Un equipo de investigadores ha mostrado cómo, con nada más que instrucciones en lenguaje natural dentro de una invitación de Google Calendar, se puede engañar a Gemini —el asistente basado en el gran modelo de lenguaje de Google— para que revele información privada y la deje escrita en una cita accesible para un atacante. El hallazgo subraya que, aunque los sistemas de detección basados en reglas y modelos auxiliares existen, la capacidad de razonamiento y la ingestión automática de datos por parte de asistentes LLM añaden superficies de ataque nuevas y difíciles de prever.
El experimento, descrito por los responsables en un informe técnico, aprovecha la forma en que Gemini procesa los detalles de los eventos cuando un usuario le pregunta por su agenda. Si un atacante puede enviar una invitación cuya descripción contiene instrucciones formuladas en lenguaje natural —por ejemplo, pedir que se resuman todas las reuniones de un día, que se incluya información privada y que ese resumen se copie en un nuevo evento—, Gemini puede llegar a ejecutar esas instrucciones como si fuesen una petición legítima del usuario. El resultado: datos sensibles son escritos en la descripción de un evento nuevo que, en muchas configuraciones empresariales, queda visible para participantes y posiblemente para el atacante.
Los investigadores explican que la clave del éxito no fue un exploit técnico tradicional sino la manipulación semántica. Aprovechando que Gemini enlaza y procesa automáticamente información de Calendar para ofrecer ayuda proactiva, basta con introducir una “instrucción” aparentemente inocua en un campo de evento para que, cuando el usuario invoque al asistente, éste cargue e interprete ese texto junto con el resto del contexto. Esa interpretación puede conducir a acciones que exfiltran información sin que el usuario lo advierta.
Este vector de ataque cae dentro de lo que se conoce como prompt injection: en lugar de vulnerar la infraestructura, el atacante inserta comandos en entradas de texto que el modelo trata como instrucciones legítimas. Los autores del informe señalaron que, aunque Google aplica una capa adicional de detección con modelos aislados para filtrar instrucciones peligrosas, la maniobra eludió esas defensas porque las órdenes en la descripción parecían, en apariencia, seguras y coherentes con la función de asistente.
El caso no es totalmente nuevo en su concepto —otros equipos han demostrado anteriormente cómo calendarios y metadatos pueden servir para manipular asistentes—, pero este trabajo muestra que los matices del lenguaje y la intención hacen muy difícil mantener una barrera perfecta. Además, los investigadores comunicaron sus hallazgos al equipo de Google; la compañía introdujo mitigaciones para bloquear los patrones utilizados por el experimento, aunque los autores insisten en que la solución no es trivial y que la seguridad debe evolucionar más allá de la mera validación sintáctica.
Para quienes gestionan entornos corporativos, la implicación práctica es clara: las integraciones que permiten a modelos de lenguaje acceder a calendarios, correos y otros datos deben aplicarse con políticas de acceso estrictas, controles de modificación de campos por remitentes externos y visibilidad reducida por defecto. Permitir que asistentes actúen con amplios permisos sobre elementos colaborativos sin controles contextuales y de intención es un riesgo que puede materializarse con poco esfuerzo.
Los autores del informe proponen que la detección pase de identificar patrones de texto peligrosos a ser consciente del contexto: ¿quién creó el contenido?, ¿cuál es la relación entre el remitente y los participantes?, ¿tiene sentido que un asistente reescriba un campo visible para terceros con información confidencial? Es decir, la defensa ideal debería combinar análisis semántico con reglas de negocio y telemetría sobre permisos y orígenes.
Es importante también recordar que las mitigaciones técnicas no suplen políticas y formación. En muchas organizaciones la forma más inmediata de reducir el riesgo consiste en limitar quién puede crear o modificar eventos que afectan a equipos críticos, revisar permisos por defecto en calendarios compartidos y educar a las personas para que desconfíen de invitaciones inesperadas, incluso si provienen de contactos conocidos cuyo correo pueda haber sido comprometido.
El informe y la cobertura posterior han despertado interés en la comunidad de seguridad porque ilustran un punto más amplio: cuando las APIs y las interfaces se diseñan para aceptar instrucciones humanas como entrada nativa, la frontera entre lo que es “dato” y lo que es “comando” se vuelve borrosa. Esa ambigüedad amplifica la necesidad de controles de integridad en cada capa del flujo de datos.
Para quienes quieran leer el análisis técnico original, los detalles están disponibles en la publicación del propio equipo de investigación en Miggo Security: Weaponizing Calendar Invites: a semantic attack on Google Gemini. La pieza también fue citada en reportes de prensa y análisis especializados que examinan cómo los asistentes LLM se integran con herramientas de productividad y qué implicaciones de seguridad trae eso.
Google, por su parte, ha ido incorporando controles y revisiones en las integraciones de Gemini con Workspace y otros servicios; su apuesta por asistentes que actúen sobre calendarios y correos requiere un equilibrio delicado entre utilidad y protección de datos. Para contexto sobre el producto y su integración, conviene revisar la información oficial de Google sobre Gemini y sus capacidades: Introducing Gemini — Google AI blog. La discusión pública y técnica continuará siendo necesaria porque la superficie de ataque evolucionará a la par que las funcionalidades.
En definitiva, el incidente es una llamada de atención: los asistentes capaces de razonar y actuar sobre datos personales y corporativos son herramientas poderosas, pero su utilidad viene acompañada de nuevos vectores de riesgo. La seguridad en esta era debe combinar controles técnicos más inteligentes, políticas de acceso más conservadoras y una mayor concienciación sobre cómo el lenguaje mismo puede convertirse en una vía de explotación.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...