{"id":88762,"date":"2025-08-28T06:58:57","date_gmt":"2025-08-28T06:58:57","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/?p=88762"},"modified":"2025-08-28T06:58:57","modified_gmt":"2025-08-28T06:58:57","slug":"gemini-puede-filtrar-tus-datos-con-este-nuevo-ataque-con-imagenes","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=88762","title":{"rendered":"Gemini puede filtrar tus datos con este nuevo ataque con im\u00e1genes"},"content":{"rendered":"<div>\n<p>Un <strong>nuevo ataque podr\u00eda aprovecharse de las capacidades multimodales de Gemini<\/strong> y otros modelos de lenguaje para robar tus datos y compartirlos a un tercero. Investigadores han desarrollado un m\u00e9todo que permite inyectar instrucciones ocultas en im\u00e1genes que, al ser procesadas por un sistema de IA, pueden filtrar informaci\u00f3n o ejecutar acciones no deseadas.<\/p>\n<p>De acuerdo con una publicaci\u00f3n en el blog de <a href=\"https:\/\/blog.trailofbits.com\/2025\/08\/21\/weaponizing-image-scaling-against-production-ai-systems\/\" target=\"_blank\" rel=\"noopener\"><em>The Trail of Bits<\/em><\/a>, investigadores de seguridad detallaron un m\u00e9todo de ataque que <strong>permite esconder <em>prompts<\/em> maliciosos en im\u00e1genes<\/strong>. Las instrucciones se insertan en los archivos a trav\u00e9s de una marca de agua invisible al ojo humano. Cuando el usuario utiliza la imagen en un sistema como Gemini CLI, Vertex AI Studio o la API de Gemini, la IA ejecutar\u00e1 la instrucci\u00f3n y filtrar\u00e1 los datos de la v\u00edctima.<\/p>\n<p>El ataque <strong>aprovecha el escalado de im\u00e1genes<\/strong>, un proceso que se ejecuta de forma autom\u00e1tica antes de que la IA analice el archivo. Al cargar una imagen en Gemini (CLI, web o la API) y en otros sistemas como Vertex AI Studio, el modelo no ve la imagen original, sino una versi\u00f3n escalada. Muchos modelos est\u00e1n entrenados con im\u00e1genes de 224 x 224 o 512 x 512 p\u00edxeles, por lo que al subir una imagen m\u00e1s grande, el sistema la redimensiona autom\u00e1ticamente para que encaje en ese formato.<\/p>\n<p>Cuando se ejecutan los algoritmos de escalado en una imagen manipulada, <strong>el prompt malicioso se hace visible y el modelo ejecuta las instrucciones<\/strong> como si fuera un comando v\u00e1lido. Los prompts pueden activar herramientas como Zapier, un servicio de automatizaci\u00f3n similar a IFTTT, las cuales filtrar\u00e1n la informaci\u00f3n sin necesidad de que el usuario lo confirme.<\/p>\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" data-recalc-dims=\"1\" decoding=\"async\" width=\"1500\" height=\"1461\" alt=\"Ataque de inyecci\u00f3n de prompts en una imagen para usarse en Gemini y otras IA\" class=\"wp-image-1856016 perfmatters-lazy\" src=\"https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5-1500x1461.jpg?resize=1500%2C1461&amp;quality=70&amp;strip=all&amp;ssl=1\" srcset=\"https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1500%2C1461&amp;quality=70&amp;strip=all&amp;ssl=1 1500w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=800%2C779&amp;quality=70&amp;strip=all&amp;ssl=1 800w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=768%2C748&amp;quality=70&amp;strip=all&amp;ssl=1 768w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1536%2C1496&amp;quality=70&amp;strip=all&amp;ssl=1 1536w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1200%2C1169&amp;quality=70&amp;strip=all&amp;ssl=1 1200w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1024%2C998&amp;quality=70&amp;strip=all&amp;ssl=1 1024w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=780%2C760&amp;quality=70&amp;strip=all&amp;ssl=1 780w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=400%2C390&amp;quality=70&amp;strip=all&amp;ssl=1 400w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?w=1546&amp;quality=70&amp;strip=all&amp;ssl=1 1546w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5-1500x1461.jpg?w=370&amp;quality=70&amp;strip=all&amp;ssl=1 370w\" data-sizes=\"(max-width: 1500px) 100vw, 1500px\"\/><img loading=\"lazy\" data-recalc-dims=\"1\" decoding=\"async\" width=\"1500\" height=\"1461\" src=\"https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5-1500x1461.jpg?resize=1500%2C1461&amp;quality=70&amp;strip=all&amp;ssl=1\" alt=\"Ataque de inyecci\u00f3n de prompts en una imagen para usarse en Gemini y otras IA\" class=\"wp-image-1856016\" srcset=\"https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1500%2C1461&amp;quality=70&amp;strip=all&amp;ssl=1 1500w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=800%2C779&amp;quality=70&amp;strip=all&amp;ssl=1 800w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=768%2C748&amp;quality=70&amp;strip=all&amp;ssl=1 768w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1536%2C1496&amp;quality=70&amp;strip=all&amp;ssl=1 1536w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1200%2C1169&amp;quality=70&amp;strip=all&amp;ssl=1 1200w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=1024%2C998&amp;quality=70&amp;strip=all&amp;ssl=1 1024w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=780%2C760&amp;quality=70&amp;strip=all&amp;ssl=1 780w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?resize=400%2C390&amp;quality=70&amp;strip=all&amp;ssl=1 400w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5.jpg?w=1546&amp;quality=70&amp;strip=all&amp;ssl=1 1546w, https:\/\/i0.wp.com\/imgs.hipertextual.com\/wp-content\/uploads\/2025\/08\/image_scaling_figure_5-1500x1461.jpg?w=370&amp;quality=70&amp;strip=all&amp;ssl=1 370w\" sizes=\"auto, (max-width: 1500px) 100vw, 1500px\"\/><\/figure>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_81 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de Contenido<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/enfoquenoticioso.com\/?p=88762\/#Gemini_podria_filtrar_tus_datos_si_cargas_una_imagen_infectada\" >Gemini podr\u00eda filtrar tus datos si cargas una imagen infectada<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\" id=\"h-gemini-podria-filtrar-tus-datos-si-cargas-una-imagen-infectada\"><span class=\"ez-toc-section\" id=\"Gemini_podria_filtrar_tus_datos_si_cargas_una_imagen_infectada\"><\/span>Gemini podr\u00eda filtrar tus datos si cargas una imagen infectada<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>En m\u00faltiples pruebas, los investigadores midieron la efectividad del ataque de inyecci\u00f3n de prompts para <strong>robar informaci\u00f3n de Google Calendar y enviarla a un correo electr\u00f3nico<\/strong> externo. Los autores mencionan que este es uno de muchos ataques de inyecci\u00f3n r\u00e1pida que utilizan los hackers para evadir o envenenar modelos. Las pruebas anteriores mostraron que es posible<strong> filtrar datos o ejecutar c\u00f3digo de forma remota<\/strong> si no se toman las medidas pertinentes.<\/p>\n<p>Los tres algoritmos de escalado vulnerables son<em> nearest neighbor, bilinear <\/em>y <em>bicubic interpolation<\/em>; cada uno requiere una t\u00e9cnica distinta. <strong>Para inyectar prompts en las im\u00e1genes<\/strong>, los ingenieros utilizan una herramienta de c\u00f3digo abierto llamada <strong>Anamorpherm<\/strong>, la cual emplea patrones visuales para identificar el algoritmo y ocultar el comando en las zonas oscuras de la imagen.<\/p>\n<p>A primera vista, esto suena complejo para un usuario final; sin embargo, las im\u00e1genes infectadas podr\u00edan distribuirse de m\u00faltiples formas para llegar a la v\u00edctima. Si est\u00e1s leyendo una web que incluye una imagen y le pides a la IA un resumen, el modelo la escalar\u00e1 y se ejecutar\u00e1 el prompt. Las im\u00e1genes maliciosas <a href=\"https:\/\/hipertextual.com\/tecnologia\/como-hacer-imagenes-estilo-ghibli-con-chatgpt-y-100-gratis\/\" target=\"_blank\" rel=\"noopener\">tambi\u00e9n podr\u00edan compartirse como memes en WhatsApp <\/a>o a trav\u00e9s de campa\u00f1as de phishing.<\/p>\n<p>Vale la pena mencionar que el ataque solo se activa cuando la imagen es procesada por una IA que realiza escalado. Si el sistema reduce la resoluci\u00f3n antes de analizarla, o depende de que el modelo interprete la versi\u00f3n escalada, el <em>prompt<\/em> se ejecutar\u00e1. Si la IA tiene acceso a herramientas como enviar correos o acceder a APIs, llevar\u00e1 a cabo las acciones sin confirmaci\u00f3n previa<\/p>\n<p>Los ingenieros recomiendan evitar subir im\u00e1genes de fuentes desconocidas a Gemini, as\u00ed como revisar qu\u00e9 permisos tiene el asistente o app.<\/p>\n<section id=\"block-157\" class=\"below-content widget widget_block\"\/>\t<\/div>\n<p><a href=\"https:\/\/hipertextual.com\/tecnologia\/ataque-imagenes-gemini-robo-datos-ia\/\" class=\" target=\" title=\"Gemini puede filtrar tus datos con este nuevo ataque con im\u00e1genes\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un nuevo ataque podr\u00eda aprovecharse de las capacidades multimodales de Gemini y otros modelos de lenguaje para robar tus datos y compartirlos a un tercero. Investigadores han desarrollado un m\u00e9todo que permite inyectar instrucciones ocultas en im\u00e1genes que, al ser procesadas por un sistema de IA, pueden filtrar informaci\u00f3n o ejecutar acciones no deseadas. De [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":88763,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-88762","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/88762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=88762"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/88762\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/88763"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=88762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=88762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=88762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}