Invitaciones de calendario e integración de Gmail de ChatGPT: el patrón de ataque
El 12 de septiembre de 2025, el investigador de seguridad Eito Miyamura demostró un exploit que, posiblemente, sea el primero pero definitivamente no será el último de su clase: un Google Calendar malicioso inyecta instrucciones (prompts) en ChatGPT que, cuando está conectado a Gmail, filtra correos electrónicos privados en respuesta. Sí, hay requisitos previos específicos — tienes que establecer la conexión entre la IA y Gmail, y usar Google Calendar con tanta intensidad que una invitación desconocida pueda colarse — pero estos patrones tienden a evolucionar de manera que amplían el alcance del ataque, así que conviene saber qué está ocurriendo exactamente y cómo puedes protegerte. Sigue leyendo para conocer ambos aspectos.
Invitaciones maliciosas de Google Calendar: qué hay bajo el capó
El arma aquí se llama “inyecciones de prompt indirectas”. Explotan el afán de exhaustividad de la IA insertando instrucciones maliciosas en los datos externos que procesa el modelo, incluidos sitios web, correos electrónicos, invitaciones de calendario o documentos. En el caso de las invitaciones de Google Calendar y la integración de ChatGPT con Gmail, la IA tomó la invitación, como debía, y fue engañada para revelar correos (una vez conectada, tiene acceso a muchas cosas) mediante órdenes ocultas en esas invitaciones.
El término “inyección de prompt” fue acuñado por Simon Willison en 2022; el investigador describió cómo los actores maliciosos podían dar instrucciones a las IAs de un modo muy similar a las inyecciones SQL. Las “inyecciones de prompt indirectas”, como su nombre indica, ocultan esas órdenes bajo una capa de material de apariencia inofensiva. El propio término se atribuye a Kai Greshake y al equipo de NVIDIA, quienes formalizaron el patrón de ataque y describieron estrategias de defensa contra él en 2025.
¿Cómo protegerte de ataques que involucren inyecciones de prompt indirectas?
No sirve de nada intentar prescindir por completo de la inteligencia artificial: hoy quizá puedas lograr el aislamiento deseado, pero mañana los modelos de lenguaje grandes estarán integrados en los servicios del proveedor y, sencillamente, no habrá forma de desconectarlos de tus cuentas. Es más, ni siquiera sabrás que la conexión existe. Entonces, ¿qué puedes hacer para proteger tus activos?
- Vigilancia. Antes que nada, mantente alerta y no permitas que nada sospechoso entre en tu calendario ni en otros sistemas que se apoyen en la IA para cualquier fin.
- Orden. Mantén las cosas en orden. Si no necesitas realmente que ChatGPT te ayude con el correo, desactívalo. Puede que hayas probado la función e incluso te haya gustado, pero si no hay un caso de uso real — no lo dudes, ni lo dejes para después.
- Límites. Incluso hoy las integraciones de IA pueden personalizarse para darte más control sobre con qué trabaja el modelo y bajo qué condiciones puede acceder a los datos. Considera desactivar todas las rutinas automáticas. Sí, añadirá aprobaciones manuales a tu flujo, pero así es más seguro.
- Salvaguardas existentes. En Google Calendar, por ejemplo, puedes configurar que solo se permitan invitaciones de remitentes conocidos. Esto es una salvaguarda; utilízalas siempre que sea posible.
OpenAI reconoció el problema y sugirió desactivar los conectores. La compañía está trabajando en defensas contra este tipo de ataques, pero es una carrera de espada y escudo, así que tiene sentido contar con una suite de seguridad con visión de futuro. Encuentra una aquí:
