Basta un solo mensaje en WhatsApp para hackearte — ni siquiera tienes que responder.
Análisis: nuevo ataque a teléfonos Android que explota al asistente de IA Gemini
Un solo aviso malicioso de WhatsApp, Slack, Signal, SMS, Instagram o Messenger podía hacer que Gemini en Android ejecutara un comando ajeno. Para el ataque ni siquiera era necesario instalar una aplicación maliciosa en el teléfono: el asistente interpretaba el texto de la notificación como una instrucción.
El problema fue descubierto por el especialista de SafeBreach Or Yair. Anteriormente el equipo ya había mostrado un ataque similar mediante invitaciones en Google Calendar. Google reforzó la protección de Gemini contra la inyección indirecta de instrucciones (inyección de prompts), sin embargo Yair logró eludir las nuevas restricciones. Finalmente Yair informó del método a los especialistas de Google, y la empresa cerró la vulnerabilidad. No se detectaron indicios de su uso en ataques reales.
El riesgo surgía por el agente Utilities, que permite a Gemini leer las notificaciones y responder a ellas. El agente podía interpretar el mensaje del atacante como una orden y modificar la respuesta del asistente. Por ejemplo, Gemini podía vocalizar en voz alta una solicitud falsa en nombre de un responsable u otro contacto real.
El método Fake Context Alignment desarrollado por Yair ayudaba a eludir las comprobaciones de seguridad antes de acciones peligrosas. El usuario escuchaba una pregunta inofensiva, pero el mecanismo de protección de Gemini interpretaba la respuesta "sí" como permiso para abrir una ventana, iniciar una aplicación o ejecutar otra orden. Para enmascarar la pregunta se mostraba en un idioma desconocido para el usuario o se ocultaba dentro de un enlace que el sintetizador de voz no pronunciaba.
Durante las demostraciones Gemini controló dispositivos a través de Google Home, abría enlaces, iniciaba aplicaciones, conectaba el teléfono a una reunión de Zoom y transmitía vídeo. El ataque también permitía registrar información falsa en la memoria a largo plazo de Gemini y crear tareas programadas, por ejemplo la lectura diaria de determinados mensajes.
SafeBreach notificó del problema a Google el 17 de agosto de 2025. Para el 14 de noviembre la empresa mejoró el clasificador de contenido y neutralizó los métodos de evasión detectados. No es necesario actualizar la aplicación. Para mayor protección, los usuarios pueden desactivar Utilities en la configuración de Gemini o prohibir a la aplicación Google leer y gestionar las notificaciones.