HalluSquatting: 7 graves riesgos para tu empresa

HalluSquatting es una nueva técnica de ciberataque que aprovecha las respuestas inventadas por los asistentes de inteligencia artificial para dirigirlos hacia repositorios controlados por delincuentes. El riesgo aparece cuando una herramienta de programación con acceso a terminal descarga un recurso incorrecto y termina ejecutando instrucciones maliciosas en el equipo del usuario.

La investigación demuestra que este ataque podría utilizarse para instalar software malicioso, robar información, ejecutar comandos a distancia o incorporar numerosos dispositivos a una red de bots. El problema no se limita a una marca concreta: afecta al modelo de funcionamiento de los asistentes de IA que buscan, descargan e instalan recursos de internet de forma autónoma.

En GHM Soluciones Informáticas analizamos qué es HalluSquatting, cómo puede afectar a los entornos empresariales y qué medidas deben adoptar las organizaciones que permiten utilizar asistentes de programación con inteligencia artificial.

HalluSquatting: cómo funciona este nuevo ataque

Los modelos de lenguaje pueden generar respuestas plausibles aunque la información no sea correcta. Este comportamiento se conoce como alucinación de la inteligencia artificial.

En un asistente convencional, una respuesta inventada puede provocar una recomendación incorrecta. En una herramienta con capacidad para utilizar la terminal, descargar archivos o ejecutar código, la consecuencia puede ser mucho más grave.

HalluSquatting aprovecha precisamente esa diferencia. El atacante estudia qué nombres o direcciones falsas tienden a inventar los modelos cuando se les pregunta por un repositorio, una biblioteca, una herramienta o una habilidad reciente.

Después registra esos recursos inexistentes y coloca en ellos contenido preparado para manipular al asistente. Si la IA vuelve a inventar el mismo nombre, puede acceder al recurso controlado por el atacante y ejecutar sus instrucciones.

La investigación técnica completa puede consultarse en el estudio Beware of Agentic Botnets: Adversarial HalluSquatting.

Por qué HalluSquatting no es un simple error de la IA

HalluSquatting convierte una respuesta incorrecta en una superficie de ataque. El riesgo no está únicamente en que la IA se equivoque, sino en que tenga permisos suficientes para actuar sobre ese error.

Un agente de programación puede disponer de acceso a:

  • la terminal del sistema;
  • archivos del proyecto;
  • repositorios privados;
  • variables de entorno;
  • claves API;
  • credenciales cloud;
  • contenedores de desarrollo;
  • servidores de pruebas;
  • herramientas de despliegue.

Cuantos más permisos tiene la herramienta, mayor es el impacto potencial de una instrucción maliciosa descargada desde un recurso falso.

HalluSquatting afecta a nueve asistentes de inteligencia artificial

Los investigadores probaron el ataque contra nueve aplicaciones utilizadas para programación y automatización con IA:

  • Cursor;
  • Cursor CLI;
  • Gemini CLI;
  • Windsurf;
  • GitHub Copilot Chat;
  • Cline;
  • OpenClaw;
  • ZeroClaw;
  • NanoClaw.

Los resultados no fueron iguales en todas las herramientas. Algunas descargaron los recursos controlados por los investigadores con menor frecuencia, mientras que otras permitieron alcanzar tasas muy elevadas de ejecución de instrucciones o código.

Esto no significa que todos los usuarios de estas herramientas hayan sido atacados. El estudio demuestra que la técnica es viable en entornos controlados y que podría explotarse si un atacante registra los recursos que los modelos tienen más probabilidades de inventar.

HalluSquatting y las redes de bots controladas por IA

Una de las conclusiones más preocupantes es la posibilidad de utilizar HalluSquatting para crear redes de dispositivos comprometidos.

Una botnet es un conjunto de ordenadores controlados de forma remota sin el conocimiento de sus propietarios. Los atacantes pueden utilizarla para:

  • lanzar ataques de denegación de servicio;
  • enviar campañas de spam;
  • robar información;
  • distribuir ransomware;
  • minar criptomonedas;
  • realizar nuevos ataques;
  • alquilar capacidad delictiva a terceros.

La diferencia de HalluSquatting frente a otros ataques de inyección de instrucciones es su capacidad potencial de ampliación. Un único recurso malicioso podría ser descargado por numerosos agentes que inventen la misma dirección al intentar localizar una herramienta popular.

7 riesgos de HalluSquatting para las empresas

1. HalluSquatting puede ejecutar código malicioso

El principal riesgo aparece cuando el asistente tiene permiso para ejecutar comandos. Un repositorio falso puede contener instrucciones que provoquen la descarga de scripts, la apertura de una conexión remota o la instalación de programas no autorizados.

La acción puede parecer parte normal del proceso de configuración solicitado por el usuario, por lo que existe el riesgo de que pase inadvertida.

2. HalluSquatting puede exponer claves y credenciales

Los entornos de desarrollo suelen contener información especialmente sensible:

  • tokens de acceso;
  • claves API;
  • credenciales de bases de datos;
  • contraseñas de servicios;
  • certificados;
  • variables de entorno;
  • claves de plataformas cloud.

Si el código malicioso se ejecuta con los permisos del desarrollador, puede intentar localizar y extraer estos datos.

3. HalluSquatting amenaza la cadena de suministro

El código creado o modificado por un asistente puede acabar integrado en aplicaciones empresariales, productos digitales o proyectos destinados a clientes.

Un recurso malicioso descargado durante el desarrollo podría introducir puertas traseras, dependencias manipuladas o instrucciones ocultas. El problema dejaría de afectar únicamente al equipo original y podría extenderse a otros entornos.

4. HalluSquatting puede comprometer repositorios privados

Los asistentes de programación suelen trabajar dentro de carpetas que contienen código fuente y documentación interna.

Un ataque exitoso podría permitir:

  • leer código confidencial;
  • modificar archivos;
  • copiar proyectos privados;
  • insertar vulnerabilidades;
  • obtener información sobre clientes;
  • acceder a configuraciones internas.

La pérdida de código fuente puede generar daños comerciales, legales y reputacionales.

5. HalluSquatting puede utilizar permisos excesivos

Muchas herramientas de IA reciben permisos amplios para facilitar el trabajo. Pueden crear archivos, ejecutar comandos, instalar paquetes y acceder a cuentas conectadas.

Esta comodidad también aumenta el impacto de un fallo. Si el agente trabaja con privilegios administrativos, cualquier código descargado puede ejecutarse con capacidades innecesariamente elevadas.

En GHM Soluciones Informáticas ya hemos analizado el riesgo de conectar herramientas de IA a cuentas corporativas sin revisar sus permisos y accesos.

6. HalluSquatting es difícil de reconocer para el usuario

El nombre inventado puede parecer razonable y estar relacionado con el recurso original. Además, el repositorio malicioso puede copiar parte del contenido legítimo para aparentar normalidad.

El desarrollador podría no detectar el ataque porque la herramienta completa la tarea solicitada y el proyecto continúa funcionando aparentemente con normalidad.

7. HalluSquatting puede escalar entre numerosos equipos

Los atacantes pueden buscar errores predecibles que se repitan en diferentes modelos, instrucciones y aplicaciones.

Si varios asistentes inventan el mismo recurso, un atacante podría utilizar una única ubicación maliciosa para llegar a múltiples dispositivos. Esa capacidad convierte un error de generación en un posible mecanismo de distribución masiva.

Por qué HalluSquatting afecta especialmente a recursos recientes

Los modelos obtienen mejores resultados con proyectos antiguos y ampliamente documentados. El riesgo aumenta cuando deben localizar repositorios, herramientas o habilidades creadas después de sus datos de entrenamiento.

El estudio encontró tasas elevadas de direcciones inventadas al consultar recursos recientes. En escenarios de clonación de repositorios se observaron tasas de alucinación de hasta el 85 %, mientras que en la instalación de determinadas habilidades alcanzaron el 100 %.

Esto no significa que cada respuesta incorrecta produzca automáticamente una infección. El ataque necesita que el delincuente haya registrado previamente el recurso inventado y que el agente descargue o procese su contenido.

Cómo proteger una empresa frente a HalluSquatting

La defensa frente a HalluSquatting no debe depender únicamente de que el usuario detecte una dirección incorrecta. Las empresas necesitan controles técnicos que limiten lo que pueden descargar y ejecutar los asistentes.

Verificar manualmente repositorios y dependencias

Antes de descargar o instalar un recurso sugerido por una IA, debe comprobarse:

  • la organización propietaria;
  • la dirección exacta del repositorio;
  • la fecha de creación;
  • el historial de cambios;
  • los responsables del proyecto;
  • su documentación oficial;
  • la reputación de la dependencia.

No debe confiarse en una dirección únicamente porque haya sido proporcionada por el asistente.

Limitar el acceso a terminal

Los agentes no deberían ejecutar automáticamente comandos sin revisión. Las operaciones sensibles deben requerir autorización explícita.

Conviene impedir o limitar:

  • instalaciones automáticas;
  • ejecución de scripts remotos;
  • comandos con privilegios administrativos;
  • acceso a carpetas ajenas al proyecto;
  • conexiones de red innecesarias;
  • modificaciones de seguridad.

Aplicar el principio de mínimo privilegio

La herramienta debe disponer únicamente de los permisos necesarios para realizar su tarea. No debería utilizar cuentas administrativas ni acceder a credenciales que no necesita.

Los entornos de desarrollo pueden aislarse mediante máquinas virtuales, contenedores restringidos o sistemas temporales sin acceso directo a información crítica.

Controlar las conexiones salientes

Un firewall correctamente configurado puede limitar la comunicación con repositorios, dominios y servidores no autorizados.

También permite detectar conexiones inesperadas después de ejecutar código generado o descargado por una herramienta de IA.

Las soluciones de endpoint y firewall para empresas ayudan a reducir la capacidad de un programa malicioso para comunicarse con infraestructuras externas.

Monitorizar los equipos de desarrollo

Las empresas deben vigilar acciones como:

  • ejecución de comandos inusuales;
  • creación de procesos desconocidos;
  • descarga de archivos desde dominios nuevos;
  • acceso a claves o credenciales;
  • modificación masiva de código;
  • conexiones remotas inesperadas;
  • cambios en herramientas de seguridad.

Una solución de SIEM Wazuh para empresas permite centralizar eventos y detectar comportamientos anómalos en equipos, servidores y aplicaciones.

HalluSquatting: qué deben revisar los equipos de desarrollo

Las empresas que utilizan asistentes de programación deberían revisar:

  • qué herramientas de IA están autorizadas;
  • qué modelos utiliza cada aplicación;
  • qué permisos tienen sobre el equipo;
  • si pueden ejecutar comandos automáticamente;
  • qué repositorios pueden consultar;
  • si acceden a código confidencial;
  • qué claves y tokens existen en el entorno;
  • si se registran las acciones realizadas;
  • si el código generado se revisa antes de publicarse;
  • si existen controles sobre nuevas dependencias.

La revisión de seguridad debe incluir tanto la herramienta como el modelo, las extensiones instaladas y las cuentas conectadas.

HalluSquatting y el riesgo para pymes

Una empresa no necesita tener un gran departamento de desarrollo para estar expuesta. Muchas pymes utilizan asistentes de IA para crear páginas web, automatizaciones, scripts, integraciones o pequeñas aplicaciones internas.

También pueden contratar a proveedores que emplean estas herramientas sin aplicar controles suficientes.

El riesgo aumenta cuando:

  • se ejecuta código sin revisarlo;
  • se utilizan equipos con información corporativa;
  • las credenciales se guardan en archivos de texto;
  • el usuario trabaja como administrador;
  • no existe protección endpoint;
  • no se monitorizan conexiones;
  • no se revisan las dependencias.

HalluSquatting no significa que la IA deba prohibirse

Las herramientas de inteligencia artificial pueden mejorar la productividad, acelerar tareas y ayudar a los equipos técnicos. El objetivo no debe ser prohibirlas, sino utilizarlas dentro de un marco de seguridad.

Las empresas necesitan una política que determine:

  • qué herramientas están permitidas;
  • qué información puede compartirse;
  • qué permisos pueden concederse;
  • qué acciones requieren revisión humana;
  • cómo se valida el código generado;
  • cómo se responde ante un incidente.

En GHM Soluciones Informáticas también analizamos otros ciberataques impulsados por inteligencia artificial que muestran la necesidad de controlar estas herramientas dentro del entorno corporativo.

Cómo ayuda GHM Soluciones frente a HalluSquatting

En GHM Soluciones Informáticas ayudamos a empresas a revisar el uso de herramientas de inteligencia artificial y reducir los riesgos asociados a permisos excesivos, ejecución automática y acceso a información sensible.

Nuestro trabajo puede incluir:

  • inventario de herramientas de IA;
  • revisión de permisos y cuentas conectadas;
  • protección endpoint;
  • configuración de firewall;
  • monitorización mediante SIEM;
  • segmentación de entornos de desarrollo;
  • revisión de accesos y credenciales;
  • auditoría de ciberseguridad;
  • definición de políticas de uso seguro.

Una auditoría de ciberseguridad para empresas permite detectar herramientas no controladas, permisos innecesarios y sistemas expuestos antes de que se produzca un incidente.

Si tu empresa utiliza asistentes de programación, automatizaciones o herramientas de IA conectadas a sistemas corporativos, contacta con GHM Soluciones Informáticas desde nuestra página de contacto.

Preguntas frecuentes sobre HalluSquatting

¿Qué es HalluSquatting?

HalluSquatting es una técnica que aprovecha los nombres o direcciones falsas inventados por modelos de inteligencia artificial para dirigir asistentes hacia recursos controlados por atacantes.

¿HalluSquatting puede instalar malware?

Sí. Si el asistente descarga el recurso malicioso y tiene acceso a terminal, el contenido puede intentar ejecutar comandos, instalar programas o abrir una conexión remota.

¿Qué herramientas fueron analizadas?

La investigación evaluó Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot Chat, Cline, OpenClaw, ZeroClaw y NanoClaw.

¿Todos los usuarios de estas herramientas están infectados?

No. El estudio demuestra que el ataque es técnicamente viable. Para que exista una infección, el asistente debe inventar un recurso previamente registrado por el atacante y ejecutar o procesar su contenido.

¿Cómo puede prevenirse HalluSquatting?

Las empresas deben verificar repositorios, limitar permisos, impedir ejecuciones automáticas, aislar entornos, proteger credenciales y monitorizar las acciones de los agentes.

¿La búsqueda web elimina el riesgo?

Puede reducir las alucinaciones, pero no garantiza que el recurso encontrado sea legítimo. La dirección, el propietario y el contenido deben verificarse antes de descargar o ejecutar código.

¿GHM Soluciones puede revisar herramientas de IA?

Sí. GHM Soluciones Informáticas puede revisar herramientas autorizadas, permisos, accesos, endpoints, firewall, monitorización y políticas de uso seguro de inteligencia artificial.