Google se niega a corregir una vulnerabilidad crítica de”contrabando de ASCII”en su IA Gemini, lo que deja a los usuarios expuestos a ataques ocultos. Los investigadores de seguridad de FireTail descubrieron que los atacantes pueden utilizar caracteres Unicode invisibles para incrustar comandos maliciosos en el texto.
Mientras los usuarios ven mensajes inofensivos, Gemini ejecuta las instrucciones ocultas. Esta falla es particularmente peligrosa en Google Workspace, donde permite la suplantación de identidad automatizada en invitaciones y correos electrónicos de Calendar.
A pesar de que competidores como OpenAI y Microsoft parchearon problemas similares, Google desestimó el informe. La empresa lo clasificó como ingeniería social, no como un error de seguridad. Esta decisión obliga a las empresas a defenderse contra una amenaza conocida y absoluta.
Fantasmas en la máquina: cómo funciona el contrabando ASCII
El El ataque, una técnica conocida como contrabando ASCII, tiene sus raíces en el inteligente abuso del estándar Unicode. Explota una disparidad fundamental entre lo que un usuario ve en su pantalla y los datos sin procesar que procesa un modelo de IA.
El método utiliza un conjunto especial de caracteres invisibles del bloque Unicode de etiquetas para incrustar instrucciones ocultas dentro de una cadena de texto aparentemente benigna, creando un potente vector para inyección rápida y envenenamiento de datos.
Estos caracteres especiales generalmente no se representan en las interfaces de usuario. De acuerdo con el Estándar Técnico Unicode, una implementación completamente inconsciente de etiquetas mostrará cualquier secuencia de caracteres de etiquetas como invisibles. Esto crea el camuflaje perfecto para un atacante.
Mientras que un usuario humano solo ve el texto inocente y visible, el flujo de datos sin procesar subyacente contiene una carga útil maliciosa escondida dentro de estos caracteres que no se imprimen.
Sin embargo, los modelos de lenguaje grande (LLM, por sus siglas en inglés) no tienen problemas para interpretar estos comandos ocultos. A diferencia de la interfaz de usuario, el preprocesador de entrada de un LLM está diseñado para ingerir cadenas sin procesar, incluidos todos los caracteres, para respaldar los estándares internacionales.
Debido a que estas etiquetas Unicode están presentes en su gran cantidad de datos de entrenamiento, modelos como Gemini pueden leerlas y actuar sobre ellas tal como lo harían con cualquier otro texto. Esta técnica permite a un atacante agregar texto ASCII arbitrario a un emoji u otros caracteres, pasando de contrabando un aviso secreto a cualquier revisor humano.
El resultado es una falla lógica de aplicación crítica. El LLM ingiere la entrada sin procesar y que no es de confianza y ejecuta los comandos ocultos, mientras que el usuario humano, que solo ve la versión desinfectada en la interfaz de usuario, permanece completamente inconsciente de la manipulación.
Esta brecha entre la percepción humana y el procesamiento de la máquina es el núcleo de la vulnerabilidad, convirtiendo una peculiaridad de la interfaz de usuario en un grave riesgo de seguridad, como los investigadores han demostrado repetidamente.
De Calendar Desde la suplantación de identidad hasta el envenenamiento de datos
Las implicaciones para los sistemas de IA agentes son graves. El investigador de FireTail, Viktor Markopoulos, demostró cómo un atacante podría enviar una invitación a Google Calendar con una carga útil oculta. Esta carga útil podría sobrescribir los detalles del organizador, falsificar una identidad o insertar un enlace malicioso.
Google Gemini, actuando como asistente personal, procesa esta datos envenenados sin ninguna interacción del usuario más allá de recibir la invitación. El ataque evita la típica puerta de seguridad de”Aceptar/Rechazar”, convirtiendo a la IA en un cómplice involuntario.
La amenaza se extiende a cualquier sistema donde un LLM resuma o agregue texto proporcionado por el usuario. Por ejemplo, una reseña de producto podría contener un comando oculto que indique a la IA que incluya un enlace a un sitio web fraudulento en su resumen, envenenando efectivamente el contenido para todos los usuarios.
El riesgo se amplifica para los usuarios que conectan LLM a sus bandejas de entrada de correo electrónico. Como explicó Markopoulos,”para los usuarios con LLM conectados a sus bandejas de entrada, un simple correo electrónico con comandos ocultos puede indicarle al LLM que busque en la bandeja de entrada elementos confidenciales o envíe detalles de contacto, convirtiendo un intento de phishing estándar en una herramienta de extracción de datos autónoma”.
Esto transforma un intento de phishing estándar en una violación de datos automatizada mucho más peligrosa.
Un defecto sin parchear: Google Postura frente a la industria
La investigación de FireTail ha revelado una clara división en la preparación de la industria. Si bien se descubrió que Google Gemini, Grok de xAI y DeepSeek eran vulnerables, otros actores importantes no lo eran. Los modelos de OpenAI, Microsoft y Anthropic parecen haber implementado una desinfección de entrada que mitiga la amenaza.
Después de que Markopoulos informara los hallazgos a Google el 18 de septiembre, la compañía desestimó el problema. Argumentó que el ataque se basa en ingeniería social, una postura que ha generado críticas por restar importancia al exploit técnico en su núcleo.
Esta posición contrasta marcadamente con la de otros gigantes tecnológicos. Amazon, por ejemplo, ha publicado una guía de seguridad detallada para defenderse contra el contrabando de caracteres Unicode, reconociéndolo como un vector de amenaza legítimo.
La negativa de Google a actuar deja a sus clientes empresariales en una posición precaria. Sin un parche próximo, las organizaciones que utilizan Gemini en Google Workspace ahora están expuestas conscientemente a un método sofisticado de envenenamiento de datos y suplantación de identidad.
