Los dominios similares generados por IA ahora están integrados en scripts de terceros que se ejecutan en sus propiedades web. He aquí por qué la pila actual no puede reconocerlos y qué requiere realmente la detección:
Descargue la guía de expertos de CISO sobre typosquatting en la era de la IA →
TL;DR
Typosquatting ya no es un problema de usuario. Actualmente, los atacantes están incorporando dominios similares en scripts legítimos de terceros. No se requieren URL mal escritas ni compromisos del servidor. La IA ha trastocado la economía de la defensa. LLM genera variantes de dominio convincentes en minutos. La implementación completa de una campaña lleva menos de 10 horas. Las cargas de paquetes maliciosos aumentaron un 156 % el año pasado. La revisión manual ha terminado. La pila de seguridad no sabe nada de esto. Los firewalls, WAF, EDR y CSP no tienen forma de saber qué hará un script autorizado después de ejecutarse en el navegador. El ataque a Trust Wallet lo demostró. Se robaron 8,5 millones de dólares en 48 horas a través de una extensión troyanizada de Chrome. La alerta no se activó, no porque algo fallara, sino porque no estaba monitoreando nada.
Esto no se trata de criptomonedas
El 24 de diciembre de 2025, los usuarios de Trust Wallet comenzaron a perder dinero. No es porque hayas hecho clic en un enlace de phishing. No es porque hayas reutilizado una contraseña débil. No es porque hayan hecho algo malo.
Un gusano npm autorreplicante llamado Shai-Hulud pasó meses recopilando credenciales de desarrollador: tokens de GitHub, claves públicas de npm y credenciales de la API de Chrome Web Store. Estas claves permitieron al atacante enviar una versión troyanizada de la extensión Trust Wallet Chrome a través de canales oficiales. La validación de Chrome pasó.
Esta extensión maliciosa se ejecuta completamente dentro del navegador del usuario y captura silenciosamente una frase inicial y la envía a la infraestructura del atacante en el dominio haciéndose pasar por el punto final de análisis del propio Trust Wallet. En 48 horas se vaciaron 2.500 carteras. Pérdida total: 8,5 millones de dólares. Ningún servidor se vio comprometido. Nunca se emitió una alerta.
Una vez que elimina la frase inicial, lo que queda es: los activos de entrega de navegador confiables se han modificado silenciosamente para que sean invisibles para los registros del servidor, firewalls, WAF y EDR para interceptar datos confidenciales del usuario antes de que las aplicaciones legítimas puedan procesarlos. No porque estos controles estuvieran configurados incorrectamente, sino porque no fueron diseñados para monitorear lo que sucedía dentro de una sesión del navegador.
Intercambie frases iniciales por datos de tarjetas de pago. Cambie su extensión de Chrome por un píxel de marketing, un widget de soporte o un marco de pruebas A/B. Los ataques son exactamente los mismos. Una página de pago típica de comercio electrónico ejecuta entre 40 y 60 scripts de terceros. Cada uno es una conexión confiable. Allí podría pasar lo mismo.
Cómo llegó aquí la typosquatting: 3 etapas
Lo que hace que la Fase 3 sea una verdadera evolución no es sólo su sofisticación, sino su economía. LLM puede generar variaciones de dominio convincentes en minutos. Los ataques isomórficos combinan letras latinas, cirílicas y griegas para generar dominios que parecen visualmente idénticos en la barra de direcciones de un navegador mientras evaden la detección de distancia de cadena. Se necesitan menos de 10 minutos para registrar un dominio, emitir un SSL e implementar una campaña completa. Según datos de Sonatype, las cargas de paquetes maliciosos a repositorios de código abierto han aumentado un 156% año tras año, y el volumen por sí solo hace que la inspección manual sea estructuralmente imposible.
Tres ataques que demuestran un patrón
La typosquatting apunta a la capa de dominio, el compromiso de paquetes apunta a la cadena de suministro y la explotación del tiempo de ejecución del navegador apunta al comportamiento posterior a la ejecución del código confiable.
1. Extensión Trust Wallet para Chrome (diciembre de 2025)
Shai-Hulud recopiló credenciales de desarrollador durante varios meses antes de publicar la extensión troyanizada a través del canal oficial de Chrome Web Store. La extensión maliciosa capturó la frase inicial y la envió a un dominio de análisis similar. Se han vaciado 2.500 carteras. Pérdida de 8,5 millones de dólares. Tiempo de detección: cero. No hay visibilidad del lado del servidor sobre la ejecución del tiempo de ejecución del navegador.
2. Ataques de bloqueo/depuración de npm (septiembre de 2025)
Un correo electrónico de phishing dirigido a un único administrador de paquetes le dio al atacante acceso a 18 bibliotecas de JavaScript confiables, incluidas las de bloqueo y depuración, con un recuento de descargas semanales combinado de más de 2 mil millones. En 16 minutos, a todos se les inyectó código malicioso que enganchó las API del navegador e interceptó silenciosamente el tráfico de red y las interacciones de billetera. La rápida contención limitó las pérdidas directas a aproximadamente 500 dólares. La ventana de exposición no fue un problema. El número de descargas fue de 2 mil millones.
3. Ataque a la biblioteca Solana Web3.js (diciembre de 2024)
A través de una campaña de phishing, el atacante comprometió la cuenta de acceso público de la biblioteca npm @solana/web3.js, interceptó la clave privada durante las transacciones y publicó una versión maliciosa que contenía una función oculta que filtraba la clave privada a un dominio controlado por el atacante que se registró varios días antes del ataque. Las aplicaciones que se actualizaban automáticamente en cinco horas distribuían puertas traseras directamente a los usuarios. Se perdieron casi 200.000 dólares antes de ser descubierto.
Cómo ocurre el compromiso: la confianza reemplaza al engaño
La ingeniería social clásica requería la participación humana. Necesitaba que alguien escribiera la URL incorrectamente, hiciera clic en el enlace, aceptara el mensaje y confiara en el remitente. El trabajo del atacante era crear confianza instantánea.
Los ataques de la generación actual omiten ese paso por completo. La confianza ya no es algo que se crea, sino algo que se transmite. La canalización de compilación ya confía en npm. Los proveedores ya confían en las CDN. Su navegador ya confía en el proveedor. El atacante no necesita engañar a nadie. Simplemente insértese en cualquier lugar de la cadena de confianza que ya ha sido otorgada.
A esto se le llama interrupción de la cadena de suministro. Este engaño no está dirigido a individuos. Se dirige a gráficos de dependencia.
Puntos ciegos en la pila de seguridad
Un proveedor de marketing integrado en una propiedad web apunta a una CDN de JavaScript que se registró hace 6 semanas. SSL válido. dominio reconocible. Luego, el script se actualizará silenciosamente.
En la página de pago, el navegador carga silenciosamente el script modificado. Una superposición invisible intercepta las pulsaciones de teclas antes de que lleguen a su aplicación. Los registros del servidor registran sesiones normales. No hay ningún disparo de alarma.
La CSP es el control que se cita con mayor frecuencia como defensa. Sin embargo, CSP es una lista de invitados, no un monitor de comportamiento. Los scripts incluidos en la lista blanca que leen campos de formularios de pago y filtran datos todavía están totalmente permitidos porque el remitente es confiable. CSP maneja la conexión. No se puede procesar la ejecución.
Por diseño, el comportamiento malicioso en 2026 se pospone hasta el tiempo de ejecución. Los paquetes de Shai-Hulud permanecieron inactivos durante los análisis automáticos y sólo se activaron bajo ciertas condiciones de ejecución. El análisis estático no puede capturar cargas útiles que se cargan dinámicamente después de que comienza la ejecución.
Lo que realmente necesitas para la detección
El informe de IBM sobre el costo de las violaciones de datos de 2025 encontró que se necesitan un promedio de 241 días para identificar una violación. Los ataques a la cadena de suministro, en los que el comportamiento malicioso se ejecuta silenciosamente en la memoria del navegador, pueden tardar mucho más a menos que se supervise el tiempo de ejecución.
La detección requiere observar lo que realmente hace el script después de la ejecución: con qué dominios se comunica, a qué elementos de la página accede y cómo el comportamiento del script se desvía de las líneas base establecidas. Se trata de la supervisión del comportamiento en tiempo de ejecución, la única capa que actualmente falta en la mayoría de las pilas de seguridad empresarial.
Características a monitorear:
Fuga de datos inesperada: una secuencia de comandos lee un campo de formulario y envía un valor a un dominio fuera de la lista aprobada. Resolución de dominio dinámica: una secuencia de comandos que llama a un dominio registrado recientemente o se resuelve de manera diferente a la línea base. Desviación del comportamiento: una secuencia de comandos que funcionó bien la semana pasada accede a un elemento de página diferente esta semana.
Detectar dominios sospechosos en el árbol de dependencias es necesario, pero no suficiente. Un problema más difícil es comprender qué hacen realmente los scripts cargados desde ese dominio. La ofuscación generada por IA está diseñada específicamente para anular el análisis estático. El código pasa por linting, imita la biblioteca de minificación canónica y no produce coincidencias de firmas.
Para cerrar esta brecha, es necesario desofuscar el comportamiento en tiempo de ejecución, ejecutar el script en un entorno instrumentado y rastrear el comportamiento real en lugar de intentar leer la fuente. Esto significa revelar a qué accede realmente el script (campos de formulario, cookies, puntos finales de red), sin importar cuán confusa esté la fuente. Este es el enfoque en el que Reflectiz ha construido su herramienta de desofuscación de IA y se explica en detalle en la guía siguiente.
tu plan de acción
Si no sabe por dónde empezar, priorice según la exposición. Coloque la página de pago en primer lugar, la página de autenticación en segundo lugar y todo lo demás después. La secuencia real es:
esta semana:
Audite scripts de terceros para dominios CDN registrados recientemente en la cadena de dependencia. Verifique los informes de CSP para ver qué están haciendo realmente los orígenes aprobados, no solo violaciones. Identifique qué páginas manejan datos confidenciales (pagos, inicios de sesión, formularios PII) y priorice el monitoreo allí primero.
este mes:
Implementar monitoreo del comportamiento en tiempo de ejecución para páginas de pago y autenticación. Establecer una línea base de comportamiento para todos los scripts de terceros aprobados. Implementar verificaciones de integridad de subrecursos (SRI) cuando los scripts son autohospedados o almacenables en caché.
Requiere registro de dominio proactivo, CSP estricto y DMARC obligatorio. Esto incluye registro de dominio, distribución de scripts y suplantación de correo electrónico. Ninguno de ellos aborda lo que sucede después de que un script de proveedor aprobado se modifica silenciosamente. Es una brecha de la que la mayoría de los equipos no se dan cuenta hasta que es demasiado tarde.
Los controles anteriores le indican qué hacer. Mapearlos con su entorno real, inventario de proveedores y obligaciones de cumplimiento retrasará la ejecución. Reflectiz ha publicado una guía de expertos para CISO que incluye un marco completo, que incluye gobernanza de dominio, controles básicos, monitoreo del comportamiento en tiempo de ejecución y una hoja de ruta de implementación paso a paso construida en torno a las brechas.
Descarga la guía aquí →
Source link
