica el phishing impulsado por IA dirigido a los 1.800 millones de usuarios de Gmail como uno de los principales vectores de amenaza activos. Señala que las pérdidas globales por fraude alcanzaron aproximadamente 580.000 millones de dólares en 2025, y que los incidentes de estafas impulsados por IA han crecido un 1.210% en períodos recientes. El aviso no se limita al SMS. Aborda la convergencia del contenido generado por IA y la entrega por correo electrónico contra la plataforma de correo más grande del mundo.
Lo único que la IA no puede falsificar
La IA generativa ha eliminado efectivamente la brecha de calidad de contenido que antes hacía detectable el phishing. Un mensaje redactado por un modelo de IA capaz no contiene errores gramaticales, utiliza la voz auténtica de la marca, se adapta a las convenciones lingüísticas regionales y escala la personalización sin esfuerzo adicional. La heurística en la que los usuarios entrenados alguna vez se basaron –errores ortográficos, frases torpes, saludos genéricos– ya no funciona cuando el mensaje fue escrito por IA.
Lo que la IA no puede hacer es falsificar la autenticación criptográfica de su dominio.
DMARC –Autenticación, Informes y Conformidad de Mensajes Basados en Dominio– funciona vinculando criptográficamente los mensajes de correo electrónico al dominio del que afirman proceder. Un correo que dice venir de usps.com debe haber sido enviado por una infraestructura que USPS ha autorizado en su registro SPF, y debe llevar una firma DKIM que valide contra una clave pública que USPS controla. Si alguna de las dos condiciones falla, y la política DMARC del dominio está configurada en p=reject, el servidor de correo receptor descarta el mensaje antes de que llegue a cualquier bandeja de entrada.
Ninguna cantidad de calidad de contenido generado por IA cambia este resultado. Un correo de phishing perfectamente construido que suplanta su dominio, enviado desde una infraestructura no autorizada, falla la autenticación y es descartado. La IA escribió un mensaje que nunca llega.
Cuando Outsider Enterprise suplantó al USPS en sus campañas, cualquier versión de esos ataques basada en correo electrónico –siempre que el USPS aplicara DMARC con p=reject– habría sido rechazada por Gmail, Outlook y Yahoo en la puerta de enlace. Los mensajes SMS fueron más difíciles de interceptar porque el SMS carece de una capa de autenticación equivalente. El correo electrónico no tiene esa brecha. Tiene DMARC, y DMARC funciona.
Lo que BIMI añade a este panorama
La aplicación de DMARC con p=reject es el mecanismo técnico que impide que el correo no autorizado llegue a las bandejas de entrada. BIMI –Brand Indicators for Message Identification– es la capa visible que confirma a los destinatarios que un mensaje autenticado proviene genuinamente del remitente declarado.
Con BIMI correctamente configurado, los logotipos de marca verificados aparecen junto a los mensajes de correo en los clientes de correo compatibles antes de que el mensaje sea abierto. Esa señal visual requiere superar las tres comprobaciones de autenticación –SPF, DKIM y DMARC– y obtener un Certificado de Marca Verificada emitido por una autoridad de certificación aprobada. No puede ser replicada por una operación de phishing porque la verificación BIMI está anclada al control del dominio, el mismo control criptográfico que aplica DMARC.
En un entorno donde la IA genera contenido de phishing impecable a escala, la presencia o ausencia de un logotipo de marca verificado se convierte en una señal que los destinatarios pueden usar realmente para distinguir el correo legítimo de la suplantación.
La democratización del phishing a escala industrial
La demanda de Google contra Outsider Enterprise documenta un cambio estructural en cómo opera el phishing. La característica definitoria de esta operación no es la sofisticación, sino la accesibilidad. La IA Gemini eliminó la necesidad de creadores de contenido especializados. Los paneles de campaña eliminaron la necesidad de operadores técnicos. El resultado es una fábrica de phishing donde la barrera de entrada se derrumbó por completo.
Este patrón no es exclusivo de Outsider Enterprise. El Informe de Delitos en Internet 2025 del FBI documentó 16.600 millones de dólares en pérdidas por ciberdelincuencia, con el compromiso de correo electrónico empresarial y el phishing consistentemente entre las principales categorías por impacto financiero. Las herramientas que antes requerían una experiencia significativa ahora son accesibles para cualquiera con una conexión a internet y la disposición de pagar una suscripción a un servicio criminal.
Ante este panorama, las organizaciones más expuestas a la suplantación de marca en correo electrónico son aquellas cuyos dominios no aplican DMARC. Un dominio con p=none recopila informes agregados pero no instruye a los servidores receptores a rechazar mensajes no autorizados. Un dominio con p=quarantine dirige los mensajes sospechosos a carpetas de spam, que los destinatarios a veces recuperan. Un dominio con p=reject cierra la brecha por completo: todo correo que afirme proceder de ese dominio sin autenticación válida es rechazado antes de la entrega.
La demanda de Google es un documento de cómo se ve la suplantación de marca impulsada por IA cuando alguien construye una fábrica a su alrededor. La capa de autenticación que limita esta amenaza en el correo electrónico está disponible para todo propietario de dominio. La pregunta es si se aplica.
Excello Mail le proporciona visibilidad completa de su postura DMARC, orientación clara para avanzar hacia la aplicación de p=reject y análisis de informes agregados que muestra exactamente quién está enviando correo en nombre de su dominio. Regístrese gratis en Excello Mail y haga de la identidad criptográfica de su dominio la defensa que ninguna fábrica de phishing con IA puede falsificar.