Tecnología
Descubren nueva forma de hackeo que explota a Gemini, la IA de Google, para robar datos personales usando imágenes
Este es un ejemplo de los llamados ataques de inyección rápida, que también han afectado a otras IA como Claude Code y OpenAI Codex.
Un ataque de ciberseguridad puede robar datos personales al ocultar instrucciones multimodales invisibles dentro de imágenes. Cuando estas imágenes se cargan en sistemas como Gemini CLI, la inteligencia artificial (IA) ejecuta dichas instrucciones y filtra la información de la víctima.
El proceso de escalado de imágenes ha sido identificado como un vector de ataque contra sistemas de IA en producción, incluyendo Gemini CLI, Vertex AI Studio, la API de Gemini, Google Assistant y Genspark, entre otros.
Según una investigación del equipo de Trail of Bits, una imagen aparentemente inofensiva puede contener indicaciones ocultas (‘prompts’) que, al ser procesadas por el modelo, activan acciones no autorizadas. Estas instrucciones no son visibles para el usuario, pero la IA es capaz de leerlas y ejecutarlas, comprometiendo así la seguridad de los datos.
El ataque se aprovecha del proceso automático de escalado de imágenes, que modifica la imagen antes de ser analizada por la IA. Esto significa que, al cargarla en Gemini (ya sea a través de su agente de código abierto, interfaz web o API), el modelo no analiza la imagen original, sino una versión escalada.
Durante este escalado, el ‘prompt’ malicioso se revela y es ejecutado por el sistema. En algunos casos, esto permite activar herramientas externas como Zapier, una plataforma de automatización que conecta aplicaciones y servicios sin requerir programación.
Utilizando este método, los investigadores lograron extraer datos de usuarios almacenados en Google Calendar y enviarlos por correo electrónico a terceros sin que la víctima lo advirtiera, según detallan en su informe.
Además, advierten que este tipo de ataque forma parte de una clase más amplia conocida como inyección rápida (fast injection), ya documentada en entornos de codificación agéntica como Claude Code y OpenAI Codex. Estas técnicas han permitido exfiltrar información y ejecutar código de forma remota, aprovechando vulnerabilidades en entornos aislados.
Los investigadores señalan que estos ataques se apoyan en algoritmos de reducción de escala, que transforman varios píxeles de alta resolución en un solo píxel de menor resolución. Los tres algoritmos identificados como vulnerables son:
- Interpolación del vecino más cercano
- Interpolación bilineal
- Interpolación bicúbica
Cada uno requiere una técnica específica para insertar prompts maliciosos. Para ello, los investigadores utilizaron la herramienta Anamorpher, que permite ocultar instrucciones dentro de las zonas oscuras de las imágenes, adaptándose a cada uno de estos algoritmos.
Medidas de defensa ante estos ataques
Trail of Bits recomienda evitar el uso de reducción de escala automática y, en su lugar, limitar las dimensiones de las imágenes cargadas. También proponen incorporar una vista previa de cómo el modelo interpreta la imagen tras el escalado, incluso en herramientas de línea de comandos (CLI) y APIs.
Sin embargo, subrayan que la defensa más eficaz es la implementación de patrones de diseño seguros y mecanismos de defensa sistemática que mitiguen no solo la inyección multimodal, sino cualquier forma de manipulación de entrada.
Con estas medidas, se evitaría que las instrucciones ocultas en imágenes —especialmente las que contienen texto— puedan activar herramientas sensibles sin la confirmación explícita del usuario.
*Con información de Europa Press
