A algunos usuarios les ha pasado, abren su Gmail o revisan el calendario, le piden a Gemini que haga algo simple —como resumir mensajes o listar eventos— y la respuesta que reciben está contaminada por instrucciones maliciosas que ni siquiera se vieron anteriormente. Eso es lo que se conoce como inyección indirecta de indicaciones (prompt-injection), una vulnerabilidad grave que investigadores han probado recientemente.
Por ejemplo, alguien puede ocultar texto dentro de un correo usando HTML/CSS —texto blanco sobre blanco, tamaño de fuente cero, o etiquetas falsas (“admin”)— dentro de correos o invitaciones de calendario. Cuando le dicen a Gemini “resume este correo” o “¿qué eventos tengo?”, esa instrucción oculta se ejecuta. Gemini puede advertir falsamente que tu contraseña fue comprometida, mostrar un número de soporte falso o incluso activar dispositivos conectados en tu casa (luces, persianas, Zoom, etc.).
Qué tan serio es el riesgo
Este tipo de ataque explota la forma en que Gemini integra el contenido que proviene de correos, calendarios, documentos, etc., como parte del contexto de lo que se pide hacer. Investigaciones recientes muestran que estas técnicas de inyección pueden todavía funcionar, a pesar de que Google ha implementado defensas.
También hay reportes de fallas específicas donde creadores identificaron archivos README maliciosos o repositorios de código podrían incluir instrucciones ocultas para hacer que Gemini ejecute comandos no autorizados.
Qué está haciendo Google para defenderse
Google no está cruzado de brazos. Ha descrito en varios blogs y documentos públicos su estrategia para mitigar estos riesgos: una defensa en capas que incluye endurecimiento del modelo (model hardening), detectores automáticos de contenido malicioso, filtros de URLs sospechosas, sanitización de markdown, confirmaciones del usuario antes de realizar acciones sensibles, notificaciones para el usuario cuando detectan contenido potencialmente peligroso, y red-teaming (pruebas de ataque internas) para anticipar nuevas técnicas de agresión.
Además, Google ha parcheado vulnerabilidades específicas recientemente, como las relacionadas con Gemini CLI. Esa versión de la herramienta permitía que un archivo aparentemente inocente desencadenara ejecución de código oculto, pero ya fue corregido.
¿Qué puedes hacer usted como usuario de Gemini?
Hay varias cosas que debe tener en cuenta antes de salir a cancelar su cuenta de Gemini y despotricar acerca de Google y su chatbot:
- No acepte automáticamente resúmenes o alertas generadas por Gemini si suenan alarmantes. Verifique con fuentes oficiales cuando algo te parezca extraño.
- Examine mails, invitaciones y documentos recibidos, desconfíando de formatos sospechosos como texto invisible, etiquetas extrañas, fuentes inusualmente pequeñas.
- Activar autenticación en dos pasos y revisar permisos de acceso que Gemini o apps similares pueden tener sobre sus calendarios, dispositivos domésticos u otros datos sensibles.
En el caso de las empresas: incorporar auditorías de seguridad, monitoreo de workflows automatizados, políticas claras de qué datos pueden ser procesados por IA, y protocolos para revocar permisos en caso de detección de comportamiento inesperado.
Seguridad vs conveniencia
Lastimosamente, la ecuación sigue siendo la misma: Seguridad vs conveniencia. La conveniencia de pedirle a Gemini cosas como “resumir este correo” es enorme. Nos ahorra tiempo, nos hace la vida más fácil. Pero estas funciones esconden riesgos reales. No estamos hablando de un fallo remoto, sino de una vulnerabilidad activa, que explota algo tan cotidiano como una invitación de calendario o un correo de apariencia inocente.
Google ha avanzado para mejorar la seguridad, pero la amenaza evoluciona rápido. Es importante usar estas herramientas con conciencia, no bajar la guardia. Hasta que no haya una defensa infalible, convendrá ver a Gemini como un asistente útil, pero no como árbitro confiable cuando la seguridad de la información está en juego (datos personales, dispositivos conectados, finanzas, etc.).
Así como la ingeniería social se utiliza para engañar a los humanos, los ciberdelincuentes también pueden aprovechar las limitaciones de los modelos de IA para ejecutar ataques. La prevención y la conciencia humanas son clave para protegerse contra estos riesgos.
