Gemini, la inteligencia artificial de Google, ha logrado posicionarse en el ámbito de la Inteligencia Artificial. Compite con otras IAs reconocidas, como ChatGPT. Sin embargo, en esta ocasión, se encuentra en el centro de una polémica por un problema de seguridad: un error ha permitido la sustracción de datos privados del calendario mediante invitaciones maliciosas. A continuación, te explicaremos de qué se trata y cómo puedes protegerte.
Expertos en seguridad de Miggo Security, una firma especializada en ciberseguridad, han dado a conocer en una publicación del 19 de enero los detalles de este fallo de seguridad que explota la inyección indirecta de mensajes dirigidos a Google Gemini. Este problema ha permitido eludir los controles de privacidad del Calendario de Google y ocultar una carga maliciosa.
Explotan Gemini para robar información personal
Como explica Liad Eliyahu, líder de investigación en Miggo Security, lograron usar una simple invitación de calendario estándar para burlar los controles de privacidad del Calendario de Google y así encubrir la carga maliciosa. Esto facilitó el acceso no autorizado a datos de reuniones privadas y la creación de eventos falsos.
Es importante resaltar que todo esto se podía llevar a cabo sin la intervención directa de la víctima. Esto aumenta el nivel de riesgo, según indica el informe de Miggo Security.
El proceso comienza con un nuevo evento de calendario creado por el atacante y enviado a la víctima seleccionada. En la descripción de esa invitación, se incluye un mensaje redactado en lenguaje natural, que no genera sospechas. Esto resulta en la inyección de mensajes.
El ataque se activa cuando la víctima consulta a Gemini sobre su agenda, como preguntar si tiene alguna reunión programada en una fecha específica. Esto provoca que el chatbot analice la consulta diseñada en la descripción de ese evento malicioso, resumiendo todas las reuniones de ese día. Como resultado, se añaden esos datos a un nuevo evento en el Calendario de Google y se devuelve una respuesta aparentemente inofensiva al usuario.
Gemini, por su parte, genera un evento de calendario y elabora un resumen completo de las reuniones privadas de ese usuario. En muchas configuraciones, ese nuevo evento se vuelve visible para el atacante, permitiéndole acceder a datos privados sin que la víctima lo perciba y sin que tenga que realizar ninguna acción.
Los riesgos de la Inteligencia Artificial
Este problema con Gemini ya ha sido solucionado, tras la divulgación de estos hallazgos. Aunque Google no ha emitido un comunicado oficial, medios especializados como The Hacker News han tratado el tema. Sin embargo, esto nos recuerda nuevamente los riesgos que la Inteligencia Artificial puede representar para la privacidad, dado que puede acceder a información personal que podría quedar expuesta a terceros.
Para evitar o, al menos, minimizar el riesgo de problemas como este, es crucial revisar cuidadosamente lo que compartes en línea. Ten precaución con eventos que recibas por correo, así como con archivos que puedan contener malware. Asegúrate de revisar todo con diligencia y no facilitar las cosas a los piratas informáticos.
Te recomendamos mantener todo actualizado, ya que esto es fundamental para reducir riesgos y evitar que se exploten fallos para robar datos, contraseñas o tomar control del sistema. Verifica que siempre tengas las versiones más recientes instaladas.
Medidas de protección
| Acción Recomendada | Descripción Detallada | Nivel de Impacto |
|---|---|---|
| Revisar invitaciones de calendario | Desconfía y no aceptes invitaciones de remitentes desconocidos o que parezcan sospechosas, especialmente si contienen descripciones inusuales. | Alto |
| Limitar permisos de la IA | En la configuración de tu cuenta de Google, revisa a qué aplicaciones y datos (como el calendario) tiene acceso Gemini y revoca los permisos que no sean estrictamente necesarios. | Medio |
| Mantener software actualizado | Asegúrate de que tanto tu navegador como las aplicaciones de Google estén siempre actualizadas para recibir los últimos parches de seguridad. | Alto |
| Usar prompts específicos | Al consultar a la IA, sé lo más específico posible. En lugar de ‘¿qué tengo hoy?’, prueba ‘resume mis reuniones de hoy de 9 a 17h’. Esto puede limitar el alcance de su análisis. | Bajo |
En resumen, se ha evidenciado una vez más que la IA puede ser una herramienta útil, pero también representa un riesgo para la privacidad. Es crucial encontrar un balance adecuado, evitando proporcionar información excesiva a la Inteligencia Artificial y manteniéndose alerta ante posibles mensajes sospechosos.
Preguntas frecuentes
¿Qué es Gemini?
Gemini es un chatbot desarrollado por Google. Permite hacer preguntas y recibir respuestas generadas por inteligencia artificial.
¿Es posible utilizar Gemini en el móvil y en el ordenador?
Sí, puedes acceder a Gemini tanto desde tu dispositivo móvil como desde tu ordenador.
¿Qué alternativas existen a Gemini, la IA de Google?
Existen opciones como ChatGPT, Copilot o DeepSeek.
