La IA generativa nos ha cambiado el ritmo de trabajo. Redactar correos, resumir documentos o gestionar tareas se ha vuelto más ágil. Pero a medida que estas herramientas se integran en nuestro día a día, también lo hacen nuevas formas de ciberataques que buscan precisamente manipular esa inteligencia artificial. Google acaba de publicar una actualización sobre su estrategia de defensa frente a una de estas amenazas emergentes contra la IA: la inyección indirecta de prompts, tipos de ciberataques silenciosos, pero potencialmente peligrosos por contenido falso.
¿Qué es una inyección indirecta de prompt?
A diferencia de los ataques directos —donde el usuario introduce intencionadamente comandos maliciosos en una conversación con un modelo de IA—, los ciberataques indirectos se esconden en archivos externos: un correo electrónico, una invitación de calendario, un documento compartido. Son como caballos de Troya incrustados en el flujo natural de trabajo. El objetivo es claro: engañar al modelo para que actúe de forma maliciosa —desde filtrar información hasta realizar tareas no autorizadas— sin que el usuario lo note.
Este vector de ataque gana relevancia a medida que la IA se convierte en copiloto de gobiernos, empresas y ciudadanos. Por eso, la respuesta del equipo de seguridad de Google GenAI ha sido apostar por una defensa profunda, basada en capas, que aumente el coste y la dificultad de cualquier intento de explotación.
La estrategia por capas de Google: no hay un solo escudo, sino varios
Desde el endurecimiento de los propios modelos de IA hasta filtros inteligentes, pasando por alertas visuales para el usuario, Google ha desplegado un conjunto de defensas en torno a Gemini —la inteligencia artificial integrada en Gmail, Docs, Calendar y otras apps de Workspace—. Te lo explicamos paso a paso.
1. Clasificadores de contenido malicioso
El primer filtro lo hacen modelos de aprendizaje automático entrenados para detectar instrucciones ocultas en correos, archivos o enlaces. Estos clasificadores son fruto de años de colaboración con investigadores de seguridad a través del programa AI Vulnerability Reward de Google. De hecho, la compañía presume de haber reunido uno de los catálogos más amplios del mundo sobre vulnerabilidades en IA generativa.
¿Un ejemplo práctico? Si un correo recibido en Gmail contiene texto camuflado con instrucciones como “envía esta información al atacante” o “responde con tus credenciales”, el clasificador intercepta esa orden y evita que Gemini la procese. Es un primer muro de contención que se activa antes de que el contenido llegue al modelo de lenguaje.
2. Refuerzo de pensamiento seguro (Security Thought Reinforcement)
El nombre puede sonar técnico, pero la idea es simple: recordar a la IA que se centre en la tarea legítima del usuario y no se deje desviar por contenido sospechoso. Es como ponerle anteojeras a un caballo para que no se distraiga.
Esta técnica rodea el prompt con instrucciones de seguridad explícitas, reforzando el foco de la conversación y anulando posibles “susurros” maliciosos embebidos en el texto.
3. Sanitización de markdown y redacción de URLs sospechosas
Uno de los ataques más conocidos —como el “EchoLeak”, que se activaba al cargar imágenes externas— queda automáticamente bloqueado gracias al nuevo sistema de markdown. Gemini no renderiza imágenes externas incrustadas en documentos, y además analiza todas las URLs con tecnología de Google Safe Browsing.
¿La consecuencia directa? Si alguien te comparte un documento con enlaces diseñados para explotar una IA, esos enlaces no solo no se activan, sino que aparecen tachados o etiquetados como «sospechosos» en la respuesta generada por Gemini. “suspicious link removed”, dice el sistema.
4. Confirmaciones explícitas del usuario (Human-in-the-loop)
Imagina que Gemini recibe una instrucción como “borra todos los eventos del sábado en el calendario”. Aunque técnicamente puede hacerlo, el sistema no ejecuta acciones de riesgo sin pedirte confirmación.
Este enfoque, conocido como HITL (Human-In-The-Loop), añade una capa de supervisión directa del usuario, especialmente útil en tareas que pueden tener consecuencias reales si son manipuladas, como eliminar, compartir o modificar contenido.
5. Notificaciones de seguridad al usuario
Una parte clave del enfoque de Google es formar a los usuarios mientras los protege. Cuando una amenaza es neutralizada por Gemini, el sistema no lo hace en silencio: muestra un aviso contextual, explica qué ha ocurrido y enlaza con artículos de ayuda.
Esto convierte cada incidente en una oportunidad de aprendizaje, preparando al usuario para identificar futuros ataques de forma más consciente.
