¿Cuánto confías en un correo que llega desde una dirección oficial de Google? Esa confianza es exactamente lo que están explotando los nuevos ciberdelincuentes equipados con inteligencia artificial. Y los españoles no son espectadores de esta tendencia: son uno de sus objetivos directos.
El último informe AI Threat Tracker del Google Threat Intelligence Group, publicado en febrero de 2026, confirma un aumento sostenido de ataques asistidos por IA contra usuarios de todo el mundo. Las cifras son contundentes: en España, las estafas online crecieron un 35% en 2025, acumulando más de 400.000 denuncias por ciberdelitos.
Indice
Por qué Google está en el centro de los timos con IA
La lógica de los estafadores es sencilla y brutal: si consigues que el engaño parezca venir de Google, la víctima baja la guardia por completo. Por eso los ciberdelincuentes están usando herramientas de inteligencia artificial para clonar el tono, el diseño y hasta la dirección de correo de los comunicados oficiales de Google con una fidelidad alarmante.
Lo más perturbador es que ya no necesitan falsificar nada desde cero. Según Kaspersky, la última campaña detectada en marzo de 2026 utiliza notificaciones legítimas de Google Tasks para enviar mensajes fraudulentos que evaden los filtros de seguridad tradicionales. El mensaje llega desde un dominio real de @google.com, lo que neutraliza cualquier sospecha automática.
Cómo actúan estos timos contra tus contraseñas en Google
La mecánica del ataque sigue un patrón preciso. Primero, recibes una notificación aparentemente legítima de Google con un mensaje de urgencia: tu cuenta está en riesgo, debes verificar tu identidad ahora. El enlace te lleva a un formulario de aspecto impecable donde introduces tus credenciales de acceso sin sospechar nada.
Ahí entra el phishing potenciado con IA: los modelos generativos redactan los textos sin errores ortográficos, sin el tono robótico que antes delataba estas trampas, y personalizan cada mensaje con datos reales del usuario obtenidos de filtraciones previas. Una filtración de enero de 2026 dejó al descubierto 149 millones de claves, incluyendo 48 millones de cuentas de Gmail, que ahora circulan en foros clandestinos.
La IA también manipula los resultados del propio buscador
El problema no se limita al correo electrónico. Los resultados con inteligencia artificial que Google muestra en su buscador también están siendo manipulados. Los estafadores crean páginas diseñadas para engañar al algoritmo, consiguiendo que sus sitios fraudulentos aparezcan en las respuestas generadas por IA como si fueran fuentes fiables.
Para el usuario medio, esto es especialmente peligroso porque confía en lo primero que le dice Google. La IA mezcla fuentes sin mostrarlas con claridad, y en algunos casos puede citar páginas que no existen o que han sido diseñadas exclusivamente para robar datos personales y contraseñas.
Las señales que delatan un timo aunque parezca un mensaje de Google
Aunque los ataques son cada vez más sofisticados, todavía dejan rastros detectables si sabes dónde mirar. El primer indicador es la urgencia injustificada: cualquier mensaje que te presione a actuar en minutos bajo amenaza de perder el acceso a tu cuenta debe encender todas las alarmas.
El segundo elemento sospechoso es la petición de contraseñas o códigos de verificación. Google nunca te pedirá tu contraseña por correo, chat o llamada, sin importar cuánto se parezca el mensaje a una comunicación oficial. Si alguien que dice ser el soporte de Google te solicita ese dato, es un timo con IA.
| Señal de alerta | Qué significa | Qué hacer |
|---|---|---|
| Urgencia extrema para actuar | Técnica de presión psicológica | Detente y verifica desde la web oficial |
| Solicitud de contraseña o código | Google nunca lo pide por correo | Ignora y denuncia |
| Enlace a formulario de "verificación" | Página falsa para robar credenciales | No hagas clic; accede directo a google.com |
| Llamada de "soporte de Google" con IA | Voz sintética para suplantar identidad | Cuelga y reporta |
| Notificación de tarea urgente en Google Tasks | Nueva táctica de phishing con dominio real | Revisa el remitente y el contexto |
Qué hará Google para protegerte y qué debes hacer tú hoy
La tendencia no va a revertirse en el corto plazo: la IA seguirá abaratando el coste de los ataques y aumentando su sofisticación. Google ya está impulsando las llaves de acceso o passkeys como sustitución definitiva de las contraseñas tradicionales, un sistema que elimina por completo el vector de ataque que explotan estos timos porque no existe contraseña que robar.
Mientras esa transición se consolida, la medida más efectiva que puedes activar ahora mismo es la verificación en dos pasos en tu cuenta de Google. Estudios de la propia compañía confirman que este sistema bloquea el 99,9% de los intentos automatizados de acceso no autorizado. No esperes a ser víctima: dedica cinco minutos hoy a proteger tu cuenta y convierte tus contraseñas en la última línea de defensa, no en la única.
