En un reciente estudio revelado en la conferencia Black Hat (agosto de 2025), un grupo de investigadores demostró cómo una simple invitación “envenenada” en Google Calendar puede comprometer la seguridad de tu hogar inteligente. Al incluir comandos maliciosos ocultos, la IA Gemini de Google puede activarlos sin que te des cuenta: cerrar persianas, encender luz o caldera con solo resumir eventos del calendario y responder un “gracias”. Estas vulnerabilidades, denominadas “Invitation Is All You Need”, afectan tanto la versión web como la móvil de Gemini. Google ya ha implementado mejoras, como detección basada en machine learning, filtrado de salidas sospechosas y confirmaciones explícitas para acciones sensibles. Aunque estos ataques —llamados “promptware”— todavía son excepcionales, subrayan la necesidad de reforzar la seguridad de los modelos de lenguaje generativo integrados en dispositivos físicos.

¿Qué ha ocurrido y por qué es relevante?

En una demostración controlada en Tel Aviv, investigadores de la Universidad de Tel Aviv, el Technion y la empresa SafeBreach evidenciaron cómo Gemini, el modelo de IA de Google, puede ser engañado mediante invitaciones de calendario consideradas inocuas. Estos mensajes contienen instrucciones ocultas (prompt injections indirectas) que, al pedir un resumen del calendario, activan acciones en el hogar como subir persianas, encender luces o poner en marcha la caldera. Se trata de la primera ocasión en que un hack a un modelo generativo de IA produce efectos tangibles en el mundo físico.

¿Cómo funcionan estos ataques?

Los denominados ataques “Invitation Is All You Need” se basan en introducir mensajes maliciosos escondidos, por ejemplo, en el título de una invitación de Google Calendar. Cuando el usuario solicita a Gemini un resumen de sus próximos eventos y responde con frases como “gracias”, el comando incrustado se activa y la IA ejecuta la acción. Estas técnicas, denominadas inyección indirecta de prompts, aprovechan que la IA procesa todo el texto, incluso el oculto o irrelevante a simple vista.

Alcance y variedad de los ataques

Aunque los ejemplos más llamativos involucran dispositivos domésticos, la investigación identificó hasta 14 variantes de ataques que Gemini puede sufrir en sus distintas plataformas (web, móvil, asistentes). Entre ellas, se incluyen el envío de spam, generación de contenido obsceno, apertura de videollamadas en Zoom, robo de correos y archivos, e incluso descarga de contenido no deseado desde un navegador móvil. Estos ataques fueron bautizados colectivamente como “promptware”, un tipo de amenaza que se extiende a través del lenguaje, no mediante vulnerabilidades clásicas de código.

Respuesta y consideraciones de seguridad

Google no restó importancia al hallazgo: tras recibir el informe en febrero, aceleró el despliegue de defensas adicionales. Estas incluyen detección de prompts sospechosos mediante aprendizaje automático, filtrado del contenido de salida y la exigencia de confirmaciones explícitas del usuario antes de ejecutar acciones sensibles.  Aun así, los autores del estudio alertan de que, a medida que Gemini y otros modelos LLMs se integren en sistemas autónomos —como coches o robots—, los riesgos de que los incidentes trasciendan lo digital serán cada vez mayores.

Conclusión

Este caso marca un punto de inflexión en la seguridad de la inteligencia artificial: una vulnerabilidad que trasciende la esfera digital para impactar entornos físicos cotidianos. Aunque por ahora los ataques son raros, subrayan la urgencia de integrar la seguridad desde el diseño en modelos como Gemini. Google ha reaccionado con parches inmediatos, pero el futuro exige una vigilancia constante: solo así se podrá confiar en la creciente fusión entre IA y sistemas físicos automatizados.