El nuevo ataque HalluSquatting podría engañar a los asistentes de codificación de IA para que instalen malware Botnet

Los asistentes de codificación de IA tienen la costumbre de inventar cosas. Pídale a uno que busque una herramienta popular y, a veces, le devolverá un nombre que suena real para un proyecto que no existe.

Una nueva investigación, que sus autores denominan HalluEn cuclillasconvierte ese hábito en un ataque: descubra los nombres falsos que inventa una IA de manera confiable, regístrelos primero y espere a que el asistente busque su trampa en nombre del usuario.

Cualquiera cuyo asistente de IA pueda buscar un recurso externo y luego ejecutar comandos con poca revisión humana está expuesto. En las pruebas, esa ruta llevó al asistente a ejecutar código proporcionado por el atacante en la máquina.

Repítalo con un recurso bastante popular y un nombre colocado puede llegar a muchas máquinas, razón por la cual los investigadores lo plantean como una forma de montar una botnet.

como funciona

El ataque encadena dos peculiaridades de la IA. El primero es un alucinación: una IA que inventa algo y lo presenta como real. El segundo es un inyección inmediata: una instrucción trampa explosiva que secuestra la IA, por lo que sigue a un atacante en lugar del usuario.

Ciberseguridad

Aquí, la inyección es indirecta y se basa en el contenido que el asistente busca en lugar de cualquier cosa que el usuario escriba.

  1. Elige un objetivo. El atacante encuentra un repositorio o complemento que está de moda, por lo que muchas personas le piden a su IA que lo busque. Las tendencias importan, porque un recurso nuevo no está en los datos de entrenamiento de la IA, que es exactamente cuando el modelo comienza a adivinar los nombres.
  2. Aprende el error. El atacante le pide a una IA que busque ese recurso una y otra vez y registra el nombre falso que inventa con mayor frecuencia.
  3. Reclama el nombre falso. El atacante registra ese nombre en GitHub o en una tienda de complementos y oculta instrucciones adversas en su interior.
  4. Esperar. Un usuario real le pide a su asistente que obtenga el popular recurso. El asistente inventa el mismo nombre falso y en su lugar utiliza la versión del atacante. Sus instrucciones ocultas se combinan con lo que el asistente cree que le dijeron que hiciera, y el asistente secuestrado utiliza su propia herramienta de ejecución de comandos para llevarlas a cabo.

La trampa no es un código que se ejecuta por sí solo. Funciona porque estos asistentes mantienen una terminal entre sus herramientas integradas, por lo que una vez que las instrucciones establecidas se hacen cargo, «instalar un bot» es simplemente algo que el asistente puede hacer.

Lo que lo hace práctico es que los nombres falsos no son aleatorios. En los experimentos de los investigadores, el error fue consistente: en diferentes frases y en modelos de diferentes compañías, el asistente buscó el mismo nombre incorrecto en hasta el 85% de las solicitudes de repositorio y en el 100% de las instalaciones de habilidades. Esas son las tasas máximas que informan los autores; el periódico lleva el desglose completo.

Lo ejecutaron con herramientas como Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI de Google y la familia de asistentes OpenClaw, logrando que cada uno ejecutara código atacante. Las cargas útiles de prueba eran marcadores de posición inofensivos, no malware real; uno vivo tomaría el mismo camino.

El investigación proviene de Aya Spira y colegas del grupo de Ben Nassi en la Universidad de Tel Aviv, con Stav Cohen en Technion y Ron Bitton en Intuit. El grupo de Nassi ya ha hecho esto antes, creando un gusano de correo electrónico con IA que se propaga automáticamente y una invitación de calendario que secuestró Gemini de Google.

El equipo dice que informó a los proveedores, fabricantes de modelos y operadores del mercado afectados antes de salir a bolsa, y retuvo los pasos exactos necesarios para copiar el ataque.

¿Por qué es un nuevo tipo de botnet?

Las botnets tradicionales requieren trabajo para construirse. Se apoyan en contraseñas débiles o malware que se propaga de una máquina a otra, y generalmente agrupan un tipo de dispositivo, de la misma manera que Mirai agrupa cámaras y enrutadores.

Esto no necesita nada de eso. Sin contraseñas, sin gusanos, y debido a que la carga útil llega como texto que lee la IA en lugar de un exploit de red, no es el tipo de cosas que un firewall está atento. Las máquinas en las que aterriza pueden ejecutar cualquier sistema operativo, no una flota uniforme.

La IA es aquí la furgoneta de reparto, no la carga. Las instrucciones colocadas lo engañan para que instale un bot común y corriente, y una vez que ese bot se está ejecutando, la máquina pertenece a una botnet como cualquier otra. Lo nuevo es la combinación que lo lleva allí: un nombre que, como era de esperar, inventa una IA, un mercado donde cualquiera puede registrar ese nombre y un agente con permiso para buscar y ejecutar.

Las piezas no son nuevas, aunque la combinación sí lo sea. Los atacantes primero aprendieron a registrar nombres de paquetes de software falsos que inventan las IA, un truco llamado «slopsquatting».

En enero de 2026, Charlie Eriksen de Aikido Security encontró uno de esos paquetes npm inventados, reaccionar-codeshift, que las instrucciones escritas por IA ya se habían extendido a 237 proyectos de código, y los agentes todavía intentaban instalarlo diariamente; él lo registró él mismo antes de que cualquier atacante pudiera hacerlo, por lo que no causó daño.

Luego, la idea saltó de los paquetes a las direcciones web. La Unidad 42 de Palo Alto Networks descrita recientemente «en cuclillas fantasma» aproximadamente 250.000 dominios alucinados no registrados y libres para su uso (el artículo de THN está aquí).

Ciberseguridad

HalluSquatting es la versión que llega hasta la ejecución del código secuestrando al agente que realiza la búsqueda. Y los mercados destinados a detectar cargas incorrectas no son un gran respaldo: en junio, Trail of Bits pasó sus «habilidades» maliciosas por los escáneres de varias tiendas en menos de una hora.

que hacer

Todo depende de una condición: un agente que busca un recurso externo y lo ejecuta sin que nadie lo controle. Ciérralo y el ataque se detendrá. La solución más eficaz es también la más sencilla: hacer que el asistente busque antes de buscar.

Una búsqueda real fundamenta al agente en lo que realmente existe y elimina drásticamente las conjeturas. Ese es un trabajo para las personas que crean estas herramientas, quienes también pueden capacitar al planificador (la parte que asigna una solicitud a los pasos) para buscar un recurso primero y tratar palabras como clonar, instalar y recuperar como indicadores.

Los usuarios y los equipos de seguridad tienen palancas a corto plazo. De forma predeterminada, estos agentes preguntan antes de ejecutar un comando. La exposición son los modos de ejecución automática (el indicador de omisión de permisos de Claude Code, el modo yolo de Gemini CLI) que lo desactivan, por lo que la primera regla es no permitir que un agente ejecute sin supervisión nada de lo que haya recuperado.

Algunas herramientas ahora agregan una capa de seguridad que inspecciona lo que el agente lee o está a punto de hacer antes de actuar, como el modo automático de Claude Code y la verificación Conseca de Gemini CLI, pero eso reduce el riesgo en lugar de eliminarlo. Ningún interruptor cierra esto, así que verifique también que el nombre de un repositorio o paquete se resuelva en la fuente real esperada antes de que un agente lo ingrese, y trate cualquier nombre que le entregue una IA como una suposición, no como un hecho.

Las plataformas tienen su propia palanca. Pueden dejar de permitir que las personas reutilicen nombres de repositorios conocidos en cuentas nuevas y preregistrar los nombres falsos que probablemente inventen las IA (la misma defensa que ya se usa contra la typosquatting), para que esos nombres apunten al proyecto real.

Los investigadores llaman a sus resultados un límite inferior: «Los ataques siempre mejoran; nunca empeoran». No hay ningún CVE único para parchear aquí. No lo plantean como un error de un producto, sino como una debilidad en la forma en que los agentes de IA confían en nombres que en realidad nunca les dieron.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *