Tres nuevas vulnerabilidades en Gemini AI de Google pusieron en riesgo información sensible, incluyendo datos almacenados y la ubicación de los usuarios.
Conocidas como la "Gemini Trifecta", estas fallas dejan en evidencia que los asistentes impulsados por inteligencia artificial no solo pueden ser objetivos de ataque, sino también utilizados como medio para ejecutar acciones maliciosas.
El hallazgo reveló serios riesgos de privacidad en distintas partes del ecosistema de Gemini. Aunque Google ya solucionó los problemas con actualizaciones, el incidente sirve como un recordatorio de los desafíos de seguridad que enfrentan las plataformas de IA cada vez más personalizadas y complejas.
Cada vulnerabilidad afectaba una función diferente dentro de Gemini, lo que demuestra que incluso los sistemas más avanzados pueden presentar múltiples puntos débiles si no se diseñan con una arquitectura de seguridad sólida desde el principio.
“Trifecta de Gemini”: Las vulnerabilidades en la nube que puso en jaque a la IA
Una de las vulnerabilidades más preocupantes detectadas en el ecosistema de Gemini afectó directamente a su asistente en la nube. En este caso, se descubrió que los atacantes podrían haber explotado una inyección rápida en herramientas de Google Cloud, abriendo la puerta a acciones como comprometer recursos en la nube o lanzar ataques de phishing.
Lo más inquietante es cómo funcionaba este ataque: los registros generados por el sistema (que Gemini es capaz de resumir automáticamente) podían ser "envenenados" con instrucciones maliciosas ocultas. En otras palabras, si alguien manipulaba esos registros con comandos disfrazados, Gemini los interpretaba como si fueran instrucciones legítimas.
Este hallazgo revela una nueva clase de amenaza para la inteligencia artificial: las inyecciones en registros, una técnica poco explorada hasta ahora, que permite a los atacantes manipular indirectamente las entradas que los modelos de IA procesan.
Otra de las vulnerabilidades críticas detectadas en Gemini afectaba directamente su modelo de personalización de búsqueda. En este caso, los atacantes podían manipular el comportamiento del asistente de IA inyectando consultas maliciosas en el historial de búsqueda de Chrome del usuario.
Esto les permitía engañar a Gemini para que interpretara esas búsquedas como legítimas, lo que podía provocar la filtración de información almacenada, incluyendo datos personales y la ubicación del usuario.
La falla revela lo delicado que puede ser el uso de datos personalizados en asistentes inteligentes. Cuando se combinan entradas manipuladas con funciones automatizadas, incluso el historial de navegación puede convertirse en una puerta de entrada para ataques dirigidos.
La herramienta de navegación de Gemini, diseñada para mejorar la experiencia del usuario al interactuar con la web, también resultó ser un punto débil. Una vulnerabilidad crítica en esta función permitía a los atacantes extraer directamente información confidencial almacenada por el usuario.
El ataque seguía una metodología sencilla pero efectiva: primero, se inyectaba un mensaje malicioso disfrazado de contenido inofensivo. Luego, cuando Gemini procesaba ese mensaje como si fuera un comando válido, el sistema podía ser manipulado para enviar datos privados a un servidor externo controlado por el atacante.
Este proceso de infiltración y exfiltración dejaba la puerta abierta a la filtración de todo tipo de información sensible, desde historiales hasta datos personales, sin que el usuario lo notara.
Una vez más, esto demuestra lo importante que es asegurar cada componente de una plataforma de IA, especialmente cuando tiene acceso a información tan valiosa.
Conoce más sobre: EvilAI: El Malware que se Oculta como Herramienta de IA
Cómo los atacantes lograron filtrar datos usando Gemini sin ser detectados
Los atacantes encontraron formas bastante sigilosas de llevar a cabo lo que se conoce como inyección indirecta en Gemini. Una de las técnicas consistía en incrustar instrucciones maliciosas dentro del encabezado User-Agent en los registros, o incluso usar JavaScript para insertar consultas ocultas en el historial del navegador de una víctima sin que se diera cuenta.
Pero inyectar comandos era solo el primer paso. El verdadero reto era extraer los datos, esquivando los filtros de seguridad de Google que bloquean enlaces, imágenes y otras salidas sensibles.
Para lograrlo, los atacantes se aprovecharon de la propia herramienta de navegación de Gemini, utilizándola como un canal lateral. Diseñaron mensajes que instruían al modelo a visitar una URL específica, pero lo ingenioso del ataque era que esa URL contenía información privada del usuario, incrustada directamente en la solicitud. Esa solicitud era enviada a un servidor bajo el control del atacante, logrando así una exfiltración de datos silenciosa.
Este tipo de filtración no ocurría a través de respuestas directas del modelo, sino mediante el uso de herramientas internas, lo que ayudaba a evadir muchas de las defensas integradas por Google.
Afortunadamente, Google ya solucionó las tres vulnerabilidades. Entre las correcciones aplicadas se incluyen:
-
Evitar que los hipervínculos se muestren en los resúmenes generados a partir de registros.
-
Revertir el modelo de personalización de búsqueda que estaba expuesto a inyecciones.
-
Bloquear posibles filtraciones de datos a través de la herramienta de navegación en ataques basados en solicitudes indirectas.
Estos hallazgos son un recordatorio de que, aunque la IA avanza rápido, la seguridad debe avanzar aún más rápido.