Ocupación ilegal de terrenos baldíos: cómo los atacantes convierten las alucinaciones de la IA en armas

¿Qué es el slopsquatting? Cómo los atacantes utilizan las alucinaciones de la IA como arma.

En 2023, un investigador de seguridad llamado Bar Lanyado realizó un experimento discreto. Notó que los asistentes de codificación de IA seguían recomendando un paquete de Python llamado Huggingface-cli, un paquete que no existía. Así que lo creó: un marcador de posición vacío, subido con el nombre exacto que los modelos estaban inventando. No añadió ninguna funcionalidad ni carga útil. Simplemente esperó.

En tres meses, el paquete se había descargado más de 30,000 veces. El comando de instalación alucinado incluso llegó a aparecer en el archivo README de un repositorio público perteneciente a una importante empresa tecnológica. El paquete de Lanyado era inofensivo. Pero el experimento demostró algo inquietante: un atacante puede predecir lo que una IA inventaría, registrarlo primero y dejar que los desarrolladores lo instalen ellos mismos. Esa técnica ahora tiene un nombre. sentadillas descuidadasy es una de las amenazas de más rápido crecimiento en la cadena de suministro de software.

¿Qué es el slopsquatting?

El slopsquating es un ataque a la cadena de suministro en la que un atacante registra un paquete de software malicioso con un nombre que los asistentes de codificación de IA, como era de esperar, interpretan erróneamente. Cuando un desarrollador solicita ayuda a una herramienta de IA y esta sugiere instalar una dependencia que suena plausible pero que no existe, el atacante ya ha registrado ese nombre en el registro público, por lo que la sugerencia "útil" instala malware en lugar de no hacer nada.

El término fue Acuñado en abril de 2025 por Seth Larson, desarrollador residente de seguridad en la Python Software Foundation. Es un juego de palabras con Typosquatting, el ataque más antiguo en el que los delincuentes registran errores ortográficos de paquetes populares (solicitudes en lugar de solicitudes La diferencia radica en el origen del error: el typosquatting explota los errores tipográficos humanos, mientras que el slopsquatting explota la "vacuidad" de la IA: la salida errónea, segura y fluida que producen los grandes modelos de lenguaje.

Por qué el slopsquating realmente funciona

Podrías pensar que las alucinaciones de la IA son ruido aleatorio: un nombre falso diferente cada vez, imposible de usar como arma. La investigación dice lo contrario, y ese es precisamente el quid de la cuestión.

Un estudio revisado por pares presentado en Seguridad USENIX 2025 (Spracklen et al.) Se probaron 16 modelos de lenguaje grandes en 576,000 muestras de código generadas. Se encontró que el 19.7% de los paquetes recomendados no existían: 205,474 nombres alucinados únicos en total. Fundamentalmente, esas alucinaciones eran repetibleEl 43 % de los nombres falsos reaparecieron en varias consultas repetidas, y el 58 % se repitieron en diez ejecuciones de la misma consulta. Los modelos de código abierto generaron paquetes ficticios el 21.7 % de las veces; incluso los modelos comerciales como GPT-4 lo hicieron el 5.2 % de las veces: uno de cada veinte.

La repetibilidad es lo que convierte una peculiaridad en un ataque. Un atacante no necesita adivinar. Puede ejecutar comandos populares, registrar qué paquetes inexistentes sugieren los modelos y marcar esos nombres como malware. La IA se encarga de la selección de objetivos.

Cómo se desarrolla un ataque de ocupación ilegal

La cadena de ataque es corta, lo cual es parte de la razón por la que es peligrosa:

  • Observar. El atacante solicita a los asistentes de codificación de IA que realicen tareas de desarrollo comunes y registra los nombres de los paquetes que esas herramientas inventan, pero que no existen en el registro.
  • Registro. Publican un paquete malicioso bajo uno de esos nombres inventados, con un archivo README limpio, metadatos plausibles y una carga útil oculta en un script de instalación.
  • Espere. Un desarrollador (o un agente de codificación autónomo) le hace una pregunta similar a una herramienta de IA, recibe la misma recomendación alucinada y ejecuta instalar.
  • Ejecutar. El gancho de instalación del paquete se activa, extrayendo Secretos, abriendo una shell inversa o instalando una puerta trasera, y la vulnerabilidad se propaga a las compilaciones y la producción.

Los agentes de codificación autónomos hacen que el paso 3 sea mucho más probable. Un agente que instala dependencias sin revisión humana elimina el punto de control donde un desarrollador podría haberse detenido y pensado: "Nunca había oído hablar de ese paquete".

¿Qué tan grave es realmente?

La situación empeora, no mejora. El estudio de USENIX analizó 16 modelos y aun así descubrió que casi uno de cada cinco paquetes recomendados no existía, por lo que este problema no se limita a herramientas antiguas o menos potentes. Además, un asistente de codificación que solo utiliza datos de entrenamiento no tiene forma de saber si el nombre del paquete que acaba de sugerir es seguro, una ilusión o si ya está marcado como malware: no tiene acceso al registro en tiempo real. Esto no es una simple curiosidad de laboratorio. Es el comportamiento exacto en el que los desarrolladores confían ahora decenas de veces al día.

El slopsquatting también se ve agravado por el colapso generalizado de la higiene de la cadena de suministro. En 2025, las campañas masivas de paquetes maliciosos se convirtieron en el modelo operativo básico para los ataques a la cadena de suministro, como documenta el informe "Nuevas tendencias de ataques a la seguridad de las aplicaciones para 2026" de Xygeni: los atacantes publican en grandes cantidades, aceptan eliminaciones rápidas y se basan en la probabilidad, y las alucinaciones de la IA les proporcionan un suministro constante de nombres de alta conversión para registrar.

Cómo defenderse de la ocupación ilegal de terrenos

La incómoda verdad es que las herramientas basadas en firmas no pueden detectar esto. Un paquete slopsquated es completamente nuevo; no existe CVE, no existe firma y puede estar activo solo durante unas horas antes de ser retirado, tiempo suficiente para acumular miles de instalaciones. La defensa eficaz se basa en cuatro prácticas:

  • Nunca instales un paquete sugerido por una IA sin verificar que existe y que es legítimo. Comprueba el historial de descargas real, el responsable del proyecto y el repositorio, no te fíes solo de que el nombre suene bien.
  • Detecta el malware por su comportamiento, no por sus firmas. Califica un paquete en el momento de su publicación en función de sus acciones de instalación, llamadas de red y patrones de ofuscaciónDe esta forma, un paquete malicioso se detecta en el momento en que aparece, en lugar de cuando ya se tiene conocimiento de él.
  • Implementa un cortafuegos de dependencias entre los desarrolladores y el registro. En lugar de confiar en el registro público por defecto, se ponen en cuarentena automáticamente los paquetes sospechosos o completamente nuevos antes de que lleguen a una compilación.
  • Inventaría qué IA se está ejecutando en tu pipeline. Los asistentes de codificación y los agentes autónomos que instalan dependencias forman parte de su superficie de ataque. Lista de materiales de IA (AI-BOM) lo hace visible.

El slopsquating es un síntoma de un cambio mayor.

El slopsquatting es el ejemplo más claro de un patrón más amplio: la IA ahora es tanto la que escribe tu código como el objetivo de los atacantes en tu cadena de suministro. Defenderse de ella de forma aislada no es suficiente; debe formar parte de una estrategia más amplia. Para obtener una visión completa, consulta nuestra guía sobre Seguridad de la cadena de suministro mediante IA, que abarca paquetes maliciosos, Riesgos de MCPy el código generado por IA junto con las defensas que los abordan.

Deja de hacer sentadillas holgadas antes de que afecten tu complexión.

El lugar más efectivo para detener un paquete slopsquated es el momento en que un desarrollador intenta instalarlo, antes de que se ejecute el script de instalación. Eso es lo que Escudo Xygeni Shield es un agente ligero en el punto final del desarrollador que bloquea paquetes maliciosos en el momento de la instalación, utilizando Alerta temprana de malware (MEW) veredictos que funcionan antes de que exista cualquier firma. Cuando un asistente de IA sugiere una dependencia alucinada y el desarrollador ejecuta instalarShield evalúa el paquete a medida que se descarga y lo bloquea: el script malicioso posterior a la instalación nunca se ejecuta y el equipo de seguridad ve el intento con todo el contexto.

Debido a que MEW evalúa el comportamiento de un paquete en el momento de su publicación (acciones en el momento de la instalación, llamadas de red, patrones de ofuscación), Shield detecta exactamente los paquetes nuevos, aún sin firma, de los que depende el slopsquatting, junto con el typosquatting, la confusión de dependencias y el compromiso del mantenedor. Cada bloque fluye a la misma consola de Xygeni que su código, compilación y hallazgos en tiempo de ejecución, por lo que no hay nuevos dashboard y no requiere ninguna relación con un nuevo proveedor, y Shield funciona junto con su EDR existente, no en contra de él.

Empieza gratis. El plan para desarrolladores de Xygeni cuesta 0 €: 10 repositorios, 200 escaneos al mes, hasta 5 colaboradores, sin necesidad de tarjeta de crédito. Sign up with GitHub, GitLab o Google y ejecuta tu primer escaneo en menos de 10 minutos; la protección de endpoints de Shield estará disponible próximamente en el plan para desarrolladores. 

Preguntas Frecuentes

¿La ocupación ilegal de terrenos baldíos representa una amenaza real o solo teórica?

Es real. Una prueba de concepto de 2023 realizada por el investigador Bar Lanyado mostró un paquete de marcador de posición bajo un nombre alucinado (Huggingface-cli) se descargó más de 30,000 veces en tres meses. Un estudio de USENIX Security 2025 descubrió que el 19.7% de los paquetes recomendados por IA no existen, y el 43% de esos nombres ficticios se repiten en diferentes mensajes, lo que significa que los atacantes pueden predecirlos y registrarlos.

¿Cuál es la diferencia entre slopsquatting y typosquatting?

El typosquatting explota los errores tipográficos humanos registrando errores ortográficos de paquetes populares (solicitudes por la solicitudes El slopsquatting explota las alucinaciones de la IA registrando nombres de paquetes erróneos pero seguros que inventan los grandes modelos de lenguaje. Ambos buscan engañar a un desarrollador para que instale un paquete malicioso, pero el error que utilizan como arma es diferente.

¿Puedo confiar en que los asistentes de codificación de IA me sugieran dependencias?

No sin verificación. Incluso los modelos comerciales más avanzados sugieren paquetes inexistentes aproximadamente el 5% de las veces, y un análisis reciente reveló que casi el 28% de las sugerencias de actualización de dependencias de un modelo actual eran falsas. Siempre confirme que un paquete sugerido existe y es legítimo antes de instalarlo.

¿Cómo puedo proteger mi código fuente del slopsquating?

Verifique los paquetes sugeridos por IA antes de instalarlos, detecte el malware por su comportamiento en el momento de la publicación en lugar de esperar una firma, coloque un cortafuegos de dependencias entre los desarrolladores y los registros públicos, y mantenga un inventario AI-BOM de las herramientas y agentes de IA que se ejecutan en su pipeline.

sca-tools-software-herramientas-de-analisis-de-composicion
Priorice, solucione y proteja sus riesgos de software
Obtén tu cuenta gratuita.
Sin tarjeta de crédito.

Asegure el desarrollo y entrega de software

con la suite de productos Xygeni