Google ha confirmado una advertencia de Gmail sobre un nuevo ataque impulsado por IA capaz de comprometer las cuentas de Gmail. Este ataque aprovecha técnicas de inyección rápida ocultas en correos electrónicos, mensajes, sitios web, archivos adjuntos e invitaciones de calendario.
La vulnerabilidad fue destacada por Eito Miyamura, quien demostró en X cómo se puede manipular ChatGPT para filtrar los datos privados de correo electrónico de una víctima utilizando solo su dirección de correo electrónico. Según Miyamura, “los agentes de inteligencia artificial como ChatGPT siguen tus órdenes, no tu sentido común”, enfatizando el potencial de filtración de datos.
Google ya había advertido sobre este tipo de amenazas en junio, caracterizándolas como una “nueva ola de amenazas” destinadas a manipular los sistemas de inteligencia artificial. Estas amenazas implican instrucciones maliciosas integradas en correos electrónicos, documentos o invitaciones de calendario que obligan a la IA a extraer datos del usuario o realizar acciones no autorizadas.
El ataque demostrado es una prueba de concepto, que se inicia con una invitación de calendario maliciosa que no requiere la aceptación de la víctima. Cuando se le indica a ChatGPT que prepare al usuario para su día revisando su calendario, el asistente de IA es “secuestrado por el atacante y actuará según las órdenes del atacante, buscando en sus correos electrónicos privados y enviando los datos al correo electrónico del atacante”, según los informes.
Para mitigar este riesgo, Google recomienda a los usuarios que habiliten la configuración de “remitentes conocidos” en Google Calendar. Esta medida ayuda a evitar que aparezcan automáticamente eventos maliciosos o spam en la cuadrícula del calendario. Google afirma: “Hemos descubierto que este es un enfoque particularmente eficaz para ayudar a los usuarios a evitar que aparezcan eventos maliciosos o de spam en la cuadrícula de su calendario. La invitación específica del calendario no habría llegado automáticamente a menos que el usuario haya tenido interacciones previas con el mal actor o haya cambiado la configuración predeterminada”.
Google también enfatiza la importancia de proteger los modelos de IA contra tales ataques. La compañía afirma que “Nuestro entrenamiento de modelos con datos adversarios mejoró significativamente nuestras defensas contra ataques indirectos de inyección rápida en modelos Gemini 2.5”, aunque este ataque específico no involucró a Gemini.
Además, Google está implementando filtros para detectar ataques de inyección rápida. Están “implementando modelos patentados de aprendizaje automático que pueden detectar indicaciones e instrucciones maliciosas en varios formatos, como correos electrónicos y archivos”. Estos modelos tienen como objetivo identificar e ignorar instrucciones maliciosas dentro de los correos electrónicos, generando respuestas seguras para los usuarios.
Google destaca que las defensas integradas de Gmail ya bloquean más del 99,9% del spam, los intentos de phishing y el malware. La compañía cita un ejemplo de un correo electrónico “que incluye instrucciones maliciosas; nuestros clasificadores de contenido ayudan a detectar e ignorar instrucciones maliciosas y luego generar una respuesta segura para el usuario”.
Miyamura advierte que a pesar de la inteligencia de la IA, sigue siendo vulnerable a la manipulación y el phishing, lo que podría provocar fugas de datos. Advierte: “La IA puede ser muy inteligente, pero puede ser engañada y suplantada de maneras increíblemente tontas para filtrar tus datos”.
Google sostiene que esta amenaza “no es específica de Google”, enfatizando la importancia para toda la industria de desarrollar protecciones sólidas contra ataques de inyección rápida.
