HalluSquatting: La IA instalando malware

Un desarrollador pregunta a un asistente de inteligencia artificial qué librería puede utilizar para realizar una tarea concreta.
La IA recomienda un paquete con un nombre convincente, explica su funcionamiento y proporciona el comando de instalación:
pip install paquete-inventado
El comando funciona. Sin embargo, la librería nunca había existido originalmente.
El modelo había inventado el nombre y un atacante, tras detectar esa alucinación, lo había registrado en un repositorio público para distribuir código malicioso.
Este tipo de ataque se conoce como HalluSquatting.
¿Qué es el HalluSquatting?
El término combina dos conceptos:
- Hallucination: cuando una inteligencia artificial genera información falsa o inexistente y la presenta como si fuera correcta.
- Squatting: cuando alguien registra un nombre antes que otros para aprovecharse de quienes intenten utilizarlo.
El HalluSquatting consiste en identificar nombres de paquetes, repositorios, dominios u otros recursos inventados por una IA y registrarlos antes de que un usuario o un agente vuelva a recibir la misma recomendación.
Cuando el ataque afecta específicamente a paquetes de software, también puede denominarse slopsquatting.
Una recomendación convincente puede ser falsa
Los modelos de lenguaje generan respuestas a partir de patrones y probabilidades. No siempre verifican que cada paquete o herramienta mencionada exista realmente.
Por eso pueden producir nombres que parecen legítimos: siguen las convenciones habituales, encajan con la tarea y aparecen acompañados de ejemplos de código aparentemente correctos.
El problema es que la calidad de la explicación puede generar una confianza que no procede de una comprobación real.
Un atacante puede realizar numerosas consultas, recopilar los nombres inventados que se repiten y registrar aquellos con más posibilidades de volver a ser recomendados.
La siguiente persona que reciba la sugerencia ya no encontrará un error indicando que el paquete no existe. Encontrará un recurso disponible, con documentación y un comando de instalación funcional.
Un riesgo para la cadena de suministro
El HalluSquatting no es solo un problema de precisión de la inteligencia artificial.
Una recomendación incorrecta puede provocar la incorporación de una dependencia maliciosa a un proyecto, un pipeline de integración continua, una imagen de contenedor o un entorno corporativo.
El ataque aprovecha una cadena de confianza:
- El usuario confía en el asistente.
- El asistente genera un nombre plausible.
- El repositorio confirma que el paquete existe.
- El sistema permite instalarlo.
Cada paso parece legítimo por separado, pero nadie ha comprobado el origen real del recurso.
HalluSquatting y typosquatting
En el typosquatting, el atacante registra una variante de un paquete legítimo para aprovechar un error al escribir su nombre.
En el HalluSquatting, el usuario no necesita equivocarse. Es la propia IA la que inventa un identificador inexistente y lo presenta como válido.
El atacante no espera una errata humana, sino que el modelo vuelva a recomendar el mismo nombre en futuras conversaciones.
El riesgo aumenta con los agentes autónomos
El peligro es mayor cuando la IA no se limita a recomendar un paquete, sino que puede buscarlo, descargarlo, instalarlo y ejecutarlo automáticamente.
Un desarrollador que copia un comando todavía tiene una oportunidad para revisar el recurso. Un agente autónomo puede completar todo el proceso sin supervisión.
Por eso, además de evaluar la precisión del modelo, es necesario controlar:
- Qué herramientas puede utilizar.
- Qué comandos puede ejecutar.
- A qué sistemas y credenciales tiene acceso.
- Qué acciones requieren aprobación humana.
La autonomía debe ir acompañada de controles proporcionales a su capacidad de actuación.
La confianza también necesita controles
El HalluSquatting demuestra que la superficie de ataque de la inteligencia artificial no se limita al modelo.
También incluye las decisiones tomadas a partir de sus respuestas, las herramientas conectadas y los permisos concedidos.
Una alucinación puede ser un error menor dentro de una conversación. Puede convertirse en una amenaza cuando provoca la instalación de un paquete, la descarga de un repositorio o la ejecución de código externo.
La pregunta ya no es únicamente si una inteligencia artificial puede equivocarse.
La pregunta es qué ocurre después de que se equivoca.
En 4Elitech ayudamos a las organizaciones a analizar los riesgos asociados al uso de asistentes y agentes de inteligencia artificial, proteger sus entornos de desarrollo y establecer controles que permitan aprovechar estas tecnologías con seguridad, trazabilidad y gobierno.
