Los investigadores de Tenable han revelado tres vulnerabilidades críticas en la suite de inteligencia artificial Gemini de Google que ponen de manifiesto cómo estas herramientas pueden convertirse en un vehículo para ciberataques. El hallazgo, bautizado como “Gemini Trifecta”, demuestra que los sistemas de IA deben tratarse como superficies activas de ataque y no como simples asistentes de productividad.
Los fallos se localizaron en tres modelos distintos: Gemini Cloud Assist, Gemini Search Personalization y Gemini Browsing Tool. En todos los casos, el problema residía en la posibilidad de introducir instrucciones maliciosas a través de canales aparentemente confiables —como registros en la nube, historiales de búsqueda o peticiones web—, consiguiendo que Gemini las procesara como órdenes legítimas.
Aunque Google ya ha corregido estos fallos, el informe subraya la importancia de reforzar la seguridad en torno a la IA
En el caso de Cloud Assist, diseñado para resumir registros en Google Cloud Platform, un atacante podía manipular un log con instrucciones ocultas que el modelo terminaba ejecutando. Esto abría la puerta a generar enlaces de phishing o incluso a consultar recursos sensibles dentro de la nube.
El segundo fallo afectaba a Search Personalization, el motor que adapta las respuestas de Gemini en función del historial de búsquedas del usuario. Mediante un sitio web malicioso, los investigadores lograron inyectar consultas falsas en ese historial que después eran interpretadas por la IA, con capacidad para extraer información privada o corporativa almacenada en la memoria del modelo.
El tercer vector fue hallado en la herramienta de navegación de Gemini, que permite acceder a contenidos en línea y resumirlos. Los expertos descubrieron que era posible forzarla a enviar peticiones con datos sensibles a servidores bajo control de un atacante, en un proceso de exfiltración invisible para el usuario.
Recomendaciones
Aunque Google ya ha corregido estos fallos, el informe subraya la importancia de reforzar la seguridad en torno a la IA. Tenable recomienda asumir que los contenidos controlados por un atacante acabarán llegando a los sistemas de inteligencia artificial de forma indirecta, aplicar defensas en capas (como la validación de contexto y la monitorización estricta de ejecuciones) y realizar pruebas periódicas de resistencia frente a inyecciones de prompts, del mismo modo que se auditan las aplicaciones tradicionales.
En un momento en el que las integraciones de IA se multiplican en entornos corporativos, el Gemini Trifecta recuerda que la seguridad de estas herramientas no es opcional: los modelos pueden ser manipulados para robar datos, escalar privilegios o comprometer infraestructuras críticas.
