Google "ignora" vulnerabilidad de contrabando ASCII en Gemini

Google ha decidido no corregir una nueva vulnerabilidad de contrabando ASCII en su asistente de inteligencia artificial Gemini, a pesar de que este fallo podría permitir a atacantes alterar el comportamiento del modelo, suministrar información falsa o manipular silenciosamente los datos del sistema.

El ataque, descubierto por Viktor Markopoulos, investigador de seguridad de la firma FireTail, demuestra que Gemini puede ser engañado mediante caracteres invisibles del bloque Unicode Tags, una técnica conocida como contrabando ASCII (ASCII smuggling). Aunque los usuarios no pueden ver estas instrucciones ocultas, los modelos de lenguaje grande (LLM, por sus siglas en inglés) sí las procesan internamente, abriendo la puerta a ataques de manipulación y filtración de información.

¿Qué es el contrabando ASCII y por qué es peligroso?

El contrabando ASCII consiste en insertar caracteres Unicode especiales que no se muestran en la interfaz visible de un usuario, pero que pueden alterar el procesamiento interno del texto por parte de un modelo de IA.

Esto genera una peligrosa brecha entre lo que ve el usuario y lo que interpreta la máquina, permitiendo que actores maliciosos inserten comandos ocultos en textos aparentemente inocuos, como correos electrónicos, invitaciones o publicaciones en redes sociales.

Este tipo de ataque ya había sido teorizado por la comunidad de seguridad desde los inicios de la IA generativa. Sin embargo, el riesgo se ha incrementado drásticamente con la evolución de herramientas agenciales, como Gemini, DeepSeek o Grok, que tienen acceso autónomo a datos personales, correos electrónicos y documentos corporativos.

En otras palabras, lo que antes era una curiosidad técnica ahora puede transformarse en un ataque real y automatizado con consecuencias graves.

Gemini, el asistente vulnerable

De acuerdo con los experimentos realizados por FireTail, Gemini es vulnerable al contrabando ASCII, especialmente en su integración con Google Workspace, donde los atacantes pueden aprovechar la función de IA para procesar información de Gmail y Calendar.

Markopoulos demostró que es posible:

• Insertar comandos invisibles en el título de una invitación de calendario, provocando que Gemini interprete instrucciones no visibles para el usuario.
• Sobrescribir detalles del organizador de un evento, facilitando ataques de suplantación de identidad (phishing).
• Ocultar descripciones o enlaces maliciosos dentro de invitaciones o correos electrónicos.

En el caso de los correos electrónicos, el riesgo es aún más elevado. Si un usuario tiene su bandeja de entrada conectada a Gemini, un correo con comandos ocultos podría instruir al asistente para buscar información confidencial, enviar contactos o reenviar mensajes privados, sin intervención humana.

Markopoulos advierte que esto convierte un simple intento de phishing en una herramienta autónoma de extracción de datos, un escenario especialmente preocupante en entornos empresariales donde Gemini tiene acceso a información sensible.

Comparativa con otros modelos de IA

El estudio de FireTail también evaluó otras plataformas populares de inteligencia artificial:

• Claude, ChatGPT y Microsoft Copilot demostraron ser resistentes al contrabando ASCII, ya que implementan mecanismos de saneamiento de entradas para filtrar o neutralizar caracteres Unicode ocultos.
• En cambio, DeepSeek y Grok mostraron vulnerabilidades similares a las de Gemini, siendo susceptibles a la manipulación mediante cargas útiles invisibles en invitaciones o publicaciones en redes sociales.

La diferencia, según el investigador, radica en el nivel de control que cada empresa ejerce sobre el procesamiento de texto y en las medidas de seguridad implementadas para prevenir la ejecución de instrucciones encubiertas.

La respuesta de Google: "no es un error de seguridad"

El investigador informó los hallazgos a Google el 18 de septiembre de 2025, pero la compañía decidió no corregir el fallo, argumentando que no se trata de un error de seguridad, ya que solo puede explotarse en el contexto de ataques de ingeniería social.

Sin embargo, Markopoulos demostró que el ataque no requiere interacción directa con el usuario. En una prueba, logró que Gemini mostrara un sitio web malicioso como recomendación legítima para adquirir un teléfono "de buena calidad con descuento", todo a partir de una instrucción invisible insertada en la consulta.

El investigador subraya que esta vulnerabilidad no solo afecta la precisión del modelo, sino que también compromete la confianza de los usuarios en los resultados y respuestas del asistente.

Riesgos asociados al uso de Gemini en entornos corporativos

El peligro se amplifica cuando Gemini opera dentro de entornos integrados con Google Workspace, donde puede acceder a:

• Documentos de Drive,
• Correos electrónicos de Gmail,
• Invitaciones y eventos de Calendar,
• Otras aplicaciones colaborativas internas.

Un solo ataque de contrabando ASCII podría ser suficiente para inyectar instrucciones maliciosas y manipular cómo Gemini interpreta la información, sin que el usuario perciba ninguna anomalía visual.

Además, los LLM con capacidades de navegación web también corren riesgo. Si un sitio web contiene texto con cargas útiles ocultas, el modelo podría alimentar enlaces maliciosos al usuario o incluso modificar su propio comportamiento con base en esos comandos invisibles.

La postura del sector y las lecciones aprendidas

A diferencia de Google, otras empresas tecnológicas han comenzado a tomar medidas. Amazon, por ejemplo, publicó una guía de seguridad sobre contrabando de caracteres Unicode, alertando sobre cómo estas secuencias pueden afectar tanto a sistemas de IA como a navegadores o aplicaciones empresariales.

Expertos en ciberseguridad coinciden en que ignorar estas vulnerabilidades puede generar un precedente peligroso. Con el crecimiento de los asistentes de IA conectados a sistemas reales, cada interacción —incluso una invitación o un correo— podría convertirse en un vector de ataque invisible.

En fin...

El ataque de contrabando ASCII en Gemini expone una debilidad crítica en la capa más fundamental de la inteligencia artificial moderna: la interpretación del lenguaje. Al no corregir la falla, Google deja a sus usuarios —y especialmente a las organizaciones que dependen de Workspace— expuestos a manipulaciones sutiles pero potencialmente devastadoras.

La seguridad en los modelos de IA no solo depende de algoritmos sofisticados, sino también de un control estricto sobre lo que los modelos pueden leer, ejecutar e interpretar. En un contexto donde las instrucciones invisibles pueden alterar el comportamiento de una IA, la confianza y la transparencia deben ser la máxima prioridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login