Fuentes
- Ars Technica AI
Únete a la comunidad
Crea tu cuenta gratuita de Charmloop: sin tarjeta y sin límites para explorar. Empieza a crear arte con IA en minutos.

Crea tu cuenta gratuita de Charmloop: sin tarjeta y sin límites para explorar. Empieza a crear arte con IA en minutos.
Investigadores de seguridad han demostrado una técnica llamada HalluSquatting que convierte las alucinaciones de la IA en una cadena de producción para construir botnets — y nueve de las herramientas de IA más utilizadas son susceptibles, según un reportaje de Ars Technica.
La mecánica es sencilla, y eso es precisamente lo que la hace peligrosa. Cuando un LLM no conoce el nombre exacto de una biblioteca de software o herramienta, no guarda silencio — genera una respuesta que suena plausible. Los atacantes monitorizan estos nombres de paquetes alucinados, los registran en repositorios públicos como PyPI o npm antes de que ningún paquete legítimo los reclame, y luego cargan esos paquetes con malware. Cualquiera que le pregunte a un asistente de IA «¿cómo instalo X?» y siga el resultado al pie de la letra se convierte en un posible punto de entrada.
El término «squatting» proviene del typosquatting, la práctica más antigua de registrar nombres de dominio casi idénticos para capturar URLs mal escritas. HalluSquatting es la misma idea aplicada a las salidas de la IA a escala — excepto que la IA genera los errores tipográficos automáticamente, y de forma consistente, en millones de consultas.
Los investigadores probaron nueve herramientas de IA prominentes y descubrieron que todas ellas, bajo las condiciones de prompting adecuadas, recomendarían paquetes que no existen. Las plataformas específicas no fueron todas nombradas en la cobertura inicial, pero la amplitud — nueve herramientas — indica que esto no es una peculiaridad de un modelo mal ajustado. Es una propiedad estructural de cómo los LLM gestionan la incertidumbre.
Para los creadores de arte con IA, la exposición inmediata no está en la generación de imágenes en sí — está en la cadena de herramientas circundante. Los flujos de trabajo construidos en torno a Stable Diffusion, ComfyUI, automatic1111 o pipelines personalizados de ControlNet a menudo requieren instalar paquetes de Python, extensiones y nodos. Cuando los creadores se encuentran con un problema de configuración y piden ayuda a un asistente de programación con IA, están de lleno en territorio HalluSquatting.
Un creador que soluciona problemas con un nodo personalizado de ComfyUI o que intenta instalar una nueva dependencia de entrenamiento de LoRA mediante pip es exactamente el usuario al que apunta este ataque. El asistente de IA suena autoritativo. El nombre del paquete parece legítimo. El comando de instalación es sintácticamente correcto. El malware se ejecuta en silencio.
El mismo riesgo se aplica a cualquiera que use herramientas de IA para estructurar scripts de automatización para generación por lotes, integraciones de API o pipelines de fine-tuning de modelos — todo ello habitual en flujos de trabajo serios de arte con IA.
Los consejos estándar — mantener el software actualizado, no descargar de fuentes desconocidas — no se aplican limpiamente a esta amenaza. La fuente aquí es una herramienta de IA de confianza que el usuario ha elegido deliberadamente. El repositorio de paquetes (PyPI, npm) es el mismo que usa el software legítimo. No hay ninguna señal de alarma obvia en el momento de la instalación.
La única defensa fiable es verificar de forma independiente cada nombre de paquete antes de ejecutar un comando de instalación: consultar la documentación oficial de la biblioteca, confirmar que el paquete existe en el repositorio antes de instalarlo, y revisar los recuentos de descargas y las fechas de publicación como comprobación básica. Un paquete con 12 descargas publicado el martes pasado es una señal de advertencia independientemente de con qué confianza lo haya recomendado una IA.
No existe ninguna actualización de modelo que cierre completamente esta brecha. La alucinación es una propiedad probabilística de las arquitecturas actuales de LLM, no un error con un parche conocido. Anthropic, OpenAI y otros han avanzado en la reducción de las tasas de alucinación, pero «reducida» no es «eliminada» — y los atacantes solo necesitan que el modelo se equivoque una vez.
Para los creadores que construyen pipelines locales complejos, tratar las instrucciones de instalación generadas por IA como un punto de partida a verificar en lugar de una respuesta definitiva es ahora un hábito de seguridad práctico, no solo una precaución teórica.