Google Gemini for Workspace tiene un problema serio: los atacantes pueden usarlo para crear resúmenes de correos que parecen totalmente normales, pero que en realidad esconden instrucciones maliciosas. Así, logran engañar a los usuarios y llevarlos a sitios de phishing, sin necesidad de archivos adjuntos ni enlaces visibles.
¿Cómo lo hacen? Aprovechan una técnica conocida como inyección de prompts (o de avisos), escondiendo comandos dentro del propio correo. Gemini, al generar el resumen, sigue esas instrucciones sin darse cuenta de que está siendo manipulado.
Y aunque Google ya ha implementado algunas medidas desde 2024 para frenar este tipo de ataques, lo cierto es que la técnica sigue funcionando. No es un fallo nuevo, pero sí uno que continúa siendo efectivo y peligroso.
El exploit fue descubierto por Marco Figueroa, quien lidera el programa de recompensas por errores en GenAI dentro de Mozilla. Lo reportó a través de 0din, el sistema de bug bounty que Mozilla usa para encontrar fallos en herramientas de inteligencia artificial generativa.
¿Y cómo funciona exactamente el ataque? De forma bastante creativa (y preocupante). Un atacante puede enviar un correo que parece inofensivo, pero que en realidad esconde una instrucción maliciosa escrita especialmente para Gemini. Esa instrucción va camuflada dentro del cuerpo del correo, al final del mensaje, usando HTML y CSS para hacerla invisible al ojo humano: fuente en tamaño cero, color blanco sobre fondo blanco… y listo.
Gemini, sin darse cuenta, lee esa directiva escondida y la sigue al generar el resumen del correo. El resultado: un resumen manipulado que puede engañar al usuario y dirigirlo a un sitio de phishing, sin que haya enlaces sospechosos a simple vista.
Elaboración del correo electrónico malicioso (Fuente: 0DIN)
Lo más preocupante es que las instrucciones maliciosas que los atacantes insertan en el correo no se ven en Gmail. Como tampoco hay archivos adjuntos ni enlaces visibles, el mensaje tiene muchas probabilidades de pasar los filtros de seguridad y llegar directo a la bandeja de entrada, sin levantar sospechas.
Si el usuario abre el correo y le pide a Google Gemini que genere un resumen, ahí es donde ocurre el problema. Gemini leerá esas instrucciones ocultas, las interpretará como parte del mensaje real y las incluirá en el resumen, sin saber que está siendo manipulado.
Marco Figueroa, el investigador que descubrió esta vulnerabilidad, compartió un ejemplo claro: Gemini generó un resumen falso que advertía al usuario que su contraseña de Gmail había sido comprometida, e incluso mostraba un número de teléfono falso de “soporte técnico”, diseñado para que la víctima llame y caiga en la trampa.
Resultado del resumen de Gemini servido al usuario (Fuente: 0DIN)
Muchos usuarios confían en los resúmenes generados por Gemini como una funcionalidad más dentro de Google Workspace. Y ahí está el problema: si la IA muestra una advertencia de seguridad en el resumen, es muy probable que el usuario la tome como legítima, sin sospechar que en realidad es una manipulación maliciosa oculta dentro del correo.
Esto hace que el ataque sea especialmente efectivo, porque no depende de enlaces sospechosos ni archivos adjuntos, sino de la confianza que las personas depositan en la IA.
Podría interesarte leer: ¿Por qué siguen funcionando los ataques de phishing en 2025?
El investigador que descubrió la técnica también propuso algunas formas de mitigación que los equipos de seguridad pueden aplicar para reducir el riesgo:
Eliminar o ignorar contenido oculto: Revisar el cuerpo del correo electrónico y eliminar cualquier contenido con estilos diseñados para ocultarlo, como texto con fuente blanca o tamaño cero.
Filtros de posprocesamiento para IA: Implementar una capa extra que revise lo que Gemini genera. Por ejemplo, escanear los resúmenes en busca de señales de alerta como mensajes urgentes, URLs o números de teléfono, y marcar aquellos que parezcan sospechosos para una revisión manual.
Además, es importante recordar algo clave: los resúmenes de Gemini no deben tomarse como una fuente confiable de alertas de seguridad. Si ves un mensaje en un resumen que habla de contraseñas comprometidas, números de soporte o solicitudes urgentes, lo mejor es verificar el correo original con cuidado antes de hacer clic o tomar cualquier acción.
Un portavoz de Google reconoció el problema y respondió con lo siguiente:
"Estamos constantemente reforzando nuestras ya sólidas defensas a través de ejercicios de equipo rojo que entrenan a nuestros modelos para defenderse contra este tipo de ataques adversarios".
Por ahora, no se ha detectado evidencia de que esta técnica se esté utilizando a gran escala, pero eso no significa que no pueda ocurrir. Como en cualquier tecnología emergente, los riesgos están en constante evolución.