
Un gran modelo de lenguaje sigue inventando direcciones web que no existen. Los atacantes comenzaron a comprar estos dominios ficticios antes que otros y a alojar allí páginas de phishing para captar el tráfico dirigido por sus herramientas de inteligencia artificial.
La Unidad 42 de Palo Alto Networks llama a este truco “ocupación fantasma”, y su última investigación muestra que ya está sucediendo en la vida real.
La razón por la que es importante es la confianza. Los desarrolladores y asistentes de IA tratan cada vez más los enlaces devueltos por los modelos como reales. Si su modelo inventa un dominio que aún no existe, la primera persona que lo registre heredará toda esa confianza falsa y no necesitará correos electrónicos de phishing ni publicidad maliciosa.
Para medir el problema, la Unidad 42 formuló a dos modelos de IA 685.339 preguntas sobre 913 marcas conocidas en tecnología, finanzas, atención médica, gobierno, juegos de azar y otros sectores.
El modelo generó 2,1 millones de enlaces. Threat Intelligence ya ha marcado 13.229 de ellos como totalmente maliciosos, lo que significa que la IA estaba distribuyendo direcciones malas conocidas. Aproximadamente 250.000 dominios inventados aún no tienen propietario, y la primera persona que se registre puede convertirse rápidamente en un objetivo.
Cómo funciona la sentadilla fantasma
El ataque funciona porque el nuevo dominio no tiene reputación. Las listas de bloqueo, las fuentes de amenazas y las puntuaciones de reputación requieren que un sitio se comporte mal durante un tiempo antes de ser marcado.
Los dominios fantasma recién registrados no tienen ese registro, por lo que estos filtros no tienen nada que señalar. Cuando se dieron cuenta, la víctima ya había sido enviada al sitio mediante una herramienta en la que confiaban.
Dos detalles empeoran las cosas. El dominio falso no estaba presente en los datos de entrenamiento. Ambos modelos se enviaron antes de que existieran sitios maliciosos reales, por lo que las direcciones provienen de los patrones de lenguaje propios de los modelos y no de la memoria. Y esos patrones son consistentes.
A menudo, diferentes modelos crean el mismo dominio falso para la misma pregunta, lo que facilita adivinar el próximo objetivo del atacante. Aumentar la configuración de «creatividad» del modelo sólo produjo áreas más inventivas. Como lo expresaron los investigadores de la Unidad 42, este vector «aprovecha las propiedades estructurales de la arquitectura LLM que siguen siendo inherentemente imposibles de parchear».
Dos casos observados
Los bucles completos son visibles en dos casos. El 8 de marzo de 2026, el sistema de la Unidad 42 predijo que un modelo de IA inventaría un dominio similar al mercado en línea del Servicio Postal Nacional. Ambos modelos lo produjeron en todos los niveles de temperatura. Este es un fuerte indicador de que estás tratando un sitio falso como si fuera un hecho.
Veintitrés días después, el 31 de marzo, los atacantes registraron ese dominio exacto y lanzaron un kit de phishing llamado Montana Empire. El kit fue copiado en tiempo real desde el escaparate real. Se robaron números de tarjetas, datos de transferencias bancarias y datos del documento nacional de identidad.

Los bots de Telegram permiten a los operadores aprobar manualmente las contraseñas de un solo uso de las víctimas. Como resultado, los archivos del proyecto y los registros de sesiones que quedaron mostraron que el perpetrador utilizó un asistente de codificación de IA para construir el kit. Los atacantes y defensores utilizaron el mismo método para llegar al mismo dominio falso confiando en la IA.
En el segundo caso, la Unidad 42 marcó un dominio del Servicio Postal alucinado 51 días antes de que el atacante lo registrara. Luego, los atacantes lo envolvieron en un clon de marca con píxeles perfectos, agregaron una calificación falsa de 4,8 estrellas y más de 2 millones de usuarios, y lo usaron para impulsar una aplicación maliciosa de Android.
Otros dominios detectados se hacían pasar por un importante banco de los Emiratos Árabes Unidos, un banco europeo y un sitio de apuestas deportivas dirigido a usuarios de Bangladesh, que los atacantes habían estado explotando durante casi un año.
Viejos trucos y nuevos objetivos
Phantom squatting es una versión de dominio de slopsquatting, en la que los atacantes registran nombres de paquetes de software falsos creados por herramientas de codificación de IA. Esa no es una hipótesis.
La extensa investigación de USENIX encontró que los modelos de generación de código sugerían rutinariamente nombres de paquetes inexistentes, y la campaña PhantomRaven convirtió ese mismo comportamiento en malware oculto en paquetes de 126 npm que se instalaron más de 86.000 veces.
Esto representa un cambio mayor, donde la salida del modelo se convierte en la entrada. Los desarrolladores, agentes y equipos de seguridad pueden actuar sobre enlaces y nombres generados por IA antes de que alguien los examine, y la IA continúa reduciendo el tiempo que tienen los defensores para responder.
También llega a un mundo donde el phishing de suplantación de marca es un servicio pago, que utiliza kits como Lucid y Lighthouse para contrarrestar 17.500 dominios falsos contra 316 marcas en 74 países.
que hacer
Debido a que los modelos exhiben constantemente alucinaciones, los equipos de seguridad pueden mapear los dominios falsos que pueden generar, monitorear quién los registra y, a menudo, emitir semanas de advertencias. Para otros, los pasos reales son simples.
No confíes en un enlace sólo porque la IA te lo da. Antes de ingresar su contraseña o pegar su código, asegúrese de que el dominio sea genuino y oficial. Evita que el agente de IA abra o descargue automáticamente enlaces de generación de modelos sin verificar. Los agentes no tienen el instinto de dudar como los humanos. Trate todo lo escrito por un modelo como un borrador no verificado, no como una autoridad.
Esa ventana está abierta y quien se mueva primero será recompensado. Tal como lo plantea la Unidad 42, la verdadera pregunta es simplemente quién llega más rápido a estos dominios: el defensor o el atacante.
Source link
