Por Canuto  

Una nueva técnica bautizada como HalluSquatting muestra cómo las alucinaciones de los asistentes de IA pueden convertirse en un mecanismo escalable para distribuir malware. La investigación sugiere que nombres de repositorios y paquetes inventados por los modelos pueden ser registrados por atacantes para infiltrarse en herramientas de desarrollo impulsadas por IA.
***

  • Investigadores de la Universidad de Tel Aviv, Technion e Intuit describieron HalluSquatting como una forma de malware de prompt no dirigido.
  • La técnica consiste en registrar repositorios o paquetes falsos con nombres que los modelos de IA suelen alucinar al recomendar recursos.
  • En pruebas citadas por la investigación, las tasas de alucinación llegaron hasta 85% para clonación de repositorios y 100% para instalación de habilidades.


Las alucinaciones de los asistentes de inteligencia artificial ya no son solo un problema de precisión o calidad de respuesta. Un nuevo estudio plantea que también pueden transformarse en una vía de infección capaz de escalar y comprometer múltiples equipos sin necesidad de que el atacante tenga un canal directo con cada víctima.

La técnica fue bautizada como HalluSquatting y, según sus autores, aprovecha la tendencia de diversas herramientas de IA a inventar nombres de repositorios, paquetes o habilidades cuando un usuario les pide localizar recursos populares o de moda. Si un atacante registra antes esos nombres falsos, puede convertir el error del modelo en una trampa funcional.

La investigación fue desarrollada por expertos de la Universidad de Tel Aviv, Technion e Intuit. El trabajo describe a HalluSquatting como una forma de malware de prompt no dirigido, distinta a otros ataques que dependen de inyecciones de instrucciones ocultas en correos, comentarios, registros o mensajes.

Ese matiz es importante porque, en los ataques tradicionales de prompt, el agresor necesita llegar de alguna manera al entorno que consume el modelo de lenguaje del objetivo. En HalluSquatting, en cambio, basta con anticipar qué nombres inexistentes suele inventar la IA y ocupar primero ese espacio en repositorios o registros de paquetes.

Para lectores menos familiarizados con el tema, una alucinación en IA ocurre cuando un modelo genera información falsa con apariencia plausible. En el contexto de desarrollo de software, esto puede incluir comandos, librerías, dependencias o repositorios que suenan legítimos, pero en realidad no existen.

Cómo funciona HalluSquatting y por qué preocupa a los investigadores

El corazón del ataque consiste en una práctica que los investigadores llaman hallucination squatting. La idea es sencilla: los actores maliciosos identifican nombres ficticios que los modelos repiten con frecuencia y luego registran esos mismos nombres como si fueran proyectos reales.

Una vez hecho eso, el repositorio o paquete falso puede contener instrucciones maliciosas. Si el asistente de IA recomienda ese recurso inexistente y luego lo descarga o lo ejecuta desde una terminal integrada, el atacante gana una vía para introducir comandos adicionales en el sistema.

De acuerdo con la información publicada por SecurityWeek, las pruebas arrojaron tasas de alucinación de hasta 85% en comandos de clonación de repositorios. En el caso de instalaciones de habilidades, la tasa llegó a 100%.

El estudio también sostiene que los mismos nombres alucinados tienden a repetirse en distintos modelos fundacionales. Eso vuelve la técnica más transferible, porque un atacante no depende de un solo asistente o de un único proveedor para explotar el patrón.

En otras palabras, si varias herramientas de IA cometen errores similares al inventar recursos, un repositorio falso registrado con antelación puede convertirse en un anzuelo útil para una base amplia de usuarios. Esa posibilidad aumenta el valor ofensivo del método y explica el interés que ha despertado en la comunidad de ciberseguridad.

Los investigadores enfocaron parte del análisis en asistentes como Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI y OpenClaw. Según el reporte, cuando un usuario pide a estas herramientas clonar un repositorio o instalar una habilidad, el sistema podría alucinar un nombre previamente registrado por un atacante.

Si eso ocurre, la herramienta podría descargar el recurso y ejecutar los comandos incluidos por el agresor mediante su terminal integrada. A partir de ahí, esos comandos pueden ordenar a la IA que ejecute otras herramientas o más código, lo que abre la puerta a malware adicional o utilidades de hacking.

De errores de IA a botnets agenciales

Uno de los puntos más llamativos del trabajo es su foco en la creación de botnets agenciales. Los autores describen este concepto como una red de equipos comprometidos cuya expansión depende de la frecuencia con que las herramientas de IA caen en la alucinación de recursos ya registrados por el atacante.

Las botnets convencionales suelen construirse explotando vulnerabilidades, credenciales débiles o técnicas de movimiento lateral dentro de una red. HalluSquatting plantea otra ruta, donde la propagación nace de decisiones operativas tomadas por agentes de IA dentro del flujo normal de trabajo de usuarios y desarrolladores.

Ese detalle cambia la superficie de ataque. En lugar de centrarse exclusivamente en fallos de software tradicionales, el atacante aprovecha la confianza depositada en sistemas que recomiendan, descargan e incluso ejecutan componentes en nombre del usuario.

Según la investigación, las botnets agenciales pueden propagarse mediante inyecciones de prompts que eluden cortafuegos tradicionales. Además, podrían arraigarse en prácticamente cualquier dispositivo donde opere este tipo de herramienta, lo que produciría una población de hosts más heterogénea que la vista en botnets como Mirai.

La comparación con Mirai ayuda a dimensionar el riesgo. Mientras aquella botnet se hizo conocida por secuestrar masivamente dispositivos conectados a Internet, el escenario descrito aquí apunta a equipos de perfiles muy diversos, unidos no por una falla idéntica de hardware o firmware, sino por un patrón de comportamiento de la IA.

Para empresas que usan asistentes de codificación o agentes semiautónomos, este riesgo es especialmente delicado. La automatización promete acelerar tareas, pero también puede ampliar el alcance de un error cuando la herramienta tiene permisos para buscar recursos, ejecutar instrucciones y modificar entornos locales.

Implicaciones para el desarrollo de software y la seguridad empresarial

El estudio llega en un momento en que cada vez más equipos de ingeniería incorporan asistentes de IA en tareas diarias. Pedir a un modelo que busque una librería, clone un proyecto o instale una dependencia ya forma parte de muchos flujos de trabajo modernos.

Ese cambio mejora la productividad, pero también introduce un problema de confianza automatizada. Si el usuario asume que la recomendación del asistente es válida y la herramienta puede actuar por cuenta propia, una alucinación deja de ser un simple error textual y pasa a convertirse en una acción con consecuencias técnicas reales.

En ese sentido, HalluSquatting se diferencia de otras amenazas asociadas a modelos de lenguaje. No necesita un engaño social complejo ni una intrusión previa en el canal de comunicación con la víctima, porque se apoya en una debilidad emergente del propio ecosistema de agentes de IA.

El hallazgo también subraya que la seguridad de la IA ya no puede limitarse a filtrar prompts o bloquear respuestas riesgosas. Las organizaciones deben pensar en controles para validar dependencias, verificar la existencia y legitimidad de repositorios, y restringir la ejecución automática de comandos sugeridos por asistentes.

Otro punto sensible es la recurrencia de los mismos nombres alucinados en varios modelos. Si esa regularidad se confirma a gran escala, podría surgir un mercado ofensivo de repositorios fantasma preparados para capturar errores repetidos de distintos sistemas de IA.

Para el sector tecnológico, esto implica revisar tanto la gobernanza de agentes como los permisos que reciben. Un asistente con acceso a terminal, gestor de paquetes y red corporativa concentra un poder operativo que exige barreras más sólidas de validación y monitoreo.

También plantea preguntas para proyectos vinculados con infraestructura digital, blockchain y software financiero. En ecosistemas donde los desarrolladores interactúan con contratos inteligentes, nodos, SDK y herramientas de automatización, una recomendación falsa podría afectar no solo una máquina local, sino procesos de despliegue y gestión más amplios.

Divulgación responsable y contexto de una tendencia más amplia

Los proveedores afectados fueron notificados antes de la publicación de la investigación. Los autores, además, decidieron omitir detalles de explotación que, a su juicio, podrían ser reutilizados de forma directa por atacantes.

Esa decisión sugiere que el riesgo no es meramente teórico. Aunque el informe evita divulgar ciertas piezas operativas, la descripción general basta para mostrar un patrón que podría influir en el diseño futuro de asistentes de IA orientados a programación y automatización.

El trabajo se inserta en una tendencia más amplia de incidentes y hallazgos relacionados con seguridad en IA agencial. En meses recientes, la industria ha venido documentando formas de manipular herramientas de codificación, secuestrar conversaciones automatizadas o contaminar flujos de trabajo con instrucciones maliciosas.

En este caso, la novedad está en convertir una debilidad probabilística del modelo en infraestructura ofensiva persistente. El atacante no fuerza directamente la respuesta del sistema, sino que prepara el terreno para que el propio error recurrente de la IA active la cadena de infección.

La principal lección para empresas y usuarios avanzados es que la conveniencia no puede sustituir la verificación. Cuando un asistente sugiere clonar, instalar o ejecutar un recurso, ese paso debería someterse a validaciones equivalentes a las que se aplicarían si la recomendación proviniera de una fuente desconocida.

HalluSquatting expone un problema de fondo en la relación entre automatización y confianza. Cuanto más capaces sean los agentes de IA para actuar dentro de sistemas reales, mayor será el costo de sus errores y más atractivos resultarán esos errores para actores maliciosos.

Por ahora, la investigación ofrece una advertencia temprana más que un recuento de víctimas concretas. Aun así, su mensaje es claro: en la era de la IA operativa, inventar un nombre convincente puede bastar para abrir la puerta a una infección a gran escala.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín