La inteligencia artificial ha pasado en apenas unos años de ser una tecnología experimental a convertirse en una herramienta cotidiana para millones de personas. Cada vez son más quienes recurren a ChatGPT y a otros asistentes de IA para buscar información, resolver dudas, localizar páginas web o incluso tomar decisiones en el trabajo.

Sin embargo, esa creciente confianza también está llamando la atención de los ciberdelincuentes. Los expertos en ciberseguridad han detectado una nueva técnica que aprovecha uno de los errores más conocidos de los modelos de inteligencia artificial: las llamadas "alucinaciones". Es decir, respuestas que parecen totalmente convincentes, pero que contienen información incorrecta o inventada. En este caso, el problema afecta a las direcciones web.

Qué es el phantom squatting

La firma de ciberseguridad Unit 42, perteneciente a Palo Alto Networks, ha identificado una técnica conocida como phantom squatting. Su funcionamiento es relativamente sencillo.

En ocasiones, modelos como ChatGPT u otros asistentes de IA generan direcciones de Internet que parecen legítimas, pero que en realidad nunca han existido. Los hackers monitorizan esos dominios ficticios, los registran antes que nadie y crean páginas web fraudulentas que imitan a empresas, servicios o plataformas conocidas.

Si otro usuario recibe posteriormente ese mismo enlace generado por la inteligencia artificial y hace clic, puede terminar introduciendo sus credenciales en una página falsa, descargar malware o facilitar información confidencial creyendo que está accediendo a un sitio legítimo.

Se trata, en la práctica, de una evolución del phishing tradicional, pero utilizando los errores de la inteligencia artificial como puerta de entrada.

Una amenaza que ya está documentada

Los investigadores de Unit 42 han analizado más de dos millones de enlaces generados por diferentes modelos de inteligencia artificial para evaluar la magnitud del problema.

Durante el estudio han detectado miles de direcciones asociadas posteriormente a actividades maliciosas y cerca de 250.000 dominios inexistentes que todavía podían ser registrados por atacantes.

Los investigadores también han documentado varios casos reales en los que esos dominios han acabado siendo utilizados para alojar páginas fraudulentas destinadas al robo de credenciales o a la distribución de software malicioso.

El estudio demuestra que este riesgo ya no pertenece al terreno de la teoría, sino que forma parte de las nuevas técnicas empleadas por los ciberdelincuentes para explotar la popularidad de la inteligencia artificial.

El riesgo para empresas y usuarios

Cada vez más empresas utilizan asistentes de IA para acelerar búsquedas, localizar documentación técnica, encontrar herramientas o automatizar procesos internos. Si uno de esos sistemas recomienda una dirección web inexistente que posteriormente ha sido registrada por un atacante, las consecuencias pueden ser importantes.

Un simple clic puede derivar en el robo de credenciales corporativas, filtraciones de información confidencial, infecciones por malware o incluso ataques de ransomware con un elevado impacto económico.

Para los usuarios particulares, el riesgo también esta ahí. Una página falsa puede solicitar datos bancarios, contraseñas o información personal con una apariencia prácticamente idéntica a la de un servicio legítimo.

Cómo evitar caer en este tipo de fraude

Los especialistas recomiendan mantener el mismo nivel de precaución que ya se aplica frente a los correos electrónicos sospechosos o los mensajes de phishing.

Antes de acceder a cualquier página recomendada por una inteligencia artificial conviene comprobar que el dominio existe realmente, revisar cuidadosamente la dirección web y confirmar que pertenece a la empresa u organización oficial.

También es recomendable escribir manualmente la dirección en el navegador cuando se trate de servicios sensibles, como entidades bancarias o plataformas donde se almacena información personal.

La inteligencia artificial continúa siendo una herramienta extraordinariamente útil y productiva, pero no es infalible. Como recuerdan los expertos en ciberseguridad, la rapidez y la comodidad nunca deben sustituir al pensamiento crítico. En un entorno cada vez más digital, verificar una dirección web antes de hacer clic puede marcar la diferencia entre una simple consulta y una estafa.