Por Angel Di Matteo   𝕏 @shadowargel

Investigadores de Israel identificaron un nuevo método de ataque que aprovecha las alucinaciones de los modelos de inteligencia artificial para comprometer computadoras. La técnica, denominada HalluSquatting, consiste en registrar recursos ficticios generados por la IA para engañar a agentes autónomos y ejecutar instrucciones maliciosas.

***

  • La técnica HalluSquatting explota enlaces y recursos inventados por modelos de IA.
  • Investigadores advierten que podría facilitar la creación de botnets controladas mediante agentes de IA.
  • Las pruebas detectaron tasas de alucinaciones de hasta 100% en algunos escenarios.
  • Cursor, GitHub Copilot, Gemini CLI y OpenClaw fueron incluidos en el estudio.

 

Las conocidas “alucinaciones” de los modelos de inteligencia artificial —cuando generan información incorrecta o inventada— podrían convertirse en una nueva herramienta para los ciberdelincuentes, según un estudio desarrollado por investigadores de la Universidad de Tel Aviv, el Technion e Intuit.

El trabajo, titulado Beware of Agentic Botnets: Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting, describe una técnica bautizada como HalluSquatting, mediante la cual un atacante aprovecha los recursos inexistentes que suelen inventar los modelos de IA, como repositorios de software, enlaces o paquetes de código.

En lugar de esperar que un usuario cometa un error, los atacantes registran previamente esos nombres ficticios y los llenan de contenido malicioso. Cuando un agente de inteligencia artificial intenta acceder posteriormente al recurso “alucinado”, termina interactuando con una infraestructura completamente controlada por el atacante, reseña Decrypt.

El riesgo aumenta con los agentes autónomos

Los investigadores señalan que este problema adquiere mayor relevancia ahora que los asistentes de IA ya no se limitan a responder preguntas, sino que comienzan a actuar de manera autónoma sobre computadoras.

Actualmente, muchos agentes pueden navegar por Internet, acceder a archivos, escribir código, ejecutar comandos e instalar software. Si durante ese proceso utilizan información generada por el propio modelo sin verificar su autenticidad, pueden terminar ejecutando instrucciones provenientes de sitios controlados por ciberdelincuentes.

“Las aplicaciones basadas en grandes modelos de lenguaje han introducido una nueva amenaza conocida como promptware”, explican los autores del estudio. Añaden que investigaciones anteriores ya demostraban que era posible manipular este tipo de sistemas mediante instrucciones maliciosas, pero HalluSquatting amplía considerablemente la superficie de ataque al aprovechar únicamente información disponible en Internet.

Hasta 100% de recursos inventados en algunas pruebas

Para evaluar la viabilidad del ataque, el equipo realizó distintos experimentos sobre asistentes de programación y agentes autónomos de IA.

Entre las plataformas analizadas se encuentran Cursor, GitHub Copilot, Gemini CLI y OpenClaw.

Los resultados mostraron niveles de alucinación particularmente elevados. En escenarios donde los modelos debían clonar repositorios de código, los recursos inexistentes aparecieron en hasta 85% de las consultas analizadas. En pruebas relacionadas con la instalación de habilidades o módulos (skills), la tasa alcanzó el 100%, lo que implica que todos los recursos generados por la IA eran ficticios.

Una evolución del typosquatting

Los investigadores comparan HalluSquatting con el conocido typosquatting, técnica ampliamente utilizada por ciberdelincuentes que consiste en registrar dominios o paquetes de software con nombres muy similares a los legítimos para aprovechar errores de escritura de los usuarios.

La diferencia es que HalluSquatting ya no explota equivocaciones humanas, sino errores cometidos por los propios modelos de inteligencia artificial.

En lugar de esperar que una persona escriba mal una dirección web, el atacante predice qué enlace inventará el modelo de IA y registra ese recurso antes de que alguien lo utilice.

Riesgo de botnets impulsadas por inteligencia artificial

El estudio advierte que este tipo de ataques podría facilitar la creación de botnets controladas mediante agentes de IA.

Una botnet es una red de dispositivos comprometidos que permanece bajo control remoto de un atacante y puede utilizarse para múltiples actividades ilícitas, como ataques de denegación de servicio (DDoS), distribución de malware, campañas de ransomware o minería ilegal de criptomonedas.

Si los agentes autónomos comienzan a ejecutar automáticamente instrucciones obtenidas desde recursos falsificados, los investigadores consideran posible que un único atacante comprometa un gran número de sistemas sin necesidad de interactuar directamente con cada uno de ellos.

Una preocupación creciente para la industria

El trabajo se suma a una serie de investigaciones recientes que buscan medir los riesgos de seguridad asociados a los agentes de inteligencia artificial.

En abril, investigadores de Google mostraron cómo sitios web especialmente diseñados podían manipular agentes mediante ataques indirectos de prompt injection, llegando incluso a intentar robar contraseñas, borrar archivos o modificar pagos.

Posteriormente, otro estudio presentó el ataque denominado CopyPasta, capaz de ocultar instrucciones maliciosas dentro de archivos utilizados por asistentes de programación para inducirlos a generar código inseguro.

Más recientemente, en junio, un usuario del agente OpenClaw reportó haber recibido más de 6.000 intentos de ataque destinados a engañar al sistema para que filtrara información confidencial.

Los autores concluyen que, a medida que la inteligencia artificial adquiere mayor autonomía para interactuar con sistemas informáticos, será imprescindible incorporar mecanismos que verifiquen la autenticidad de los recursos consultados antes de ejecutar cualquier acción basada en ellos.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín