Los investigadores de ciberseguridad de SafeBreach han descubierto una vulnerabilidad crítica en Google Gemini que permitía a los ciberdelincuentes acceder a datos personales sensibles mediante invitaciones de calendario aparentemente inofensivas. Aunque Google ya ha implementado las correcciones necesarias, este incidente revela nuevos vectores de ataque dirigidos específicamente contra sistemas de inteligencia artificial modernos.
Anatomía del Ataque: Cómo Funciona la Inyección de Prompts
La vulnerabilidad se fundamenta en una técnica conocida como prompt injection, un método sofisticado que manipula modelos de lenguaje mediante la inserción de instrucciones maliciosas dentro de consultas aparentemente legítimas. Los atacantes aprovecharon las invitaciones de Google Calendar como vehículo de entrega para contenido malicioso.
El proceso de ataque seguía un patrón específico: el ciberdelincuente enviaba una invitación de evento calendario con un prompt especialmente diseñado incrustado en el título. Cuando la víctima consultaba a Gemini sobre próximos eventos, el asistente de IA cargaba automáticamente la información del calendario, interpretando el contenido malicioso como parte legítima de la conversación.
Capacidades de Explotación y Riesgos de Seguridad
La explotación exitosa de esta vulnerabilidad otorgaba a los atacantes capacidades extensas para comprometer dispositivos y datos personales. Las demostraciones de SafeBreach revelaron múltiples vectores de ataque:
Extracción de información confidencial directamente desde Gmail y datos de calendario, proporcionando acceso a correspondencia privada, horarios de reuniones y información personal sensible.
Rastreo de geolocalización mediante la activación de URLs maliciosas que revelaban direcciones IP y ubicaciones aproximadas de las víctimas.
Control de dispositivos IoT a través de la integración con Google Home, incluyendo sistemas de iluminación, control climático y dispositivos de seguridad doméstica.
Ejecución remota de aplicaciones, incluyendo la iniciación no autorizada de videollamadas en Zoom y la activación de diversas aplicaciones en dispositivos Android.
Técnicas de Ocultamiento y Persistencia
Los investigadores identificaron una técnica particularmente insidiosa para mantener los ataques ocultos. Los atacantes podían enviar una secuencia de seis invitaciones de calendario, colocando el código malicioso únicamente en la última invitación. Dado que la interfaz de Google Calendar muestra solo los cinco eventos más recientes, ocultando el resto bajo la opción «Mostrar más», el evento malicioso permanecía invisible para el usuario.
Sin embargo, Gemini analizaba todos los eventos del calendario, incluyendo los ocultos, procesando inadvertidamente las instrucciones maliciosas. Esta metodología aumentaba significativamente las probabilidades de éxito del ataque mientras minimizaba la detección.
Contexto de Vulnerabilidades Previas en Sistemas de IA
Este incidente no representa un caso aislado en la seguridad de Gemini. Anteriormente, Marco Figueroa, especialista en seguridad del programa bug bounty 0Din, demostró vulnerabilidades similares en Gemini para Workspace, específicamente relacionadas con ataques de phishing.
Figueroa ilustró cómo los atacantes podían generar resúmenes fraudulentos de correos electrónicos que aparentaban legitimidad pero contenían instrucciones maliciosas y enlaces a sitios de phishing, evidenciando un problema sistémico en la protección contra inyecciones de prompts.
Respuesta Corporativa y Medidas Correctivas
Google respondió de manera proactiva al informe de vulnerabilidad. Andy Wen, Director Senior de Gestión de Productos de Seguridad de Google Workspace, confirmó que la vulnerabilidad fue corregida antes de su potencial explotación en ataques reales.
La compañía enfatizó la importancia de la divulgación responsable y la colaboración con la comunidad de investigadores de seguridad. Este trabajo conjunto ha permitido a Google identificar nuevos vectores de ataque y acelerar la implementación de mecanismos de protección adicionales.
Esta vulnerabilidad en Google Gemini subraya la creciente complejidad de asegurar sistemas de inteligencia artificial integrados en herramientas cotidianas. Los ataques de prompt injection representan una amenaza emergente que requiere vigilancia constante y medidas de protección adaptativas. Los usuarios deben mantener precaución al interactuar con invitaciones de calendario de remitentes desconocidos y asegurar actualizaciones regulares de software para recibir las últimas correcciones de seguridad. La evolución continua de estas amenazas demanda un enfoque proactivo tanto de desarrolladores como de usuarios finales.
