La respuesta de Google al fraude invisible en las apps: IA contra el cloaking

Firma Invitada | 12 junio, 2026 | 0 comentarios

Hay un principio básico en la detección del fraude: para atrapar a quien engaña, tienes que verle hacer lo que hace. El problema es que algunos sistemas de engaño están diseñados precisamente para dejar de funcionar en el momento en que alguien los observa.

Esto no es ciencia ficción. Es una técnica real, documentada y creciente, que opera hoy mismo en las tiendas de aplicaciones móviles y en los grandes marketplaces de comercio electrónico. Se llama cloaking, y su lógica es tan simple como eficaz: mostrar contenido diferente según quién esté mirando.

Cuando el sistema automático de revisión de una plataforma accede a una aplicación, ve una interfaz impecable. Pero cuando llega un usuario real, aparece otra cosa: anuncios que se camuflan como contenido, botones de cerrar que se desplazan justo antes de ser pulsados, interfaces diseñadas para provocar clics involuntarios. El usuario no sabe que está siendo engañado. No puede saberlo. El engaño está diseñado específicamente para él.

La escala ya no admite calificativos moderados. A finales de 2025 se destapó la Operación Genisys: 115 aplicaciones aparentemente inocuas que habían comprometido más de 25 millones de dispositivos en todo el mundo, generando tráfico publicitario falso a través de una red de casi 500 dominios creados con inteligencia artificial.

Los dispositivos de millones de personas fueron utilizados como infraestructura de fraude sin que sus propietarios lo supieran. Google e Integral Ad Science tardaron meses en rastrearlo. Y cuando lo hicieron, nuevas apps del mismo origen seguían apareciendo.

Una solución invisible para un problema invisible

El pasado 21 de mayo, Google publicó una patente que propone una respuesta de fondo a este problema: WO 2026/106597, titulada Policy violation detection using automated mobile software application exploration. En lugar de intentar detectar el cloaking desde fuera, el sistema envía un agente de inteligencia artificial a explorar la aplicación desde dentro, comportándose exactamente como lo haría un usuario real.

El agente navega, toca, hace scroll, completa flujos. No sigue un guion fijo. Todo lo que encuentra queda grabado. Un segundo modelo de IA analiza esas grabaciones y determina si hay infracción de las normas de la plataforma.

Lo que hace relevante esta patente más allá de su dimensión técnica es lo que representa como posicionamiento: una de las mayores empresas tecnológicas del mundo reconoce formalmente que los mecanismos de supervisión existentes son insuficientes para proteger a los usuarios, y que la única respuesta viable pasa por sistemas que operen con el mismo nivel de sofisticación que el fraude al que se enfrentan.

Porque esa es la paradoja a la que hemos llegado. Los sistemas de fraude utilizan inteligencia artificial para evadir la detección a escala industrial. Genisys no era una operación artesanal: era una infraestructura construida con herramientas generativas capaces de producir cientos de sitios web falsos en tiempo mínimo, diseñados para parecer legítimos ante cualquier sistema de análisis convencional. La respuesta, si quiere ser eficaz, tiene que operar en el mismo plano.

Desde la perspectiva de los derechos digitales, esto abre preguntas que van más allá de la tecnología: ¿Tienen los usuarios derecho a que las plataformas que distribuyen software garanticen activamente que ese software no les perjudica? ¿Cuál es la responsabilidad de una tienda de aplicaciones cuando una app que ha superado su proceso de revisión resulta ser un vector de fraude? ¿Quién responde ante el usuario cuyos recursos computacionales fueron utilizados sin su consentimiento?

La regulación europea avanza en esta dirección. El AI Act establece requisitos de transparencia y supervisión para sistemas de inteligencia artificial que toman decisiones con impacto en las personas. La Ley de Servicios Digitales obliga a las plataformas a gestionar activamente los riesgos sistémicos que generan sus ecosistemas. El marco existe. La pregunta es si la tecnología de detección será capaz de hacer cumplir esos derechos en la práctica, o si seguirá llegando tarde a un problema que se mueve más rápido que sus reguladores.

Lo que la patente de Google señala, en este sentido, es una dirección. No una solución completa, sino un reconocimiento de que el problema es estructural y que abordarlo requiere herramientas de una generación distinta. Para los usuarios, eso debería ser, al menos, una señal de que alguien en la cadena ha decidido tomarse en serio el problema. Para el resto de actores del ecosistema digital (plataformas, reguladores, profesionales del derecho) es una invitación a preguntarse si sus propias herramientas están a la altura del momento.

El cloaking convierte la invisibilidad en arma. La respuesta que propone Google es hacer que el sistema de vigilancia también sea invisible. Que se mueva como un usuario, piense como un usuario, y vea lo que un usuario ve. Porque al final, la única forma de proteger al usuario es ponerse en su lugar.

Artículo redactado por Manuel Campanero, director de PONS IP Andalucía. PONS IP es una consultora especializada en Propiedad Industrial e Intelectual que ayudaa empresas e inventores a proteger, gestionar y defender sus innovaciones (patentes, marcas, derechos de autor y secretos empresariales) a nivel nacional e internacional.