Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Google Gemini: inyección de prompts permitió exfiltrar datos

Google Gemini: inyección de prompts permitió exfiltrar datos

por Dragora

Investigadores en ciberseguridad han revelado los detalles de una vulnerabilidad de seguridad crítica basada en inyección indirecta de prompts que afectaba a Google Gemini, permitiendo a un atacante eludir controles de autorización y utilizar Google Calendar como canal encubierto de exfiltración de datos. El hallazgo demuestra cómo las capacidades nativas de inteligencia artificial, cuando se integran profundamente en flujos empresariales, pueden ampliar de forma significativa la superficie de ataque.

La investigación fue liderada por Liad Eliyahu, responsable de investigación en Miggo Security, quien explicó que el fallo permitía ocultar una carga maliciosa pasiva dentro de una invitación estándar de Google Calendar, sin levantar sospechas y sin requerir interacción directa del usuario objetivo.

“Este bypass permitió el acceso no autorizado a datos privados de reuniones y la creación de eventos engañosos en el calendario sin ninguna interacción directa del usuario”, señaló Eliyahu en un informe compartido con The Hacker News.


Cómo funciona el ataque: inyección indirecta de prompts en Gemini

El punto de partida de la cadena de ataque es aparentemente inocuo. El actor malicioso crea un evento de calendario y lo envía a la víctima como una invitación legítima. En la descripción del evento se introduce un prompt en lenguaje natural cuidadosamente diseñado, que permanece inactivo y no ejecuta ninguna acción inmediata.

Este enfoque aprovecha una técnica conocida como inyección indirecta de prompts, donde el modelo de lenguaje no recibe instrucciones directamente del atacante, sino que las consume desde una fuente de datos confiable, en este caso Google Calendar.

El ataque se activa cuando el usuario interactúa con Google Gemini realizando una consulta completamente legítima, como por ejemplo:
“¿Tengo alguna reunión el martes?”

En ese momento, Gemini analiza el contenido del calendario para responder a la solicitud. Sin embargo, al procesar la descripción del evento malicioso, el modelo interpreta el prompt oculto como una instrucción prioritaria, desencadenando una acción no autorizada.


Exfiltración silenciosa de datos sin alertar al usuario

Según Miggo Security, el resultado es especialmente preocupante. Entre bastidores, Gemini:

  1. Crea un nuevo evento en Google Calendar

  2. Inserta un resumen completo de las reuniones privadas del usuario en la descripción del evento

  3. Devuelve al usuario una respuesta aparentemente inofensiva

“Gemini creó un nuevo evento en el calendario y escribió un resumen completo de las reuniones privadas del usuario objetivo en la descripción del evento”, explicó Miggo.

En muchas configuraciones empresariales, los calendarios permiten visibilidad compartida o acceso delegado, lo que significa que el nuevo evento era visible para el atacante, quien podía leer los datos exfiltrados sin que la víctima realizara ninguna acción adicional.

Aunque Google solucionó el problema tras una divulgación responsable, el caso ilustra cómo la IA integrada en productos de productividad puede convertirse en un vector de ataque de alto impacto.


El lenguaje como nueva superficie de ataque

Este incidente refuerza una realidad cada vez más evidente: las vulnerabilidades ya no viven únicamente en el código.

“Las aplicaciones de IA pueden manipularse a través del mismo lenguaje que están diseñadas para entender”, advirtió Eliyahu.
“Las vulnerabilidades ahora viven en el lenguaje, el contexto y el comportamiento del modelo en tiempo de ejecución.”

La afirmación es clave para comprender el cambio de paradigma en seguridad. Los controles tradicionales —autenticación, autorización, validación de entrada— resultan insuficientes cuando los modelos de lenguaje interpretan instrucciones implícitas incrustadas en datos aparentemente legítimos.


Un patrón emergente: ataques contra asistentes y agentes de IA

La revelación llega poco después de que Varonis detallara un ataque denominado Reprompt, capaz de extraer datos sensibles de chatbots empresariales como Microsoft Copilot con un solo clic, sin desactivar los controles de seguridad corporativos.

De forma paralela, XM Cyber (Schwarz Group) reveló nuevas técnicas para escalar privilegios dentro de Google Cloud Vertex AI, afectando al Agent Engine y Ray. Estas vulnerabilidades permitirían a un atacante con permisos mínimos secuestrar identidades de servicio de alto privilegio, transformándolas en lo que los investigadores denominaron “agentes dobles”.

La explotación exitosa podría permitir:

  • Leer sesiones de chat completas

  • Acceder a memorias de LLM

  • Extraer datos sensibles de buckets de almacenamiento

  • Obtener acceso root a clústeres Ray

Aunque Google afirmó que los servicios funcionaban “como se esperaba”, los investigadores subrayaron la necesidad urgente de auditar cada identidad de servicio y reforzar los controles contra la inyección de código no autorizada.


Otras vulnerabilidades recientes refuerzan la tendencia

El caso de Gemini no es aislado. En las últimas semanas se han revelado múltiples fallos graves en sistemas de IA:

  • The Librarian (CVE-2026-0612, 0613, 0615 y 0616): vulnerabilidades que permiten acceso a la infraestructura interna, consola de administración y filtración de prompts del sistema.

  • Exfiltración de prompts mediante Base64, demostrando que cualquier campo escribible puede convertirse en un canal de fuga de datos.

  • Plugins maliciosos en mercados de agentes de IA, capaces de eludir controles “human-in-the-loop” mediante inyección indirecta de prompts.

  • Cursor (CVE-2026-22708): ejecución remota de código explotando la confianza implícita en interfaces shell integradas en IDEs basados en agentes.

  • Análisis de IDEs de vibe coding (Cursor, Claude Code, OpenAI Codex, Replit y Devin), revelando deficiencias graves en autorización, SSRF, CSRF y lógica de negocio.

Como concluyó Ori David, de Tenzai:

“No se puede confiar en los agentes de programación para diseñar aplicaciones seguras. Sin una guía explícita, fallan sistemáticamente en implementar controles críticos de seguridad.”


En fin…

La vulnerabilidad de Google Gemini explotada a través de Google Calendar es un ejemplo paradigmático de los riesgos emergentes en la era de la IA integrada. A medida que los LLMs se convierten en intermediarios entre usuarios, datos y acciones, el lenguaje se transforma en un vector de ataque tan potente como cualquier exploit tradicional.

Para las organizaciones, el mensaje es claro: evaluar modelos de lenguaje no solo por su precisión, sino por su resistencia a la manipulación contextual, auditar identidades de servicio, y asumir que cada agente de IA introduce una nueva frontera de riesgo que debe ser gobernada con el mismo rigor que cualquier sistema crítico.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!