Demasiado obediente: Gemini cumplía las órdenes de los hackers con la misma diligencia que las peticiones de los usuarios
La IA no sospechó nada — hizo su trabajo a la perfección, pero para el dueño equivocado.
Investigadores de la empresa Tenable revelaron tres vulnerabilidades en la inteligencia artificial Google Gemini, que permitían robar datos y realizar ataques remotos. Los problemas recibieron el nombre común Gemini Trifecta y afectaban a distintos módulos del asistente.
El primer fallo fue detectado en el servicio Gemini Cloud Assist. El mecanismo destinado al análisis de registros permitía a un atacante inyectar instrucciones ocultas directamente en la solicitud HTTP, por ejemplo en el campo User-Agent. En ese caso, al procesar los datos Gemini ejecutaba código arbitrario con acceso a componentes en la nube de Google: Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API y otros. Esto abría la posibilidad de escanear la infraestructura en busca de errores de configuración o descargar la lista de recursos disponibles, y enviar los resultados al servidor del atacante.
La segunda vulnerabilidad afectó al modelo de personalización de la búsqueda. Procesaba el historial de búsquedas del usuario en Chrome y no distinguía entre sus propios comandos y los inyectados desde fuera. Un atacante podía colocar en un sitio web JavaScript malicioso que añadía al historial cadenas de búsqueda con instrucciones. Más tarde, al consultarse Gemini, esos comandos ocultos se interpretaban como peticiones del usuario, y el asistente entregaba datos almacenados o la geolocalización al atacante.
La tercera brecha estaba en la herramienta Gemini Browsing Tool. El servicio realizaba una llamada interna para resumir brevemente el contenido de las páginas web. El código malicioso aprovechaba ese mecanismo para incrustar instrucciones que reenviaran información personal a un servidor controlado por los atacantes. No era necesario que la víctima pinchara en un enlace ni abriera imágenes: todo se ejecutaba automáticamente al procesarse el texto de las páginas.
Según la valoración de Tenable, el atacante podía combinar los métodos y diseñar escenarios en los que la información personal de la víctima quedaba integrada en peticiones a servidores externos sin su conocimiento. Una de las variantes era la sustitución de instrucciones en los registros, que obligaba a Gemini a exportar activos públicos o a buscar errores en la configuración de permisos.
Tras la notificación responsable, Google desactivó la generación de hipervínculos en las respuestas para todas las funciones relacionadas con el procesamiento de registros, y también añadió mecanismos adicionales de protección contra indicaciones inyectadas.
Los analistas subrayan que el caso Gemini Trifecta demostró un nuevo vector de amenaza: la propia inteligencia artificial se está convirtiendo en una herramienta de ataque, no solo en su objetivo. Por ello, las empresas deben tener en cuenta no solo las vulnerabilidades de los servicios básicos, sino también los mecanismos de funcionamiento de los asistentes de IA que tienen acceso a datos y servicios en la nube.
En paralelo a este incidente, la plataforma CodeIntegrity describió otro ejemplo de ataques similares. Sus especialistas detectaron una forma de explotar el agente de IA de Notion, en la que las instrucciones se ocultaban en un archivo PDF como texto blanco sobre fondo blanco. Al procesar esa documentación, el modelo recibía una orden oculta para recopilar datos confidenciales y enviarlos a los atacantes. Agentes similares, con acceso a documentos, bases de datos y conectores externos, amplían la superficie de ataque más allá de lo previsto por los sistemas clásicos de control de acceso.
Así, las vulnerabilidades en Google Gemini y la demostración con Notion muestran que la proliferación de asistentes de IA los convierte en un canal conveniente para la filtración de información, y la seguridad de esos sistemas requiere un enfoque específico.