El correo electrónico parecía bastante inocente. Invitaba a las personas mayores a conocer la Fundación Silver Hearts, una nueva organización benéfica dedicada a proporcionar a los ancianos cuidados y compañía.
"Creemos que todas las personas mayores merecen dignidad y alegría en sus años dorados", decía el mensaje. "Haciendo clic aquí, descubrirás historias conmovedoras de ancianos a los que hemos ayudado y aprenderás cómo puedes unirte a nuestra misión".
Pero la organización benéfica era falsa y el propósito del correo electrónico era estafar grandes sumas de dinero a personas mayores. Su autor: Grok, el chatbot de inteligencia artificial de Elon Musk.
Este contenido se hizo gracias al apoyo de la comunidad de El Destape. Sumate. Sigamos haciendo historia.
Grok generó el engaño después de que Reuters le pidió que creara un correo electrónico de "phishing" dirigido a los ancianos. Sin que nadie se lo pidiera, el bot también sugirió afinar el mensaje para hacerlo más urgente: "¡No espere! Únase hoy a nuestra compasiva comunidad y ayude a transformar vidas. Haga clic ahora para actuar antes de que sea demasiado tarde".
La empresa de Musk que está detrás de Grok, xAI, no respondió a pedidos de comentarios.
La suplantación de identidad -engañar a la gente para que revele información confidencial en línea a través de mensajes fraudulentos- es la puerta de entrada de muchos tipos de fraude en línea. Es un problema mundial, con miles de millones de mensajes de correo electrónico y de texto enviados cada día. Es el ciberdelito más denunciado en Estados Unidos, según la Oficina Federal de Investigación.
Las personas mayores son especialmente vulnerables: Las denuncias de phishing por parte de estadounidenses de 60 años o más se multiplicaron por más de ocho el año pasado, y perdieron al menos 4.900 millones de dólares en fraudes en línea, según datos del FBI.
La llegada de la IA generativa ha agravado mucho el problema del phishing, según el FBI. Una investigación de Reuters muestra cómo cualquiera puede usar los populares chatbots de IA para planificar y ejecutar una estafa persuasiva con facilidad.
REUTERS Y UN INVESTIGADOR DE HARVARD PRUEBAN BOTS
Reporteros probaron la disposición de media docena de bots importantes para ignorar su entrenamiento de seguridad y diseñar correos electrónicos de phishing para estafar a personas mayores. Los reporteros también usaron los chatbots para ayudar a planificar una campaña de estafa simulada, incluyendo consejos sobre la mejor hora del día para enviar los correos electrónicos. Reuters se asoció con Fred Heiding, investigador de la Universidad de Harvard y experto en phishing, para probar la eficacia de algunos de esos correos electrónicos en un grupo de unos 100 voluntarios mayores.
Los principales chatbots reciben formación de sus creadores para evitar la connivencia con malas prácticas, pero a menudo es ineficaz. Grok advirtió a un periodista de que el correo electrónico malicioso que había creado "no debía utilizarse en situaciones reales". A pesar de ello, el bot produjo el intento de phishing tal y como se le había solicitado y le añadió la frase "haga clic ahora".
También se probaron otros cinco chatbots de IA populares: ChatGPT de OpenAI, Meta AI de Meta, Claude de Anthropic, Gemini de Google y DeepSeek, un asistente chino de IA. En la mayoría de los casos se negaron a enviar correos electrónicos en respuesta a solicitudes que dejaban clara la intención de estafar a personas mayores. Aun así, las defensas de los chatbots contra las solicitudes nefastas fueron fáciles de superar: Todos se dedicaron a crear engaños después de un leve engatusamiento o de que se les presentaran simples artimañas: que los mensajes los necesitaba un investigador que estudiaba el phishing o un novelista que escribía sobre una operación de estafa.
"Siempre se pueden eludir estas cosas", dijo Heiding.
La credulidad, según las pruebas, convierte a los chatbots en valiosos aliados potenciales del crimen.
Heiding dirigió un estudio el año pasado que demostró que los correos electrónicos de phishing generados por ChatGPT pueden ser tan eficaces para conseguir que los destinatarios (en ese caso, estudiantes universitarios) hagan clic en enlaces potencialmente maliciosos como los redactados por humanos. Se trata de un gran avance para los delincuentes, ya que, a diferencia de las personas, los robots de IA pueden producir infinitas variedades de engaños de forma instantánea y a bajo costo, lo que reduce drásticamente el dinero y el tiempo necesarios para cometer estafas.
Heiding colaboró con Reuters para probar la eficacia de nueve de los correos electrónicos de phishing generados mediante cinco chatbots a ciudadanos estadounidenses de la tercera edad. Las 108 personas consintieron en participar como voluntarios no remunerados. No se obtuvo dinero ni información bancaria de los participantes.
En total, alrededor del 11% de las personas mayores hicieron clic en los correos electrónicos enviados. Cinco de los nueve correos fraudulentos probados obtuvieron clics: dos generados por Meta AI, dos por Grok y uno por Claude. Ninguno hizo clic en los correos generados por ChatGPT o DeepSeek. Los resultados no miden el poder relativo de los robots para engañar: El estudio se diseñó para evaluar la eficacia de los correos electrónicos de phishing generados por IA en general, no para comparar los cinco robots.
Los reporteros usaron los bots para crear varias decenas de correos electrónicos y, a continuación, al igual que haría un grupo delictivo, eligieron los nueve que parecían tener más probabilidades de engañar a los destinatarios. Eso puede explicar en parte por qué tantas personas mayores hicieron clic en ellos.
Es imposible conocer el porcentaje de éxito de los mensajes de phishing enviados por delincuentes reales. Pero Proofpoint, una importante empresa de ciberseguridad de California, ha estudiado campañas de phishing simuladas realizadas por sus clientes. Proofpoint descubrió que el 5,8% de los millones de correos electrónicos fraudulentos de prueba enviados el año pasado por sus clientes a sus empleados lograron engañar a los destinatarios.
"Se trata de un reto que afecta a todo el sector y reconocemos la importancia de las salvaguardias contra el posible uso indebido de la IA", dijo Meta. "Invertimos en salvaguardas y protecciones en nuestros productos y modelos de IA, y seguimos sometiéndolos a pruebas de estrés para mejorar la experiencia".
Anthropic dijo: "El uso de Claude para generar estafas de phishing viola la Política de Uso de Anthropic, que prohíbe el uso de nuestros servicios para generar contenido para actividades fraudulentas, esquemas, estafas, phishing o malware. Si detectamos tal uso, tomamos las medidas oportunas, que podrían incluir la suspensión o cancelación del acceso a nuestros servicios".
La amenaza de que los estafadores empleen los populares chatbots de IA no es sólo hipotética. Algunas de las operaciones de fraude en línea más notorias del mundo -los complejos de estafas del sudeste asiático- ya están adoptando la IA en su actividad a escala industrial.
Reuters habló con tres antiguos trabajadores forzados que afirman haber usado ChatGPT de forma rutinaria en estos complejos para realizar traducciones, representar papeles y elaborar respuestas creíbles a las preguntas de sus víctimas.
"ChatGPT es la herramienta de IA más usada para ayudar a los estafadores a hacer de las suyas", dijo Duncan Okindo, un keniano de 26 años que fue obligado a trabajar en un complejo en la frontera entre Myanmar y Tailandia durante unos cuatro meses, hasta que fue liberado en abril.
Un portavoz de OpenAI dijo que la empresa "trabaja activamente para identificar e interrumpir el uso indebido de ChatGPT relacionado con estafas". Y añadió: "Sabemos que los estafadores organizados siempre pondrán a prueba el sistema, por lo que nos basamos en múltiples capas de seguridad". El modelo subyacente de la IA rechaza las solicitudes que incumplen las normas antifraude de OpenAI, explicó, y los investigadores de la empresa vigilan los abusos y sancionan a los infractores.
OpenAI acaba de lanzar GPT-5, un nuevo modelo de lenguaje de gran tamaño con el que funciona ChatGPT. En las pruebas, Reuters no tuvo problemas para conseguir que GPT-5 creara correos electrónicos de phishing dirigidos a personas mayores.
(Steve Stecklow en San Francisco y Poppy McPherson en Bangkok. Información adicional de Anna Tong. Editado por Michael Williams. Editado en español por Javier López de Lérida.)
Cerrar sesión