Alerta: un ataque con imágenes puede engañar a Gemini y filtrar datos

Investigadores advirtieron una técnica que oculta instrucciones dentro de imágenes; al subirlas a sistemas como Gemini (CLI, web o API), la IA ejecuta esas indicaciones y puede exfiltrar datos del usuario (ej. eventos de Google Calendar vía acciones conectadas como Zapier). El ataque aprovecha el escalado automático de imágenes que ocurre antes del análisis.

¿Qué pasó?

Un reporte difundido por El Economista (Europa Press) resume la investigación: al adjuntar una imagen “inofensiva”, Gemini y otros servicios realizan un downscaling previo; en esa versión reducida aparecen prompts maliciosos que la IA interpreta, pudiendo activar herramientas y enviar información a terceros sin confirmación. El equipo de Trail of Bits demostró la extracción de datos de Google Calendar como prueba de concepto.

¿Cómo funciona el ataque?

Los atacantes insertan un prompt “invisible” que solo se revela tras reducir la imagen. El vector explota tres algoritmos comunes de escalado: vecino más cercano, bilineal y bicúbico, cada uno con su técnica para que el texto oculto emerja al reducir la resolución. Para generarlo y estudiarlo presentaron la herramienta Anamorpher.

Plataformas afectadas (según la investigación)

El ataque se mostró viable en Gemini CLI, Vertex AI Studio, Gemini web/API, Google Assistant y Genspark, es decir, sistemas de producción que procesan imágenes automáticamente antes de la inferencia.

Riesgo para organizaciones

  • Exfiltración de datos a través de acciones conectadas (ej. enviar correos/crear eventos).
  • Ejecución de tareas sin aviso si la aplicación no requiere confirmación explícita para herramientas sensibles.
  • Ampliación del ataque a otros agentes/IDE con IA (historial de inyecciones en herramientas de codificación agéntica).

Medidas recomendadas (del estudio)

  • Evitar el downscaling automático cuando sea posible; en su lugar, limitar dimensiones de subida.
  • Previsualizar “lo que ve el modelo” (la imagen ya escalada) incluso en CLI y API.
  • Implementar patrones de diseño seguros contra prompt injection multimodal y exigir confirmación explícita antes de cualquier llamada a herramientas sensibles.
Qué puede hacer tu equipo hoy

  • Revisar pipelines de carga de imágenes en apps/agents con IA (¿hacen downscaling automático?).

  • Restringir permisos de integraciones (Zapier, correo, calendarios, Drive, etc.) y aislar tokens por entorno. (Apoya las mejores prácticas que discuten los análisis técnicos recientes).

Cómo te apoyamos (SSI)

  • Evaluación rápida de riesgos IA en tus flujos (carga de imágenes, agentes, integraciones).

  • Endurecimiento: confirmaciones, scopes mínimos, registros y alertas de acciones.

  • Pruebas de seguridad con casos de prompt injection multimodal y ajustes de mitigación.

¡Contáctanos!

Permítenos atender tus dudas y brindarte una solución optima para tu negocio.

  • (664) 294-51-88
  • Ciudad Jardín C.P. 22140 Tijuana, Baja California.
  • info@informaticssi.com
© 2022 Seguridad y Sistemas Informáticos.