Millones de empresas contratan el servicio Google Workspace para acceder a las versiones premium de Gmail, Calendar, Drive, Meet y otros. Esta suscripción proporciona funciones de IA que agilizan el trabajo de los empleados, pero unos expertos en ciberseguridad han descubierto que la función de resumen emails permite a hackers ocultar comandos de phishing.

Según informa 0DIN en un post publicado el 10 de julio de 2025, los atacantes pueden aprovechar esta vulnerabilidad para leer nuestros mensajes sin necesidad de que pinches en un enlace ni instales archivos adjuntos. El profesional en ciberseguridad explica que el ataque consiste en incrustar HTML y CSS en los correos electrónicos.

Los ciberdelincuentes ocultan el código poniendo el texto blanco sobre blanco, o con tamaños de fuente cero, pero Gemini lo procesa al generar resúmenes. En la publicación de 0DIN, detallan que la IA detecta este embebido como una advertencia falsa que proviene del propio Google. De este modo, cuando los usuarios utilizan «Resumir este código electrónico en Gmail«, Gemini muestra un mensaje fraudulento.

La inteligencia artificial de Google insta al internauta a llamar a un número de soporte técnico falso o visitar un sitio de phishing. Dado que el correo parece inofensivo, los investigadores de seguridad indican que es poco probable que sospechen de que se trate de una acción fraudulenta.

Resumen-de-Gemini-de-un-correo-instando-a-llamar-a-servicio-tecnico

Gemini se convierte en cómplice de la estafa

Los intentos de phishing tradicionales suelen introducir links a sitios maliciosos o archivos que ocultan malware. Sin embargo, los correos electrónicos que aprovechan la vulnerabilidad de Gemini se muestran aparentemente normales, sin nada sospechoso que alerte al usuario de que se trata de una estafa.

Quien engaña al internauta es la inteligencia artificial de Gemini, que actúa como ‘cómplice’ de los atacantes al interpretar el código oculto. Es decir, el resumen generado por la IA es el que aconseja llamar a un número o hacer clic a un enlace. Como esta herramienta es teóricamente segura, los trabajadores confían y siguen la recomendación de Gemini. Por lo tanto, conviene tener cuidado y no hacer caso a estas indicaciones. Una forma de detectarlo es seleccionar todo el texto y mirar si hay código oculto, como podemos ver en la imagen de abajo.

Ejemplo-de-codigo-oculto-para-Gemini-en-correo-Gmail

Un investigador de ciberseguridad, cuyo descubrimiento ha sido compartido en 0DIN, alertan que la interpretación que Gemini hace del código incrustado HTML y CSS podría ir más allá de Gmail. Aunque lo hayan detectado en la función de resumen de correos electrónicos, también podría haberse usado en Documentos, Presentaciones y Drive, que cuentan con funciones inteligentes de la IA. Los expertos aconsejan tener cuidado con este phishing automatizado en el ecosistema de Workspace hasta que Google lo resuelva. 

Google trabaja en una solución

Google reconoce que hay un problema en Gemini que hace que los ciberdelincuentes puedan usar sus resúmenes en Gmail para introducir Gemini. Un portavoz de la compañía ha detallado a BleepingComputerque el equipo está trabajando para defenderse contra este tipo de prácticas fraudulentas:

«Reforzamos constantemente nuestras ya robustas defensas mediante ejercicios de red-teaming que entrenan nuestros modelos para defenderse de este tipo de ataques adversarios».

 

Fuente: oDIN | adslzone