Paso 3: Explotar la confianza del usuario. La víctima —ya sea un usuario humano o un agente de IA autónomo— sigue el enlace generado por la IA y cae directamente en la trampa . Cuando una fuente de seguridad tradicional finalmente marca el dominio como malicioso, el daño ya está hecho
.
Esto representa un cambio significativo con respecto al 'cybersquatting' tradicional. El 'cybersquatting' clásico se basa en errores tipográficos humanos o en dominios que se parecen a los originales, como "netflix-payments[.]com" . El 'phantom squatting' reemplaza el error humano con la alucinación de la IA, convirtiendo el propio defecto del modelo en el vector de ataque
.
Palo Alto Networks no ha revelado públicamente nombres de marcas o dominios específicos detectados en campañas de 'phantom squatting', pero varios patrones documentados aportan contexto concreto .
Suplantación de atención al cliente. El 'phantom squatting' se puede usar para crear enlaces de 'phishing' que suplantan URLs legítimas de marcas o de soporte generadas por un sistema de IA . El ataque explota el hecho de que los usuarios pueden confiar más en un enlace cuando parece provenir de un asistente de IA
.
Phishing y suplantación con temática de IA. Palo Alto Networks ha informado de un auge en las técnicas tradicionales de 'malware' y 'phishing' que aprovechan el interés por la IA y ChatGPT . Entre noviembre de 2022 y abril de 2023, Unit 42 observó un aumento del 910% en los registros mensuales de dominios relacionados con ChatGPT, y hasta 118 detecciones diarias de URL maliciosas relacionadas con ChatGPT
. El objetivo de los atacantes es atraer a los usuarios de ChatGPT a sitios aparentemente relacionados diseñados para infectarlos
.
Técnica relacionada: 'Slopsquatting'. Una variante paralela que afecta a la cadena de suministro —llamada 'slopsquatting'— se dirige a nombres de paquetes de software alucinados por la IA en lugar de nombres de dominio . En este modelo, los atacantes identifican nombres de paquetes inventados que los LLM recomiendan con frecuencia para tareas de codificación, registran esos nombres en repositorios públicos como npm, PyPI o RubyGems, e incrustan 'malware'
. Cuando un desarrollador le pide a un asistente de IA una solución, el asistente sugiere con total seguridad el paquete fantasma, y el desarrollador lo instala, confiando en el tono autoritario de la IA
. Una investigación en 16 modelos encontró que aproximadamente el 19.7% de los paquetes recomendados por herramientas de codificación con IA eran completamente inventados: más de 205.000 nombres de paquetes alucinados
.
Palo Alto Networks describe varias capas defensivas para mitigar el riesgo del 'phantom squatting':
1. Monitoreo proactivo de dominios. Las organizaciones deben monitorear la aparición de dominios sospechosos. Los sistemas basados en LLM también se pueden usar de forma defensiva: la investigación sobre DomainLynx demostró que un sistema de IA compuesto logró un 94.7% de precisión en un conjunto de datos de 1.649 dominios de suplantación, detectando 34.359 dominios de este tipo entre 2.09 millones de nuevos dominios en una prueba de un mes en el mundo real .
2. Filtrado de dominios recién registrados (NRD). Advanced DNS Security de Palo Alto Networks incluye una firma para dominios recién registrados (UTID 109020001) . Los dominios recién registrados son aquellos agregados recientemente por un operador de TLD o que cambiaron de propietario en los últimos 32 días, y muchos se utilizan para facilitar actividades maliciosas, como operar servidores de comando y control o distribuir 'malware'
.
3. Protecciones en la capa DNS. Los controles de seguridad DNS pueden inspeccionar o bloquear el tráfico hacia dominios de riesgo, incluyendo los NRD que se usan comúnmente en 'phishing' e ingeniería social . Advanced URL Filtering (AURL), impulsado por Precision AI y detectores de 'deep learning' en línea y en tiempo real, puede identificar y bloquear dominios de 'phishing' nunca antes vistos a medida que surgen
.
4. Educación del usuario y verificación de resultados de la IA. Los usuarios deben tratar las URLs generadas por IA con precaución y verificar los resultados de alto riesgo mediante revisión humana, bases de datos de confianza, APIs o bases de conocimiento seleccionadas . Cotejar las respuestas del modelo con fuentes autorizadas es fundamental para cualquier caso de uso de alto riesgo
.
5. Barreras de seguridad para agentes de IA. Los agentes autónomos y los flujos de trabajo asistidos por IA deben validar las URLs generadas, los nombres de paquetes y otros recursos externos contra fuentes confiables antes de recuperarlos, instalarlos o actuar sobre ellos . Esto es especialmente importante para los asistentes de codificación, donde la variante 'slopsquatting' supone un riesgo directo para los procesos de desarrollo
.
El 'phantom squatting' es una amenaza emergente y práctica que utiliza un defecto conocido de la IA —la alucinación— en contra de los usuarios que confían en los resultados generados por la IA . El ataque explota la misma característica que hace útiles a los LLM: su capacidad para generar contenido que suena plausible con total seguridad, incluso cuando la referencia subyacente no existe. Para defenderse, las organizaciones necesitan un enfoque por capas que combine el monitoreo proactivo de dominios, un estricto filtrado DNS/NRD, la educación del usuario y barreras de seguridad para los agentes de IA que traten las URLs generadas por IA como no confiables hasta que se verifiquen de forma independiente
.