sistema: OPERATIVO
← volver a todos los hacks
SUPPLY CHAIN MEDIUM NEW

Phantom squatting: registrar los dominios web que los LLM alucinan

A finales de junio de 2026, la Unit 42 de Palo Alto bautizó el «phantom squatting»: los atacantes registran los dominios inexistentes que los modelos inventan de forma fiable, heredando la confianza depositada en los enlaces sugeridos por la IA.

2026-07-14 // 6 min affects: llm-assistants, ai-coding-agents, browser-agents, research-agents

¿Qué es esto?

El phantom squatting es un vector de ataque a la cadena de suministro que la Unit 42 de Palo Alto Networks bautizó en una investigación publicada a finales de junio de 2026 (el 30 de junio, ampliamente difundida el 1 de julio). La idea es breve: los grandes modelos de lenguaje inventan con frecuencia direcciones web que no existen —portales, endpoints de API o URL de servicios corporativos plausibles para una marca real— y el atacante que registra uno de esos dominios inventados hereda toda la confianza que un usuario o un agente deposita en un enlace sugerido por la IA. No hace falta ni correo de phishing ni anuncio malicioso: la recomendación llega a través de un sistema en el que la víctima ya confía.

Para medir la escala, la Unit 42 formuló 685.339 preguntas a dos LLM distintos sobre 913 marcas globales de los sectores de tecnología, finanzas, salud, administración pública y otros. Los modelos produjeron unos 2,1 millones de enlaces. Cerca de 250.000 apuntaban a dominios no registrados que cualquiera podía reclamar, y más de 13.200 a direcciones que las fuentes de inteligencia de amenazas ya habían marcado como maliciosas.

Cómo funciona

El mecanismo es una propiedad de cómo los modelos generan texto, no un fallo de un producto concreto. Los dominios inventados no se memorizaron a partir de los datos de entrenamiento —ambos modelos se lanzaron antes de que existieran los sitios maliciosos reales—, por lo que las direcciones provienen de los propios patrones lingüísticos de los modelos. Esos patrones son consistentes: distintos modelos alucinan con frecuencia el mismo dominio falso ante la misma pregunta, y subir la temperatura de un modelo produce más dominios inventados, no menos. La Unit 42 describe el vector como una explotación de «una propiedad estructural de las arquitecturas LLM que sigue siendo intrínsecamente no parcheable».

Lo que hace difícil de detectar a un dominio phantom ya registrado es su falta de historial. Las listas de bloqueo, las puntuaciones de reputación y las fuentes de amenazas suelen necesitar que un sitio se comporte mal durante un tiempo antes de marcarlo. Un dominio recién registrado no tiene ese registro, así que los filtros basados en reputación no tienen nada sobre lo que actuar en el momento en que el asistente de confianza entrega el enlace al usuario o al agente. Es el equivalente en dominios del slopsquatting —registrar los nombres de paquetes falsos que inventan las herramientas de código con IA—, un patrón ya convertido en malware real, como en la campaña PhantomRaven en npm.

Por qué importa

La monitorización proactiva de la Unit 42 detectó a atacantes registrando dominios alucinados prioritarios entre 18 y 51 días después de que los investigadores los identificaran por primera vez: una ventana real, pero que favorece a quien actúa primero. En un caso documentado, un dominio de comercio electrónico de un servicio postal se marcó como de alto riesgo 23 días antes de que un atacante lo registrara y desplegara un kit de phishing llamado «Montana Empire» que clonaba la tienda real y robaba números de tarjeta, datos de transferencia bancaria y documentos de identidad nacional a través de un back-end en Telegram. Reveladoramente, los archivos de proyecto residuales mostraron que el operador había construido el kit con un asistente de código de IA: atacante y defensor llegaron al mismo dominio falso preguntando a una IA del mismo modo. Un segundo caso dio a los defensores 51 días de margen antes de que el dominio se envolviera en un clon de marca perfecto y se usara para distribuir una aplicación Android maliciosa.

La preocupación más profunda es el paso de una persona que sigue un mal consejo a un sistema que actúa sobre él. A medida que los agentes abren enlaces y obtienen recursos por su cuenta, el punto de fallo se desplaza del clic humano a la acción autónoma, y un agente no tiene el instinto de dudar que tendría una persona.

Defensas

  • Nunca trate una URL sugerida por la IA como autoridad. Verifique un dominio contra la documentación oficial o una allowlist aprobada antes de escribir una contraseña en él o pegarlo en código. Trate la salida del modelo como un borrador no verificado.
  • Limite el acceso de los agentes a dominios nuevos y arbitrarios. Impida que los agentes de IA abran, descarguen o se conecten automáticamente a enlaces generados por el modelo sin una comprobación independiente, y restrinja las credenciales y los datos a los que esos agentes pueden acceder.
  • Vigile los dominios que sus modelos predicen. Como las alucinaciones son consistentes, los defensores pueden mapear qué dominios falsos produce de forma fiable un modelo para su marca y vigilar los registros —a menudo con semanas de antelación— y luego preregistrar o bloquear los nombres de mayor riesgo.
  • Incorpore los identificadores generados por IA a la revisión de la cadena de suministro. Aplique a los endpoints y nombres de paquetes sugeridos por un modelo el mismo escrutinio que ya aplica a sus dependencias de terceros.

Estado

ElementoValor (Unit 42, 30 de junio de 2026)
Marcas analizadas913
Consultas emitidas685.339
Enlaces generados~2,1 millones
Dominios alucinados no registrados~250.000
Ya marcados como maliciosos>13.200
Plazo de registro observado18 a 51 días
Casos documentadosKit de phishing «Montana Empire»; aplicación Android maliciosa
Causa raízAlucinación estructural de los LLM — sin parche de producto

Fechas clave: 30 de junio de 2026 — la Unit 42 publica la investigación sobre phantom squatting. 8 de marzo de 2026 — se predice un dominio postal de alto riesgo; 31 de marzo de 2026 — un atacante lo registra para el kit «Montana Empire».

Sources