Investigadores de Miggo Security han documentado un vector de ataque poco convencional contra el asistente de IA Google Gemini: basta con enviar a la víctima una invitación aparentemente inocua de Google Calendar que incluya instrucciones maliciosas en la descripción del evento. Este enfoque permite forzar al modelo a filtrar información privada sin instalar malware ni comprometer directamente el dispositivo del usuario.
Nuevo vector de ataque: invitaciones de calendario como canal para prompt injection
El ataque se apoya en la forma en que Google Gemini se integra con el calendario del usuario. Cuando una persona solicita algo tan habitual como «muéstrame mis reuniones de hoy», el asistente accede y analiza todos los eventos del día, incluidos los que proceden de invitaciones externas. De este modo, cualquier texto presente en las descripciones de esos eventos pasa a formar parte del contexto que la IA utiliza para generar su respuesta.
Cómo explotan los atacantes la integración entre Google Gemini y Google Calendar
Instrucciones ocultas en la descripción del evento
El núcleo de la técnica es una prompt injection escrita en lenguaje natural y colocada en el campo de descripción del evento. A primera vista puede parecer una simple nota interna, pero está diseñada para ser interpretada por la IA como un conjunto de órdenes encadenadas.
Los investigadores demostraron que es posible instruir a la IA para que:
— recopile información sobre todas las reuniones de un día concreto, incluidas las privadas;
— cree un nuevo evento en el calendario e inserte en la descripción los datos recopilados;
— responda al usuario con un mensaje aparentemente inocuo, ocultando que ha ejecutado instrucciones adicionales.
En la práctica, la descripción de un único evento se convierte en un canal de control sobre el modelo y en detonante de una fuga de datos, explotando el hecho de que Gemini trata el contenido del calendario simultáneamente como datos y como posibles instrucciones.
Por qué los controles de seguridad de Google Gemini no bloquearon el ataque
Según Miggo Security, Google emplea una arquitectura de defensa en profundidad basada en un modelo separado que filtra prompts maliciosos con el objetivo de frenar las prompt injections directas. Sin embargo, en este caso las defensas se vieron superadas porque las instrucciones incrustadas en el calendario simulaban acciones legítimas: gestionar la agenda, crear eventos y responder al usuario.
Limitaciones de los filtros basados en sintaxis
El caso pone de relieve las limitaciones de los enfoques tradicionales que se centran en detectar «sintaxis sospechosa» o marcadores explícitos de comportamiento malicioso. La instrucción «recopila y organiza las reuniones del día» es semánticamente neutra y no parece peligrosa si se evalúa de forma aislada. El problema surge cuando el asistente tiene permisos para ejecutar acciones automatizadas sobre recursos sensibles.
Este patrón se alinea con los riesgos descritos en iniciativas como OWASP Top 10 para LLM y marcos de gestión de riesgos de IA (por ejemplo, el AI RMF de NIST), que señalan la dificultad de separar estrictamente «datos de entrada» y «comandos» cuando la IA actúa como intérprete de contexto y agente ejecutor al mismo tiempo.
Impacto en empresas: fuga de datos a través de asistentes de IA
El impacto es especialmente crítico en entornos corporativos, donde Google Calendar se utiliza para planificar reuniones estratégicas, coordinar proyectos y compartir información interna. En muchas organizaciones, la descripción del evento es visible para todos los participantes, lo que amplifica la superficie de exposición.
Si Gemini, siguiendo instrucciones ocultas, crea un nuevo evento con información confidencial incrustada en la descripción —temas de negociación, lista de asistentes, códigos internos de proyectos—, esos datos pasan automáticamente a estar disponibles para terceros con acceso al calendario compartido. Un atacante necesita únicamente la capacidad de enviar una invitación o participar en un evento común para desencadenar la fuga.
Este incidente se suma a trabajos previos, como los divulgados por SafeBreach en agosto de 2025, donde se mostró el uso de invitaciones maliciosas de Google Calendar para controlar agentes de Gemini y extraer datos del usuario, lo que apunta a un problema sistémico en la interacción entre asistentes de IA y aplicaciones de productividad.
Respuesta de Google y buenas prácticas de defensa para asistentes de IA
Google ha declarado que aplica una estrategia de seguridad multicapa frente a las prompt injections. Entre las medidas clave se incluye solicitar confirmación explícita del usuario antes de crear nuevos eventos en el calendario, limitando así la ejecución automática de instrucciones encubiertas.
No obstante, Miggo Security insiste en que la industria debe avanzar desde un modelo de detección puramente sintáctico hacia mecanismos de protección contextuales, que valoren conjuntamente:
— el origen de los datos (invitación externa, documento compartido, correo electrónico);
— el tipo de operación solicitada (lectura de información sensible, creación o modificación de recursos);
— el posible impacto de la acción (exposición de reuniones privadas, archivos o contactos).
Para las organizaciones que adoptan asistentes basados en LLM, las medidas recomendadas incluyen restringir por defecto los permisos de la IA sobre calendarios y otros sistemas, separar entornos personales y corporativos, registrar y auditar las acciones de los agentes, e incorporar los riesgos de prompt injection en los programas de formación y de gestión de riesgos. Integrar estas prácticas en las políticas de seguridad ayuda a reducir la probabilidad de que una simple invitación a una reunión se convierta en la puerta de entrada a una fuga masiva de datos y refuerza la resiliencia frente a la próxima generación de ataques contra la IA.
