El FBI, junto con Google y la empresa de seguridad Lumen Technologies, desarticuló una plataforma de phishing-as-a-service (PhaaS, servicio de suplantación de identidad por suscripción) de origen chino llamada Outsider Enterprise, responsable de pérdidas estimadas en 1.900 millones de dólares y del robo de 3,87 millones de tarjetas de crédito. La operación, identificada como parte de la acción coordinada denominada Ghost Hook, funcionó desde julio de 2023 y llegó a estar activa en 55 países.
Un servicio de fraude listo para usar por USD 88 por semana
Outsider Enterprise no era un grupo de hackers que atacaba directamente a sus víctimas. Era un proveedor que vendía herramientas de fraude a otros ciberdelincuentes. Por 88 dólares semanales, cualquier comprador accedía a un kit que incluía plantillas para clonar sitios de marcas y servicios reconocidos, paneles de administración para gestionar las campañas y acceso a más de 8.000 dominios de phishing registrados para dar aspecto legítimo a las páginas falsas.
El modelo de negocio define a un PhaaS: reduce la barrera técnica para cometer fraude digital. Quien compraba la suscripción no necesitaba saber programar ni construir la infraestructura desde cero. Solo elegía una plantilla, la personalizaba y lanzaba la campaña. Ese esquema se expandió en el ecosistema del cibercrimen durante los últimos dos años y permitió escalar operaciones con mínima inversión inicial.
Gemini de Google fue usado para crear señuelos más convincentes
Un dato que surgió de la investigación es que los operadores de Outsider Enterprise incorporaron Gemini, el modelo de IA de Google, para redactar los textos de los sitios falsos y los mensajes de phishing, engaños para robar credenciales. La herramienta les permitió generar contenido en múltiples idiomas con mayor fluidez y credibilidad, lo que facilita que las víctimas no detecten señales de alerta como errores gramaticales o expresiones extrañas. El uso de modelos de lenguaje grande (LLM, como ChatGPT o Gemini) para mejorar la calidad de los ataques es una tendencia que las empresas de ciberseguridad documentan desde 2023, pero este caso es una de las primeras operaciones desmanteladas donde el vínculo aparece identificado por los investigadores.
Google participó del desmantelamiento como parte afectada y como aliado técnico. Los LLM son accesibles de forma pública y su abuso por parte de actores maliciosos no requiere complicidad del proveedor.
Dominios incautados y redirigidos a una página del FBI
La acción coordinada derivó en la incautación de los dominios usados por la red. Quienes intentan acceder a esas direcciones ahora son redirigidos automáticamente a una página oficial del FBI que informa sobre el operativo. Lumen Technologies, a través de su división Black Lotus Labs, especializada en análisis de amenazas, colaboró en el mapeo de la infraestructura de dominios y en el bloqueo del tráfico hacia esos servidores.
La escala de la operación la ubica entre las más grandes desarticuladas en los últimos años en el rubro del fraude digital masivo. Para tener referencia, los 3,87 millones de tarjetas robadas representan una base de datos de alto valor en el mercado negro, donde un lote de datos de tarjetas con información completa, número, vencimiento, código de seguridad y datos del titular, se cotiza entre 5 y 50 dólares por registro, según el perfil de la víctima y la región de emisión.
El ecosistema PhaaS sigue en expansión
Outsider Enterprise no es un caso aislado. En los últimos dos años proliferaron plataformas similares: LabHost, desmantelada en 2024 con más de 10.000 dominios activos; Darcula, que apunta especialmente a usuarios de iPhone con mensajes SMS falsos; y Sniper Dz, que ofrece kits gratuitos a cambio de quedarse con una copia de las credenciales robadas. El patrón común es la profesionalización del fraude, con interfaces amigables, soporte técnico y actualizaciones periódicas de las plantillas para evadir los filtros antiphishing de los navegadores y servicios de correo.
El caso de Outsider Enterprise suma evidencia de que la IA generativa ya es parte activa del arsenal de los PhaaS. La próxima audiencia judicial vinculada a la operación Ghost Hook no tiene fecha confirmada al cierre de esta nota.
