La amenaza del slopsquatting en la era de los asistentes de programación con Inteligencia Artificial

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Un análisis realizado por la unidad de investigación de SILIKN, ha confirmado el surgimiento de una nueva amenaza en el ámbito de la programación con inteligencia artificial, conocida como slopsquatting. Este tipo de ataque representa un riesgo creciente, especialmente ante el auge de asistentes de IA como Claude Code CLI, OpenAI Codex CLI y Cursor AI, herramientas ampliamente utilizadas por desarrolladores para generar código y gestionar dependencias de forma automatizada.

A diferencia de los ataques de typosquatting (también conocido como URL hijacking o secuestro por error tipográfico, es una técnica en la que un atacante registra nombres de dominio, paquetes o bibliotecas con nombres muy similares a los originales, con la intención de engañar al usuario para que use el recurso falso por error), el slopsquatting explota las llamadas alucinaciones generadas por las propias herramientas de inteligencia artificial. Estas pueden sugerir nombres de bibliotecas que suenan realistas pero que no existen. Debido a que estas recomendaciones parecen coherentes dentro del flujo de trabajo, los desarrolladores suelen integrarlas sin verificación manual, especialmente durante fases de prototipado rápido o en entornos de programación acelerada, conocidos como vibe coding.

De esta forma, los atacantes preregistran dependencias falsas en repositorios públicos como PyPI y posteriormente incorporan código malicioso en estas. Si un desarrollador instala alguna de estas dependencias siguiendo las sugerencias de herramientas de IA sin realizar una verificación previa, el malware puede infiltrarse en su sistema.

Incluso los sistemas que cuentan con mecanismos de verificación en línea pueden verse afectados por este tipo de errores. Diversas pruebas realizadas en tareas relacionadas con el desarrollo web revelaron que los modelos de lenguaje extensos suelen generar entre dos y cuatro paquetes inexistentes por sesión, especialmente cuando se enfrentan a consultas complejas. Aunque los modelos mejorados con lógica avanzada presentan una reducción en estos errores, la mejora es de solo la mitad y no se observa de manera consistente en todos los casos.

Por ejemplo, Cursor AI, que emplea servidores basados en el Protocolo de Contexto de Modelo (MCP) para validar en tiempo real, mostró la tasa más baja de dependencias falsas. No obstante, también presentó fallos en casos donde los nombres se solapaban entre diferentes ecosistemas o cuando se manipulaban morfemas a nivel sintáctico. Estas fallas puntuales generan vulnerabilidades que los atacantes pueden aprovechar.

Las medidas de seguridad tradicionales, como verificar si un paquete está registrado, no garantizan una protección efectiva. Los atacantes pueden anticiparse y registrar nombres de paquetes legítimos, desarrollando bibliotecas que parecen auténticas pero que contienen código malicioso. Por ello, enfrentar el slopsquatting demanda una estrategia de seguridad integral y más robusta.

Se aconseja a las organizaciones adoptar SBOMs (Listas de Materiales de Software) firmadas criptográficamente para poder rastrear el origen de todas las dependencias utilizadas. La integración de herramientas de análisis de vulnerabilidades, como OWASP dep-scan, dentro de los pipelines de CI/CD facilita la detección temprana de posibles amenazas antes de la puesta en producción.

Asimismo, la instalación de nuevas dependencias debe realizarse en entornos aislados, como contenedores Docker o máquinas virtuales temporales, con acceso restringido a recursos externos. Esto permite evaluar el código en un entorno controlado sin poner en riesgo la infraestructura principal.

Otras prácticas recomendadas incluyen la revisión manual de dependencias desconocidas, la validación en varias capas de las sugerencias generadas por IA, la supervisión activa de la ejecución de código, el uso de imágenes base de contenedores inmutables y el registro detallado de todas las acciones realizadas en el sistema.

Los asistentes de inteligencia artificial continúan siendo herramientas muy útiles, pero debido a su propensión a producir información incorrecta, es necesario mantener una supervisión constante. La integración de tecnología avanzada, políticas rigurosas y la intervención humana puede reducir significativamente los riesgos y evitar errores importantes en los procesos de desarrollo.

Para más información, visite: https://www.silikn.com/