El teorema de Nyquist-Shannon contra Google: matemáticos descubren cómo vulnerar Gemini a través de los píxeles
La nueva falla en Gemini es nuestro “día cero”, pero aplicado únicamente a las imágenes.
Investigadores de Trail of Bits han descubierto una nueva vulnerabilidad en el ecosistema de Google Gemini y en varios de sus servicios asociados, que permite robar datos de los usuarios de manera encubierta a través de imágenes con instrucciones maliciosas ocultas. El ataque se aprovecha de la forma en que el sistema reduce automáticamente la resolución de las imágenes antes de enviarlas al modelo: en esa versión más pequeña se activan comandos invisibles en el original, capaces de ejecutar acciones en nombre de la víctima y exfiltrar información sensible.
La demostración se realizó en Gemini CLI, donde existe integración con Zapier MCP. En el archivo settings.json, la opción trust=true está activada por defecto, lo que permite la ejecución automática de llamadas MCP sin intervención del usuario. En la prueba, una imagen cargada disparó un comando oculto que extrajo datos del calendario de Google y los envió por correo al atacante. Escenarios similares fueron reproducidos en Vertex AI Studio, Gemini Web, Gemini API mediante llm CLI, Google Assistant en Android y Genspark, lo que demuestra que el fallo afecta a toda la plataforma.
Imagen original (izquierda) y versión reducida con bicubic interpolation que revela los comandos ocultos (derecha)
El ataque se basa en principios de la teoría de Nyquist–Shannon: cuando la frecuencia de muestreo es insuficiente, la reconstrucción de datos se vuelve ambigua y genera aliasing controlado. Los investigadores manipulan los llamados high-importance pixels, que influyen más en la luminosidad final, y ocultan la carga útil en zonas oscuras. Mediante least-squares optimization logran modificar la paleta de colores para que, al reducir la resolución, aparezca un contraste imperceptible para el ojo humano pero detectable por el modelo.
Una pieza clave del estudio es Anamorpher, una herramienta de código abierto para crear y analizar imágenes maliciosas. Soporta tres métodos de escalado (nearest neighbor, bilinear y bicubic) y adapta la técnica de ataque a bibliotecas como Pillow, OpenCV, TensorFlow y PyTorch. En particular, se demostró cómo aprovechar la interpolación bicúbica en OpenCV para introducir el payload sin alterar el aspecto externo. La utilidad incluye interfaz web, API en Python y un backend modular que facilita experimentar con distintas implementaciones de resampling.
Como medidas de defensa, los expertos sugieren desactivar el escalado automático de imágenes o restringir de forma estricta los tamaños permitidos en los servicios. En caso de que la reducción sea necesaria, debe mostrarse siempre al usuario una vista previa de la versión que realmente analizará el modelo, tanto en CLI como en API. Además, recomiendan bloquear la ejecución de herramientas externas y APIs sin confirmación explícita, así como implementar filtros contra ataques multimodales de prompt injection, con análisis de texto incrustado en imágenes.
Los autores advierten que la amenaza es aún más crítica en dispositivos móviles y sistemas periféricos, donde los tamaños fijos y algoritmos de escalado simplificados aumentan la eficacia del ataque. En el futuro, planean investigar su impacto en asistentes de voz y en otras plataformas multimodales, además de ampliar las capacidades de Anamorpher para explorar nuevos escenarios de explotación y técnicas de protección.