¿Qué es el slopsquatting? Es un ataque en el que los actores maliciosos registran los nombres exactos de los paquetes que los asistentes de codificación de IA alucinan, luego cargan esos paquetes con malware y esperan a que un desarrollador los instale. No es un caso excepcional. En una investigación presentada en USENIX Security 2025, El 19.7% de los paquetes recomendados por los modelos de codificación de IA en 576,000 muestras de código no existían, y los investigadores registraron más de 205,000 nombres ficticios únicos en los modelos probados.
Comprender qué es el slopsquatting (y cómo se ve el significado del slopsquatting en la práctica) es importante porque no es solo una peculiaridad de la IA. El slopsquatting es el sucesor de la era de la IA a TyposquattingCon una diferencia crucial: el typosquatting depende de un error tipográfico humano, mientras que el slopsquatting depende de un error del modelo, repetido con la suficiente previsibilidad como para que un atacante pueda explotarlo a gran escala. Esta guía explica qué es el slopsquatting, por qué se propaga más rápido de lo que la revisión de paquetes puede detectarlo, qué riesgos genera y cómo las organizaciones pueden descubrirlo y prevenirlo antes de que llegue a producción.
Significado de "Slopsquatting": Definición #
Slopsquatting significa, formalmente: la práctica de registrar un nombre de paquete que un modelo de lenguaje grande intuye, un nombre inventado que suena plausible pero que no existe en ningún registro público, y cargarlo con código malicioso. antes de que un desarrollador real lo instale basándose en la sugerencia de la IA.
El término extiende el concepto de typosquatting (registrar un nombre de paquete que imita uno real a través de una falta de ortografía común) al modo de fallo específico de la IA generativa. Mientras que el typosquatting explota un error tipográfico humano, el slopsquatting explota un Alucinación del modelo de IAnUn asistente de codificación recomienda instalar un paquete que nunca ha existido mediante pip install o npm install, y un atacante que ha notado que el mismo nombre inventado se repite en diferentes indicaciones lo registra primero.
En términos prácticos, el término "slopsquatting" se refiere a un ataque a la cadena de suministro que convierte un error de un modelo en una vulnerabilidad funcional, sin necesidad de intervención humana más allá de confiar en la sugerencia de la IA. No es una teoría. Un único paquete ficticio, introducido como prueba inofensiva en 2023, obtuvo más de 30 000 descargas en tres meses sin promoción alguna y confirmó que existen variantes maliciosas que explotan este mismo patrón en registros públicos.
Slopsquatting vs Typosquatting: ¿Cuál es la diferencia? #
El slopsquatting y el typosquatting tienen el mismo resultado (un desarrollador instala un paquete malicioso creyendo que es legítimo), pero el origen del error es categóricamente diferente.
El typosquatting depende de un error tipográfico humano: un desarrollador quiere escribir "requests" pero escribe "requests" en su lugar, y un atacante que haya registrado ese nombre mal escrito está al acecho. El riesgo se limita a una sola pulsación de tecla del desarrollador, a un instante de distracción.
El slopsquatting elimina por completo el error humano y lo reemplaza con un error del modelo, que se repite a gran escala entre todos los desarrolladores que reciben una solicitud similar. Un análisis posterior reveló que, al ejecutar solicitudes idénticas diez veces cada una, el 43 % de los nombres de paquetes generados por el modelo aparecieron en cada ejecución, y el 58 % se repitieron más de una vez. Esta repetibilidad es lo que hace que el slopsquatting sea vulnerable: un atacante no necesita adivinar un error tipográfico. Solo necesita observar qué nombre generado por el modelo repite y registrarlo antes que un desarrollador real.
La mayor diferencia radica en la escala. Un paquete typosquatted espera a que se produzca un error tipográfico. Un paquete slopsquatted espera a que la misma recomendación generada por IA llegue al siguiente desarrollador, y al siguiente, y al siguiente, en todas las organizaciones que utilizan el mismo modelo.
¿Por qué practicar el "slopsquatting spreads"? #
El slopsquating prolifera por la misma razón que el typosquatting: los atacantes explotan un patrón predecible en el que los desarrolladores confían por defecto. Lo novedoso es el nivel de confianza.
El auge de la codificación asistida por IALos agentes autónomos y los flujos de trabajo de "codificación intuitiva", en los que los desarrolladores revisan cada vez menos el código antes de ejecutarlo, han modificado la superficie de ataque del software de dos maneras concretas:
El punto de entrada ya no es solo el desarrollador. Un ataque de typosquatting depende de un error tipográfico de una persona. El slopsquatting puede originarse dentro del propio modelo y propagarse a cientos de desarrolladores diferentes que hacen preguntas similares y reciben la misma recomendación errónea, multiplicando así el alcance de un solo ataque.
La superficie de ataque se ha desplazado hacia arriba en la cadena. Ya no basta con revisar el código que escribe un humano. Los equipos también necesitan supervisar las dependencias que sugiere un asistente de IA, los servidores MCP a los que se conecta y los agentes que instalan paquetes de forma autónoma sin revisión humana directa. La seguridad de aplicaciones tradicional, diseñada para revisar repositorios y sistemas humanos, commits, nunca fue diseñado para observar esta nueva interacción entre desarrollador, IA y registro de paquetes, que es precisamente donde se esconde el slopsquatting.
Riesgos de la ocupación ilegal de terrenos #
La ocupación ilegal de terrenos crea riesgos en múltiples dimensiones que se acumulan entre sí, y la tendencia se está acelerando en lugar de desvanecerse.
- Explotación repetible. Dado que los nombres generados por alucinaciones no son aleatorios, el mismo nombre falso reaparece de forma predecible en distintas sesiones y modelos. Los atacantes no necesitan adivinar; solo necesitan observar el comportamiento del modelo y registrar los nombres que se repiten, convirtiendo una alucinación puntual en un ataque escalable y repetible.
- Propagación agéntica. El slopsquatting ya no se limita a que un desarrollador copie y pegue un comando de instalación sugerido. En enero de 2026, investigadores descubrieron que los agentes de codificación de IA ya habían difundido instrucciones que hacían referencia a un paquete npm ficticio en 237 repositorios, y que estos agentes seguían intentando instalarlo a diario, sin que ningún humano interviniera para detectar el error.
- Evasión de la similitud de nombres. Aproximadamente el 38 % de los nombres ficticios se parecen mucho a los paquetes reales, lo que reduce las probabilidades de que un desarrollador detecte la sustitución a simple vista. Un paquete malicioso que se diferencia solo un carácter de una dependencia de confianza no resulta sospechoso; parece un error tipográfico que uno mismo podría cometer.
- Exposición persistente después de la detección. Un paquete fraudulento que sustituyó a un plugin legítimo de ESLint seguía registrando descargas semanales incluso después de que el registro lo bloqueara por motivos de seguridad, lo que demuestra que marcar un paquete pirateado no impide inmediatamente su instalación.
Donde se esconde la ocupación ilegal de terrenos #
La parte más difícil de detectar del slopsquatting es que no parece un ataque en el momento en que ocurre; parece una instalación normal de pip o npm que se completa con éxito, porque el paquete realmente existe una vez que un atacante lo ha registrado.
El slopsquating generalmente entra por:
- Asistentes y copilotos de codificación con inteligencia artificial. La vulnerabilidad reside en la sugerencia inicial: un nombre de paquete inventado presentado junto con código legítimo y funcional. El código circundante no parece tener ningún problema, ya que normalmente no los tiene; solo la dependencia es falsa.
- Agentes de codificación autónomos. Los flujos de trabajo automatizados que instalan dependencias sin revisión humana eliminan el único punto de control, la pausa que hace un desarrollador para verificar un nombre, que de otro modo detectaría un paquete erróneo antes de que llegue a un proyecto.
- Gestores de paquetes sin paso de verificación. Ni `pip install` ni `npm install` generan un error cuando el paquete de destino existe y es malicioso. La instalación se completa con normalidad porque, desde la perspectiva del gestor de paquetes, no hay ningún problema.
Cómo descubrir y prevenir la ocupación ilegal de terrenos #
Para evitar el slopsquatting no se necesitan herramientas sofisticadas. Basta con aplicar sistemáticamente las prácticas de higiene de dependencias que ya existen, en lugar de relajarlas en el momento en que una IA "sugiere" el código.
Verifique cualquier paquete nuevo antes de instalarlo., especialmente si es sugerido por un asistente de IA. Confirma que existe en el registro oficial, quién lo mantiene, cuándo se publicó y si el número de descargas parece auténtico.
Nunca asuma que el código generado por IA es seguro por defecto.Que un código “funcione” no significa que sus dependencias sean legítimas. La revisión de dependencias debe formar parte de la revisión de código, no ser una excepción.
Implemente un análisis de dependencias que identifique patrones de riesgo más allá de las vulnerabilidades CVE conocidas: paquetes anómalos, nombres sospechosamente similares a otros existentes, nuevos mantenedores sin historial o scripts de instalación con un comportamiento inusual.
Aplicar AI-SPM como capa de gobernanza. La gestión de la postura de seguridad mediante IA es la práctica diseñada para detectar precisamente este tipo de riesgo introducido por la IA a gran escala, descubriendo continuamente las dependencias sugeridas por la IA y puntuándolas antes de que un humano tenga que acordarse de comprobarlas manualmente.
Cómo protegerse contra la ocupación ilegal de terrenos con Xygeni #
La simple vigilancia de los desarrolladores no puede prevenir el slopsquating. Una política que diga "verificar cada paquete sugerido por la IA" no es viable en una organización donde las sugerencias de dependencias llegan más rápido de lo que cualquier proceso de revisión humana puede procesar.
xygenis El enfoque trata esto como un problema de detección continua: Inventario de IA y Lista de materiales de IA superficie cada introducción de IA dependencia a través de la SDLC, brindando a los equipos un registro en vivo de lo que un asistente de IA realmente ha sugerido e instalado. Xygeni Shield, impulsado por MEW (Alerta Temprana de Malware)Detecta y bloquea paquetes maliciosos, incluidos los que se alojan ilegalmente en sitios web no autorizados, antes de que exista una firma, cerrando así la brecha que dejan abierta los escáneres basados en firmas.
Si sus equipos utilizan asistentes de codificación con IA, el problema del slopsquatting ya está presente. La cuestión es si se detectará el próximo nombre ilusorio antes de que se instale.

Preguntas Frecuentes #
El slopsquatting es un ataque a la cadena de suministro en el que actores maliciosos registran nombres de paquetes inexistentes exactos que los asistentes de codificación de IA generan repetidamente, cargándolos con malware antes de que un desarrollador instale uno basándose en la sugerencia de la IA.
Los atacantes observan qué nombres de paquetes generan alucinaciones en los modelos de IA y, a continuación, registran esos mismos nombres con código malicioso antes de que lo haga un desarrollador real. Dado que el nombre generado por alucinaciones se repite de forma predecible en distintas solicitudes y sesiones, un único paquete registrado con código malicioso puede llegar a todos los desarrolladores que reciban una sugerencia similar de la IA, convirtiendo una peculiaridad del modelo en un ataque escalable a toda la base de usuarios.
Un descubrimiento eficaz implica tratar las dependencias sugeridas por la IA como una categoría de riesgo distinta, no como un subconjunto de las dependencias de código abierto habituales. Esto requiere visibilidad sobre lo que los asistentes y agentes de codificación de IA sugieren e instalan realmente, contrastándolo con los datos del registro (fecha de publicación, historial del mantenedor, patrones de descarga) y la detección de malware basada en el comportamiento, en lugar de depender únicamente del análisis basado en firmas.