Nueve de las herramientas de IA más extendidas en el mercado pueden ser mal utilizadas para establecer botnets masivos, según una nueva investigación de la unidad de seguridad Unit 42 de Palo Alto Networks. El vector de ataque ha sido nombrado «HalluSquatting» — y se basa en algo que muchos usuarios ya conocen como una molestia: que los modelos de IA inventan cosas.

¿Qué es HalluSquatting?

Cuando un modelo de IA no sabe la respuesta a una pregunta, rara vez dice «no lo sé». En su lugar, genera una respuesta que suena plausible — completa con nombres de dominio, enlaces de descarga y nombres de paquetes que en realidad no existen. Esto se conoce como alucinación.

HalluSquatting toma esta debilidad y la convierte en un arma. Los atacantes analizan qué dominios y nombres de paquetes falsos tienden a inventar los modelos de IA — y luego los registran. Cuando un desarrollador pide ayuda al asistente de IA para instalar una biblioteca o encontrar un recurso, puede ser enviado inconscientemente a una página controlada por un actor criminal.

Según Ars Technica, esta no es una amenaza hipotética: Unit 42 analizó 2,1 millones de URL generadas por dos grandes modelos de lenguaje y encontró más de 13 000 enlaces maliciosos confirmados.

2,1 mill.
URL analizadas
13 000+
Enlaces maliciosos confirmados
250 000
Dominios alucinados no registrados
9 herramientas populares de IA pueden ser secuestradas para construir botnets masivos - Bilde 1

La escala lo hace aún más peligroso

Un hallazgo particularmente preocupante es que diferentes modelos de IA a menudo alucinan los mismos nombres. Esto significa que un atacante que registra un solo dominio falso puede, potencialmente, llegar a usuarios a través de muchas herramientas y plataformas diferentes — desde herramientas para desarrolladores hasta chatbots relacionados con clientes.

Diferentes modelos a menudo alucinan los mismos nombres — un único registro malicioso puede afectar a usuarios en muchas herramientas simultáneamente.

Esto abre la puerta a escenarios de ataque clásicos como páginas de phishing, distribución de software malicioso y ataques a la cadena de suministro (supply-chain attacks) — todo iniciado por un usuario que sigue un enlace que el propio modelo de IA ha inventado.

Desarrolladores y empresas noruegas están expuestos

Las nueve herramientas vulnerables mencionadas en la investigación se encuentran entre las más utilizadas en la industria a nivel global — y, por lo tanto, también en Noruega. Los desarrolladores que utilizan asistentes de codificación de IA para encontrar paquetes, bibliotecas o documentación están particularmente en el grupo de riesgo. Lo mismo ocurre con las empresas que han integrado chatbots de IA en interfaces de cliente donde se pueden recomendar enlaces externos a los usuarios.

Las vulnerabilidades no afectan a un error específico en el código, sino a la arquitectura misma de los modelos de lenguaje: están entrenados para generar respuestas probables, no para verificar si lo que dicen es realmente cierto.

Los modelos de IA no están construidos para decir «no lo sé» — y eso es exactamente lo que los atacantes aprovechan.

Así pueden protegerse los desarrolladores de herramientas

Investigadores de seguridad describen varias medidas que pueden reducir significativamente el riesgo, según el análisis de Unit 42:

Según el material de investigación, OpenAI ha demostrado una reducción de más del 30 por ciento en la alucinación en preguntas clínicas después de un ajuste fino en conjuntos de datos médicos. Meta AI habría desarrollado un modelo dedicado de detección de alucinaciones que marcó errores en el 92 por ciento de los casos de prueba.

Sin embargo, es importante recordar que estas medidas no están implementadas universalmente. Los investigadores detrás del análisis de Unit 42 enfatizan que muchas herramientas aún carecen de mecanismos de protección básicos contra este tipo de explotación — lo que convierte a HalluSquatting en una amenaza activa y real a día de hoy.

¿Qué deben hacer los usuarios?

Hasta que los proveedores implementen medidas de seguridad adecuadas, los desarrolladores y otros usuarios profesionales siempre deben verificar los dominios, nombres de paquetes y enlaces que las herramientas de IA sugieren, contra fuentes oficiales y conocidas. Nunca copie un enlace ciegamente de una respuesta de IA — busque el paquete directamente en registros oficiales como npm, PyPI o similares.

Para las empresas que ofrecen interfaces de cliente impulsadas por IA, es importante asegurarse de que el modelo no pueda generar enlaces externos sin un mecanismo de verificación en segundo plano.