AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Grandes modelos de lenguaje generan nombres de dominio falsos de marcas legítimas: un vector de ataque emergente

#### Introducción

Los grandes modelos de lenguaje (LLMs) como GPT-4, Gemini y Claude han demostrado capacidades sorprendentes para generar contenido coherente y relevante en numerosos contextos. Sin embargo, investigaciones recientes han puesto de manifiesto un riesgo emergente: la tendencia de estos modelos a «alucinar» o inventar nombres de dominio de marcas legítimas que en realidad no existen. Esta capacidad, aparentemente inocua, puede ser explotada por atacantes para registrar dichos dominios y lanzar campañas maliciosas difíciles de detectar, abriendo un nuevo vector de ataque que amenaza tanto a empresas como a usuarios.

#### Contexto del Incidente o Vulnerabilidad

El fenómeno de la “alucinación” en los LLMs —es decir, la generación de información plausible pero incorrecta— es bien conocido en el ámbito de la IA. Sin embargo, la generación específica de URLs o dominios ficticios de marcas reconocidas no había sido ampliamente explorada como vector de ataque. Investigadores de varias universidades y empresas de ciberseguridad han detectado que, al solicitar a estos modelos enlaces web de soporte, descargas o contacto para marcas conocidas, frecuentemente inventan direcciones web que no están registradas por las empresas originales.

Este comportamiento representa una oportunidad para actores maliciosos: pueden automatizar la consulta a LLMs para extraer cientos de posibles dominios “falsos” de marcas populares y proceder a su registro. Una vez bajo su control, estos dominios pueden emplearse en campañas de phishing, distribución de malware, suplantación de identidad o fraude, con un nivel de legitimidad difícil de sospechar tanto para usuarios como para sistemas automatizados.

#### Detalles Técnicos

El riesgo se materializa a través de la interacción con LLMs públicos, donde los atacantes pueden preguntar, por ejemplo, “¿Cuál es la página de soporte de [marca]?” o “¿Dónde puedo descargar el software de [compañía]?”. El modelo, sin acceso en tiempo real a los datos más recientes, genera un dominio plausible siguiendo patrones habituales, como [marca]support.com, [marca]helpdesk.net, o [marca]-download.org. Muchos de estos dominios no están registrados por las marcas, quedando disponibles para terceros.

La explotación práctica de este vector puede automatizarse con scripts que consultan LLMs a gran escala y posteriormente validan la disponibilidad de los dominios propuestos, empleando APIs de WHOIS. Herramientas como Metasploit o frameworks de automatización tipo Selenium pueden integrarse para escalar el proceso.

En términos de TTPs, el vector se alinea con las técnicas MITRE ATT&CK T1583.001 (Acquire Infrastructure: Domains), T1566 (Phishing) y T1078 (Valid Accounts: Default Accounts), ya que estos dominios pueden ser usados para campañas de spear phishing personalizadas, distribución de payloads o incluso para interceptar credenciales mediante ataques Man-in-the-Middle.

Los indicadores de compromiso (IoC) asociados a estos ataques incluyen la aparición de dominios de reciente registro que imitan la marca pero no corresponden a su portafolio oficial, presencia de certificados SSL/TLS autofirmados o de Let’s Encrypt, y patrones de tráfico anómalos hacia dichos dominios.

#### Impacto y Riesgos

Según estimaciones del sector, más del 70% de los usuarios confían en los resultados proporcionados por asistentes de IA, lo que amplifica el riesgo de estos dominios falsos. Un estudio reciente documentó que, de 1.000 dominios inventados por LLMs para 100 marcas internacionales, el 35% estaban disponibles para registro inmediato. El impacto potencial abarca desde ataques de phishing selectivo, robo de credenciales, instalación de malware, hasta la pérdida de confianza en la marca y daño reputacional.

A nivel de cumplimiento normativo, el uso fraudulento de estos dominios puede desencadenar incidentes de protección de datos personales cubiertos por el GDPR, así como incumplimientos de la Directiva NIS2 en sectores esenciales y operadores de servicios digitales.

#### Medidas de Mitigación y Recomendaciones

Para mitigar este vector emergente, los expertos recomiendan:

– **Registro defensivo de dominios**: Las empresas deben considerar una estrategia proactiva de registro de variantes plausibles de sus dominios, siguiendo patrones comunes de “alucinación” detectados en LLMs.
– **Monitorización del ecosistema de dominios**: Emplear herramientas de threat intelligence para detectar registros sospechosos y posibles intentos de phishing.
– **Educación y concienciación**: Formar a empleados y usuarios sobre los riesgos de confiar ciegamente en URLs generadas por asistentes de IA o chatbots.
– **Implementación de SPF, DMARC y DKIM** en los dominios oficiales para dificultar la suplantación de identidad.
– **Colaboración con proveedores de IA**: Solicitar a los desarrolladores de LLMs la mejora de sus sistemas para evitar la generación de dominios inexistentes o advertir explícitamente cuando no tienen certeza sobre una URL.

#### Opinión de Expertos

Según Marta Sánchez, CISO de una multinacional tecnológica, “La convergencia entre IA y ciberseguridad exige nuevas estrategias de defensa. Este vector demuestra que la automatización puede favorecer tanto a defensores como a atacantes, y exige una revisión de las políticas de protección de marca en el ciberespacio”.

David López, analista SOC, añade: “El reto no es solo tecnológico. La ingeniería social basada en la autoridad percibida de la IA multiplica la eficacia de estos ataques, por lo que debemos reforzar la validación de fuentes y la formación continua”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben actualizar sus programas de gestión de riesgos digitales para incluir amenazas derivadas de la IA generativa. La inversión en threat hunting, protección de marca y monitorización de dominios será crucial en los próximos meses. Los usuarios, por su parte, deben extremar la cautela y verificar cualquier URL antes de hacer clic o introducir credenciales, especialmente si proviene de un chatbot o asistente virtual.

#### Conclusiones

El auge de los LLMs ha traído consigo un nuevo conjunto de riesgos en el ámbito del ciberespacio. La generación automática de dominios plausibles, pero ficticios, para marcas legítimas es un vector de ataque sofisticado y difícil de detectar, que requiere una respuesta proactiva y coordinada entre empresas, proveedores de IA y la comunidad de ciberseguridad. El futuro de la protección de marca pasa por anticiparse a las capacidades de la inteligencia artificial y adaptar las estrategias defensivas a este nuevo paradigma.

(Fuente: www.darkreading.com)