Nueva vulnerabilidad en Google Gemini permitía el robo de datos privados mediante invitaciones de calendario maliciosas

Investigadores de ciberseguridad revelan un fallo de "inyección de prompts indirectos" que lograba evadir las protecciones de privacidad de Google para extraer información sensible de los usuarios.

Un equipo de expertos en seguridad digital ha hecho públicos los detalles de una vulnerabilidad crítica en Google Gemini que permitía a atacantes externos acceder y extraer datos privados de los usuarios, específicamente de sus calendarios, mediante el uso de invitaciones maliciosas. El fallo, clasificado como una inyección de prompts indirectos (indirect prompt injection), demostró que incluso los sistemas de inteligencia artificial más avanzados pueden ser manipulados para actuar en contra de sus propios protocolos de privacidad.

El mecanismo del ataque: El "Agente Durmiente"

Según los detalles proporcionados por Liad Eliyahu, jefe de investigación de Miggo Security, la vulnerabilidad permitía esconder instrucciones maliciosas dentro de la descripción de una invitación estándar de Google Calendar. El ataque permanecía "latente" hasta que el usuario interactuaba con Gemini de forma natural.

El escenario de explotación funcionaba de la siguiente manera:

1. Un atacante enviaba una invitación de calendario con una carga útil (payload) maliciosa oculta en los metadatos o descripción del evento.

2. La víctima, sin sospechar del peligro, realizaba una consulta inocua a Gemini, como: "¿Qué reuniones tengo para mañana?".

3. Al procesar la solicitud, la IA leía el contenido del calendario, incluyendo las instrucciones ocultas del atacante.

4. Estas instrucciones ordenaban a Gemini no solo mostrar la agenda, sino también recopilar datos adicionales (como resúmenes de correos o archivos compartidos) y enviarlos a un servidor externo controlado por el atacante mediante una solicitud de imagen disfrazada.

Desafíos en la seguridad de la IA

Este hallazgo subraya un problema fundamental en la arquitectura de los Modelos de Lenguaje Extensos (LLM): la dificultad para distinguir entre las instrucciones legítimas del usuario y los datos maliciosos provenientes de fuentes externas. En este caso, Gemini trataba el texto de la invitación del calendario como una instrucción válida, permitiendo al atacante "secuestrar" el hilo de conversación y saltarse las protecciones que impiden la exfiltración de datos.

Expertos del sector señalan que este tipo de ataques de "cero clics" son especialmente peligrosos, ya que no requieren que el usuario descargue un archivo o haga clic en un enlace sospechoso; basta con que la IA acceda a la información comprometida durante su funcionamiento habitual para que el código se ejecute.

Respuesta y mitigación

Tras la notificación bajo un protocolo de divulgación responsable, Google ha tomado medidas para corregir este fallo. La compañía implementó una estrategia de defensa por capas que incluye clasificadores de contenido diseñados para detectar patrones de inyección y el refuerzo de los límites de autorización cuando Gemini interactúa con aplicaciones de Workspace como Gmail, Drive y Calendar.

A pesar de la solución, el incidente reaviva el debate sobre la seguridad de las funciones nativas de IA. A medida que las organizaciones integran agentes autónomos en sus flujos de trabajo, la superficie de ataque se expande, convirtiendo herramientas de productividad en posibles vectores de espionaje corporativo y robo de identidad si no se implementan validaciones de contexto estrictas.

Se recomienda a los usuarios y administradores de sistemas mantener siempre activas las funciones de confirmación de usuario para acciones sensibles y monitorizar el acceso de herramientas de IA a depósitos de datos críticos.