Phantom Squatting: El nuevo riesgo de phishing
Resumen rápido
Un nuevo tipo de ataque utiliza dominios generados por inteligencia artificial para realizar phishing y distribuir malware. Los atacantes compran estos dominios antes de que otros lo hagan y los utilizan para alojar páginas de phishing.
'Phantom squatting': cuando la IA inventa un dominio y el atacante lo registra por ti
Los chatbots y asistentes de búsqueda con IA se han convertido, sin quererlo, en cómplices de una nueva forma de phishing. Investigadores de Unit 42 (Palo Alto Networks) han bautizado como phantom squatting la técnica de registrar los dominios que los modelos de lenguaje alucinan al recomendar webs oficiales de marcas conocidas.
El problema
El equipo lanzó 685.339 preguntas sobre 913 marcas a varios asistentes de IA, pidiéndoles la URL oficial de cada empresa. Los modelos devolvieron más de 2,1 millones de enlaces, de los cuales 13.229 resultaron maliciosos y alrededor de 250.000 apuntaban a dominios que ni siquiera existían todavía: nombres verosímiles que el modelo se inventó por analogía (por ejemplo, añadiendo -support, -login o cambiando el TLD).
Aquí está el giro peligroso: un atacante solo tiene que preguntar a la misma IA, anotar los dominios inventados que más se repiten y registrarlos antes que nadie. Cuando el siguiente usuario reciba esa recomendación alucinada, aterrizará en una web bajo control del atacante. Unit 42 documentó el kit de phishing "Montana Empire", que combinaba páginas de login clonadas con un bot de Telegram para interceptar códigos OTP en tiempo real, derrotando el segundo factor.
El fenómeno es primo del slopsquatting en cadenas de suministro de software —donde los atacantes publican paquetes con los nombres que la IA alucina al sugerir dependencias— y de campañas como PhantomRaven, que coló 126 paquetes npm maliciosos con más de 86.000 instalaciones.
Recomendaciones inmediatas
- No confíes en URLs generadas por IA: verifica siempre el dominio oficial escribiéndolo a mano o desde un marcador guardado.
- Refuerza DMARC, SPF y DKIM y monitoriza registros de dominios lookalike de tu marca.
- Vigila el acceso a dominios recién registrados (NRD) desde la red corporativa; son el vector preferido de estas campañas.
- Forma a los usuarios: un enlace sugerido por un chatbot no es una fuente de confianza.
¿Estás cubierto en DefensOps?
DefensOps aborda el phantom squatting por su parte más detectable: el tráfico hacia el dominio malicioso.
- T1566 / T1566.002 – Phishing mediante enlace: la correlación con feeds de inteligencia identifica accesos a dominios recién registrados o de baja reputación (URLhaus, OpenPhish, PhishTank forman parte del catálogo nativo de DefensOps), incluso cuando la víctima llegó desde una recomendación de IA. Disponible desde el plan Essential.
- T1583.001 – Registro de infraestructura: los dominios lookalike de tu marca se cruzan con la telemetría DNS para alertar de suplantaciones.
- T1656 – Suplantación de identidad: en el plan Advanced, el motor de correlación enlaza el acceso al dominio falso con la posterior captura de credenciales/OTP, elevando el incidente antes de que se complete el fraude.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Hacker News · Unit 42 – Palo Alto Networks
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1566, T1566.002, T1583.001, T1656
- Acceso a dominio recién registrado o de baja reputación · T1566.002 · plan Essential
- Suplantación de marca en tráfico web y correo · T1656 · plan Advanced
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.