HalluSquatting: el nuevo ciberataque que explota las alucinaciones de la IA
Investigadores demuestran cómo engañar a agentes de IA para que ejecuten código malicioso con hasta un 85% de éxito, aprovechando su tendencia a inventar URLs de repositorios.
12 de julio de 2026 · 3 min de lectura
¿Qué es HalluSquatting?
HalluSquatting (o 'adversarial hallucination squatting') es una técnica de ataque que aprovecha la tendencia de los modelos de lenguaje de gran escala (LLM) a 'alucinar' nombres de repositorios de código cuando se les pide ejecutar una tarea que involucra una librería o herramienta reciente. En lugar de admitir que no conocen el repositorio, los modelos generan nombres plausibles basados en patrones comunes como owner/repository o toolname/toolname. Un atacante puede crear repositorios maliciosos con esos nombres y, cuando un agente de IA intenta usarlos, termina ejecutando código malicioso.
¿Cómo funciona el ataque?
El mecanismo es sorprendentemente simple. Primero, el atacante identifica un repositorio, biblioteca o habilidad de bot que haya ganado popularidad recientemente, pero que aún no esté en los datos de entrenamiento del modelo. Luego, genera variaciones del nombre del repositorio siguiendo patrones predecibles (por ejemplo, SuperHacker/WindowsTelemetryOff). Finalmente, crea un repositorio malicioso con uno de esos nombres. Cuando un agente de IA recibe una instrucción como 'ejecuta el script de windowstelemetryoff', es probable que alucine la URL correcta y termine usando el repositorio malicioso.
Alcance del problema
La investigación, realizada por equipos de la Universidad de Tel Aviv, Technion e Intuit, muestra que los LLM alucinan la ubicación de un repositorio de código reciente hasta en un 85% de las ocasiones, llegando al 100% para habilidades de agente populares. Todos los modelos se ven afectados, incluido Claude Opus 4.5 de Anthropic. En aplicaciones comerciales como Cursor, Gemini CLI y Copilot, la tasa de éxito del ataque oscila entre el 20% y el 35%, mientras que en OpenClaw y sus variantes alcanza el 80-100%. El ataque es universal y transferible entre diferentes bots.
Consecuencias potenciales
Una vez que el código malicioso se ejecuta, el atacante puede obtener acceso remoto al sistema de la víctima (reverse shell), robar datos y contraseñas, instalar software malicioso, minar criptomonedas o incluso secuestrar el agente de IA para realizar más ataques. Dado que un solo repositorio malicioso puede atraer a decenas de miles de bots, el potencial de daño es masivo.
¿Qué deben saber los lectores?
Este ataque explota una debilidad fundamental de los LLM: su naturaleza no determinista y su tendencia a generar respuestas incorrectas con alta confianza. Aunque las aplicaciones comerciales tienen cierto blindaje gracias al contexto adicional, la vulnerabilidad sigue siendo significativa. Los desarrolladores y usuarios de agentes de IA deben ser conscientes de que no se puede confiar ciegamente en las URLs generadas por los modelos, y deben implementar medidas de verificación adicionales, como listas blancas de repositorios o la validación manual de URLs antes de ejecutar código.
El HalluSquatting representa una nueva clase de amenaza que fusiona la ciberseguridad tradicional con las peculiaridades de la IA generativa. Como señalaron los investigadores, 'es una debilidad fundamental en todos los modelos disponibles'.
Contexto histórico y comparaciones
Este ataque recuerda al typosquatting, donde los atacantes registran dominios con errores tipográficos de sitios populares. Sin embargo, HalluSquatting es más peligroso porque no requiere que el usuario cometa un error: el propio modelo genera la URL incorrecta. A diferencia de los ataques de envenenamiento de datos, aquí no es necesario contaminar los datos de entrenamiento; basta con explotar la tendencia a alucinar.
¿Qué se puede hacer?
Por ahora, no existe un parche mágico. Los investigadores sugieren que los desarrolladores de agentes de IA implementen mecanismos de verificación de URLs, como consultar APIs de repositorios legítimos antes de ejecutar código. También recomiendan limitar los permisos de los agentes y auditar las URLs que generan. A largo plazo, será necesario repensar la arquitectura de los agentes para que sean más conscientes de su propia incertidumbre.
Puntos clave
- HalluSquatting explota la alucinación de LLMs para engañar a agentes de IA y ejecutar código malicioso.
- Los atacantes crean repositorios con nombres que el modelo inventa, logrando hasta un 85% de éxito.
- Afecta a todos los modelos actuales, incluido Claude Opus 4.5, y a aplicaciones como Cursor, Copilot y Gemini CLI.
- El ataque es universal y transferible entre diferentes bots, sin necesidad de personalización.
- Las consecuencias incluyen robo de datos, instalación de malware y secuestro del agente de IA.
Preguntas frecuentes
¿Qué es HalluSquatting?
Es un ciberataque que explota la tendencia de los modelos de lenguaje a alucinar nombres de repositorios de código. Los atacantes crean repositorios maliciosos con esos nombres y engañan a agentes de IA para que ejecuten código dañino.
¿Qué modelos y aplicaciones son vulnerables?
Todos los modelos actuales, incluido Claude Opus 4.5, son vulnerables. Aplicaciones como Cursor, Copilot y Gemini CLI tienen tasas de éxito del ataque del 20-35%, mientras que OpenClaw alcanza el 80-100%.
¿Cómo protegerse contra HalluSquatting?
Implementar verificación de URLs mediante consultas a APIs de repositorios legítimos, limitar permisos de agentes y auditar las URLs generadas. No confiar ciegamente en las URLs que produce el modelo.
¿Es similar al typosquatting?
Sí, pero más peligroso porque no requiere error del usuario: el propio modelo genera la URL incorrecta. En typosquatting, el usuario debe escribir mal la dirección.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.