### Ciberdelincuentes aprovechan los dominios ficticios generados por IA para campañas de phishing: surge el “phantom squatting”
—
#### Introducción
Los grandes modelos de lenguaje (LLM), como los utilizados por sistemas de inteligencia artificial generativa, están transformando la manera en que se accede y procesa la información en la web. Sin embargo, su capacidad para “inventar” URLs no existentes está abriendo la puerta a una nueva técnica de ataque: el “phantom squatting”. Recientemente, investigadores de Unit 42 de Palo Alto Networks han documentado cómo ciberdelincuentes adquieren estos dominios ficticios antes que nadie, desplegando en ellos sitios de phishing que capturan el tráfico redirigido por errores de IA. El fenómeno ya se ha detectado en entornos reales y plantea nuevos retos para la seguridad corporativa y la defensa ante amenazas emergentes.
—
#### Contexto del Incidente o Vulnerabilidad
La proliferación de LLMs como ChatGPT, Google Gemini y Copilot ha incrementado la confianza de los usuarios en las respuestas automatizadas. Sin embargo, estas IA, al generar referencias a recursos online, a menudo fabrican URLs plausibles pero inexistentes. La investigación de Unit 42 ha identificado múltiples casos en los que atacantes monitorizan estos “dominios inventados”, los registran rápidamente y los utilizan como vectores de ataque. Este modus operandi, bautizado como “phantom squatting”, permite a los atacantes anticiparse a la generación de tráfico por parte de los LLMs y explotar la tendencia de los usuarios a confiar en enlaces sugeridos por IA.
—
#### Detalles Técnicos
El “phantom squatting” se sitúa en la intersección entre el abuso de LLMs y el phishing tradicional. A diferencia del typosquatting o combosquatting, donde se registran variantes de dominios legítimos, aquí los atacantes se centran en dominios completamente nuevos, sugeridos por los propios modelos de IA. Cuando un LLM inventa un recurso y lo cita como fuente, los atacantes pueden automatizar la monitorización de estas respuestas en foros, chats o documentos generados automáticamente. Una vez identificado un dominio no registrado, se procede a su adquisición.
Los investigadores han detectado el uso de frameworks como Metasploit y Cobalt Strike para desplegar cargas maliciosas en estos dominios. Además, se han documentado campañas de phishing que replican interfaces de servicios populares para capturar credenciales o distribuir malware (principalmente troyanos de acceso remoto y stealers). En muchos casos, los atacantes emplean TTPs alineadas con las técnicas T1566 (Phishing) y T1583.001 (Acquisition of Domain Name) del framework MITRE ATT&CK.
Entre los Indicadores de Compromiso (IoC) identificados destacan patrones de tráfico HTTP hacia dominios que no aparecen en listas de reputación, certificados TLS recién emitidos y campañas de correo electrónico que inducen a hacer clic en URLs generadas por IA.
—
#### Impacto y Riesgos
El impacto de estas campañas es potencialmente elevado, especialmente en entornos donde los usuarios dependen de la IA para la búsqueda de información técnica o enlaces de descarga. El “phantom squatting” permite a los atacantes adelantarse a la detección tradicional basada en reputación de dominio, ya que los dominios son nuevos y no tienen historial previo. Esta técnica ha sido utilizada ya para robar credenciales de acceso corporativo, distribuir ransomware y lanzar ataques dirigidos (spear phishing) contra altos ejecutivos y personal de TI.
Unit 42 estima que, en los últimos seis meses, cerca de un 12% de los dominios inventados por LLMs en foros técnicos populares han sido registrados posteriormente por actores maliciosos. Además, se han detectado pérdidas económicas asociadas a fraudes de este tipo que superan los 2,3 millones de dólares en el último trimestre, según cifras de plataformas de respuesta a incidentes.
—
#### Medidas de Mitigación y Recomendaciones
Para mitigar los riesgos asociados al “phantom squatting”, se recomienda:
1. **Monitorizar las respuestas de LLMs**: Implementar herramientas que identifiquen y alerten sobre URLs ficticias generadas por IA en entornos corporativos.
2. **Bloqueo proactivo de dominios sospechosos**: Utilizar listas de control de acceso que incluyan dominios recién registrados y no categorizados.
3. **Formación continua**: Concienciar a los usuarios sobre los peligros de acceder a enlaces sugeridos por IA sin verificación previa.
4. **Integración de Threat Intelligence**: Incorporar fuentes que rastreen tendencias emergentes en registros de dominios y campañas de phishing asociadas a IA.
5. **Revisión de logs y telemetría**: Establecer alertas para conexiones a dominios desconocidos, especialmente aquellos generados por LLMs.
El cumplimiento de normativas como el GDPR y la inminente Directiva NIS2 implica la obligación de proteger los datos personales y sistemas críticos frente a vectores de ataque emergentes como este.
—
#### Opinión de Expertos
Según Ryan Olson, vicepresidente de Unit 42, “el phantom squatting representa un salto cualitativo en el abuso de la confianza depositada en la IA. Los equipos de seguridad deben prepararse para una oleada de dominios maliciosos que no pueden ser detectados mediante los mecanismos tradicionales de reputación”. Otros expertos advierten que la integración creciente de LLMs en procesos de negocio incrementa la superficie de ataque y exige una adaptación urgente de las estrategias de defensa.
—
#### Implicaciones para Empresas y Usuarios
El auge del “phantom squatting” obliga a las organizaciones a revisar sus políticas de navegación y uso de IA, así como a reforzar los controles en el acceso a enlaces externos. Las empresas que utilicen LLMs en entornos productivos deben desarrollar procedimientos de validación de fuentes y limitar la interacción automatizada con recursos no verificados. En el mercado, esta tendencia podría acelerar la adopción de soluciones de threat intelligence especializadas y la colaboración intersectorial para el intercambio de IoCs.
—
#### Conclusiones
El “phantom squatting” es una amenaza en rápido crecimiento que explota las limitaciones actuales de los LLMs y la falta de mecanismos de verificación en la generación de URLs. La anticipación y adaptación de las estrategias de ciberdefensa serán claves para prevenir incidentes y proteger tanto a usuarios como a infraestructuras críticas frente a este vector de ataque emergente.
(Fuente: feeds.feedburner.com)
