No instales ChatGPT sin antes leer esto: tus datos están en riesgo.
Los delincuentes aprovecharon una brecha en la atención habitual de la gente.
Los ciberdelincuentes encontraron un nuevo método de engaño contra usuarios de Android, disfrazando aplicaciones maliciosas como herramientas con nombres conocidos como ChatGPT y Meta. A primera vista, el mensaje parece una invitación habitual para probar nuevas funciones, pero detrás de esa apariencia legítima se ocultan el robo de cuentas y el acceso a cuentas publicitarias.
El ataque se basa en el servicio Firebase App Distribution de Google. Los atacantes envían correos desde la dirección firebase-noreply@google[.]com, que sí se utiliza para las notificaciones de la plataforma. En los mensajes ofrecen acceso anticipado a supuestas nuevas funciones, desde herramientas basadas en inteligencia artificial hasta soluciones publicitarias para Facebook. Las formulaciones imitan el estilo de las verdaderas invitaciones a pruebas beta, lo que reduce las sospechas.
El botón de instalación lleva a una página dentro de la infraestructura de Google, donde está alojada una compilación de prueba de la aplicación. La descripción parece verosímil: se indican versiones, cambios breves, incentivos como créditos publicitarios o automatización de campañas. Ese conjunto atrae especialmente a administradores de páginas y a especialistas en marketing.
Tras la instalación la aplicación se comporta de forma distinta a la prometida. En lugar de las funciones anunciadas, se abre una pantalla de inicio de sesión de Facebook integrada mediante webview. La interfaz reproduce casi por completo el original, incluyendo el diseño y la estructura, por lo que el reemplazo pasa desapercibido.
Los datos ingresados — correo, número de teléfono y contraseña — se envían a los servidores de los atacantes. En algunos casos la aplicación solicita los códigos de autenticación de dos factores y la confirmación de cuentas empresariales, lo que permite eludir las protecciones. Tras obtener acceso, los atacantes secuestran perfiles, páginas y cuentas publicitarias, y luego las usan para campañas fraudulentas o para propagar más software malicioso.
El esquema actual desarrolla una oleada anterior de ataques en iOS, donde versiones falsas de ChatGPT y Gemini se difundieron a través del App Store. La tendencia general cambia: en lugar de simples páginas de phishing, los delincuentes usan cada vez más canales legítimos de distribución y prueba para aumentar la confianza y eludir los filtros de seguridad.
Los expertos aconsejan tratar con precaución cualquier invitación inesperada a pruebas, incluso si el correo parece una notificación oficial de Google. Instalar aplicaciones desde fuentes externas mediante enlaces en correos aumenta el riesgo de compromiso. Para proteger cuentas corporativas recomiendan activar la autenticación multifactor y monitorizar la actividad sospechosa en las cuentas publicitarias.