Expertos descubren una vulnerabilidad en Gemini, la IA de Google: permite engañar a la IA para que revele información privada

Google Gemini, la inteligencia artificial de Google, es uno de los asistentes IA más empleados junto a ChatGPT. Gemini, además, tiene la capacidad de integrarse directamente en varios servicios de la compañía como Google Calendar. 

te puede interesar

Open AI, la empresa de ChatGPT, en números rojos: ¿Qué pasará con el asistente virtual?

Lo que parecía una combinación útil para gestionar agenda y tareas de manera inteligente acabó dejando una puerta abierta para que atacantes puedan robar información sensible de los calendarios de los usuarios sin interacción evidente por su parte.  

Robos de datos mediante "prompt injection"

Esta vulnerabilidad ha sido revelada por investigadores de Miggo Security, quienes demostraron que es posible enviarle a la víctima una invitación a un evento de Google Calendar que parece totalmente normal, pero que contiene comandos ocultos incrustados en el título o la descripción. 

Esto es una técnica conocida como “prompt injection” o inyección de instrucciones maliciosas dentro de textos que los modelos de IA procesan como si fueran parte de contenido legítimo, sin cuestionarlas en absoluto.

Lo que hace el ataque especialmente inquietante es que no requiere que la víctima haga clic en ningún enlace, ni que otorgue permisos adicionales. 

El simple hecho de que la IA lea la información del calendario para responder a una pregunta sirve para activar la instrucción oculta implantada por los atacantes. 

¿Cómo funciona este método?

Primero, los atacantes crean una invitación de Google Calendar y se la envían a la víctima. Estas invitaciones se suelen agregar automáticamente al calendario. En la descripción del evento está detallado un prompt para la IA. 

Este prompt solicita a Gemini tres cosas: que resuma todos los eventos programados para un día específico (incluyendo información privada), que filtre esta información en la descripción de un nuevo evento y que enmascare esta acción respondiendo a la víctima que no hay nada programado.

Cuando el usuario le hace una pregunta  a Gemini sobre su calendario ("¿estoy libre el lunes?") se activa el prompt malicioso: el asistente responde que no hay nada programado a la vez que filtra información personal. 

Este método aprovecha una debilidad estructural de cómo los asistentes de IA interpretan el lenguaje natural: los modelos no distinguen entre “instrucciones” y “datos” cuando procesan contexto para generar respuestas. 

Por ello, cualquier contenido que parezca razonablemente parte de una agenda —como texto sobre reuniones o descripciones de eventos— puede ocultar órdenes maliciosas si está bien formulado.

El ataque ha sido descrito por algunos expertos como una forma de “exfiltración de datos silenciosa”, porque la víctima no realiza ninguna acción directa que pueda alertar de una brecha y, al mismo tiempo, obtiene resultados rutinarios (como respuestas de Gemini sobre su agenda) que no levantan sospechas. 

La técnica representa un tipo más sofisticado de amenaza que las tradicionales basado en enlaces o malware, ya que explota la confianza que muchos usuarios depositan en los asistentes de IA para gestionar datos personales.

El verdadero problema

Google fue informado de estos hallazgos y ya ha implementado mitigaciones para cerrar esta brecha y prevenir que pueda ser explotada de igual manera en el futuro. 

Sin embargo, los expertos señalan que este tipo de ataques sugiere retos más amplios en la seguridad de los sistemas de IA. El prompt  del ejemplo es perfectamente legible y ejecutable para el asistente, pero su intención maliciosa pasa totalmente desapercibida: es fácil engañar a la IA para que lleve a cabo este tipo de acciones ya que no se cuestiona lo que hace. 

Esto abre la puerta a nuevos tipos de estafas y fraudes que no existían antes y para los que no se está preparado. Este método no involucra ni enlaces falsos ni engañar directamente a la víctima.

En un sentido más amplio, este incidente destaca que la integración de IA con herramientas que manejan datos personales —como correos o calendarios— plantea nuevos vectores de riesgo que van más allá de los bugs tradicionales de software. 

La inteligencia artificial puede ofrecer comodidad y automatización, pero también nuevas vías de explotación si no se diseñan controles de seguridad adaptados al contexto lingüístico y semántico en que operan estos sistemas. Diseñar medidas de contingencia y de cortafuegos a estos asistentes será algo clave para el futuro de la ciberseguridad