Dominios fantasma: los enlaces falsos de la IA que los atacantes convierten en trampas

dominios-fantasma

Los grandes modelos de lenguaje siguen inventando direcciones web que no existen. Ahora, los atacantes han empezado a aprovechar ese comportamiento: registran esos dominios ficticios antes que nadie y alojan en ellos páginas de phishing diseñadas para capturar el tráfico que las herramientas de IA les envían.


La Unidad 42 de Palo Alto Networks llama a esta técnica phantom squatting, o “ocupación de dominios fantasma”. Su nueva investigación muestra que la amenaza ya no es teórica: está ocurriendo en el mundo real.


El problema central es la confianza. Desarrolladores, usuarios y asistentes de IA tratan cada vez más los enlaces generados por un modelo como si fueran reales y seguros. Pero cuando un modelo inventa un dominio que aún no existe, la primera persona que lo registra hereda toda esa confianza mal depositada, sin necesidad de enviar correos de phishing ni comprar anuncios maliciosos.


Para medir el alcance del problema, Unit 42 hizo 685.339 preguntas a dos modelos de IA sobre 913 marcas conocidas de sectores como tecnología, finanzas, salud, gobierno, apuestas y otros.


Los modelos generaron 2,1 millones de enlaces. De ellos, la inteligencia de amenazas ya había marcado 13.229 como directamente maliciosos, lo que significa que la IA estaba entregando direcciones conocidas por ser peligrosas. Además, cerca de 250.000 dominios inventados aún no tenían dueño, convirtiéndose en blancos listos para cualquier atacante que decidiera registrarlos primero.

Cómo funciona el phantom squatting

CS-CTA-1

El ataque funciona porque un dominio recién creado no tiene reputación previa. Las listas de bloqueo, los feeds de amenazas y los sistemas de reputación necesitan observar actividad sospechosa durante cierto tiempo antes de marcar un sitio como peligroso.


Un dominio fantasma recién registrado no tiene historial, por lo que esos filtros no encuentran nada que detectar. Cuando finalmente reaccionan, la víctima ya pudo haber sido enviada al sitio por una herramienta en la que confiaba.


Hay dos factores que agravan el riesgo. Primero, los dominios falsos no estaban en los datos de entrenamiento: ambos modelos fueron lanzados antes de que existieran los sitios maliciosos reales. Eso significa que las direcciones no surgieron de la memoria del modelo, sino de sus propios patrones lingüísticos.


Segundo, esos patrones son consistentes. Distintos modelos suelen inventar el mismo dominio falso cuando reciben la misma pregunta, lo que facilita que un atacante anticipe qué dominios podrían ser generados por la IA. Aumentar la configuración de “creatividad” del modelo solo produjo más dominios inventados.


Como explicaron los investigadores de Unit 42, este vector “explota una propiedad estructural de las arquitecturas de los LLM que sigue siendo inherentemente imposible de parchear”.

Casos reales de dominios alucinados usados para phishing

flujo-de-inteligencia-de-amenazas

Dos casos documentados muestran cómo se completa el ciclo de ataque.


El 8 de marzo de 2026, el sistema de Unit 42 predijo que los modelos de IA inventarían un dominio parecido al mercado en línea de un servicio postal nacional. Ambos modelos generaron ese dominio en todos los niveles de temperatura, una señal clara de que trataban el sitio falso como si fuera real.


Veintitrés días después, el 31 de marzo, un atacante registró exactamente ese dominio y desplegó un kit de phishing llamado Montana Empire. El kit copiaba en tiempo real la tienda legítima y robaba números de tarjetas, datos de transferencias bancarias e información de identificación nacional.


Un bot de Telegram permitía al operador aprobar manualmente los códigos de un solo uso de las víctimas. La pista más reveladora fue que varios archivos de proyecto y registros de sesión olvidados mostraban que el delincuente había creado el kit con ayuda de un asistente de programación basado en IA. En otras palabras, atacante y defensor llegaron al mismo dominio falso de la misma manera: preguntándole a una IA.


En el segundo caso, Unit 42 detectó un dominio alucinado relacionado con un servicio postal 51 días antes de que un atacante lo registrara. Después, el atacante lo convirtió en una copia casi perfecta de la marca original, añadió una calificación falsa de 4,8 estrellas y afirmó tener más de dos millones de usuarios. Luego lo utilizó para distribuir una aplicación maliciosa de Android.


Otros dominios detectados suplantaban a un importante banco de los Emiratos Árabes Unidos, que un atacante ya llevaba casi un año explotando, así como a un banco europeo y a sitios de apuestas deportivas dirigidos a usuarios en Bangladesh.

Un viejo truco con un nuevo objetivo

ia-y-ataques-en-la-red

El phantom squatting es la versión aplicada a dominios de una técnica conocida como slopsquatting, en la que los atacantes registran nombres falsos de paquetes de software inventados por herramientas de programación con IA. Y ese riesgo tampoco es hipotético.


Un amplio estudio de USENIX encontró que los modelos generadores de código sugieren con frecuencia nombres de paquetes que no existen. La campaña PhantomRaven convirtió precisamente ese comportamiento en una vía para distribuir malware oculto en 126 paquetes de npm, que acumularon más de 86.000 instalaciones.


Esto refleja un cambio más amplio: la salida de los modelos se está convirtiendo en entrada para otros sistemas. Desarrolladores, agentes de IA y equipos de seguridad actúan sobre enlaces, nombres y recomendaciones generadas por modelos antes de verificarlas. Al mismo tiempo, la IA reduce cada vez más el margen de reacción de los defensores.


El problema también aparece en un contexto donde el phishing por suplantación de marcas ya se ofrece como servicio. Kits como Lucid y Lighthouse han levantado 17.500 dominios falsos contra 316 marcas en 74 países.

Cómo anticiparse a los ataques de phantom squatting

CS-CTA-2

Como los modelos tienden a alucinar de forma consistente, los equipos de seguridad pueden mapear qué dominios falsos es probable que produzca un modelo y vigilar si alguien los registra. En muchos casos, esto puede dar semanas de ventaja antes de que un atacante los active.


Para usuarios, desarrolladores y organizaciones, las medidas prácticas son claras:

No confíes en un enlace solo porque lo entregó una IA. Antes de escribir una contraseña, introducir datos personales o pegar una dirección en código, confirma que el dominio sea el oficial.


Evita que los agentes de IA abran enlaces o descarguen contenido automáticamente desde direcciones generadas por modelos sin una verificación previa. Un agente no tiene el instinto de duda que podría tener una persona.

Trata cualquier respuesta generada por un modelo como un borrador no verificado, no como una fuente de autoridad.


La ventana de oportunidad está abierta y recompensa a quien se mueva primero. La pregunta, como plantea Unit 42, es simple: ¿llegarán antes los defensores o los atacantes a estos dominios?


¿Necesitas ayuda?

Llama a nuestro equipo de soporte:

PAGAR SEGURAMENTE CON:

20 aniversario CertSuperior
Sura Aseguradora
Aseguradora Profuturo
Aseguradora GNP
FEMSA
Bimbo

CERTSUPERIOR: CELEBRANDO 20 Años Con LA ConfianZa De Las Mejores Marcas

PARA Comprar Soluciones de seguridad digitales, NO HAY MEJOR.