Expertos en ciberseguridad han advertido sobre un nuevo tipo de ataque capaz de robar información personal a través de imágenes aparentemente inofensivas que, al ser cargadas en sistemas de inteligencia artificial como Gemini CLI, Vertex AI Studio, la API de Gemini, Google Assistant o Genspark, desencadenan una filtración de datos.

El hallazgo, realizado por el equipo de The Trail of Bits, revela que este método aprovecha los algoritmos de reducción de escala de imágenes, un proceso automático que se ejecuta antes de que la IA analice los archivos.

De esta manera, los atacantes logran ocultar instrucciones multimodales invisibles que, al ser interpretadas por el modelo, activan acciones sin que el usuario lo perciba.

En pruebas realizadas, los investigadores lograron extraer información privada de Google Calendar y enviarla a un correo externo sin autorización del afectado, utilizando plataformas como Zapier, que conectan servicios y aplicaciones en línea.

Este procedimiento demuestra cómo un simple archivo gráfico puede convertirse en una herramienta para activar funciones sensibles de forma remota.

El ataque, conocido como “escalado de imágenes”, aprovecha vulnerabilidades en tres algoritmos comunes: interpolación del vecino más cercano, bilineal y bicúbica.

Para introducir las órdenes ocultas, los especialistas usaron la herramienta Anamorpher, que permite insertar los ‘prompts’ maliciosos en las zonas más oscuras de una foto.

Los expertos señalan que este caso es parte de una tendencia más amplia de ataques de inyección rápida, ya probados en sistemas de codificación como Claude Code y OpenAI Codex, donde también se logró exfiltrar datos o ejecutar código en entornos aislados.

Las recomendaciones que dieron los investigadores de The Trail of Bits para evitar este tipo de ataques son las siguientes:

1. No usar la reducción automática de escala de imágenes.
   En lugar de ello, limitar directamente las dimensiones de los archivos que se cargan en la IA.

2. Implementar una vista previa de lo que la IA realmente interpreta.
   Es decir, permitir que los usuarios vean la versión procesada de la imagen (la que analiza el modelo) antes de ejecutarla, incluso en herramientas de línea de comandos (CLI) o API.

3. Aplicar patrones de diseño seguros y defensas sistemáticas.
   Estas medidas deben ir más allá de la inyección multimodal y servir para detectar intentos de manipulación en diferentes formatos de entrada.

4. Exigir confirmación explícita del usuario.
   Especialmente cuando un texto oculto dentro de una imagen intenta iniciar llamadas a herramientas sensibles o acceder a información personal.

Sin embargo, advierten que la defensa más sólida será aplicar patrones de diseño seguros que impidan que textos ocultos dentro de una imagen puedan ejecutar acciones sensibles sin la confirmación explícita del usuario.