Más de 13.000 direcciones web fraudulentas fueron detectadas como recomendaciones activas por sistemas de inteligencia artificial como ChatGPT, según un informe de Unit 42, la división de inteligencia de amenazas de Palo Alto Networks. La técnica, denominada phantom squatting, convierte las conocidas ‘alucinaciones’ de la IA en un embudo automático para estafas de phishing que ya está causando pérdidas millonarias a marcas y usuarios.
Claves de la operación
- El 13% de las URL generadas por modelos de IA son dominios fantasma. El análisis de 2,1 millones de enlaces producidos por distintas IAs muestra que entre el 3% y el 13% corresponden a sitios que ni existen ni han existido nunca.
- Los ciberdelincuentes registran esos dominios y crean réplicas exactas de webs legítimas. El kit Montana Empire, identificado por Unit 42, automatiza la detección de direcciones alucinadas y las convierte en portales de robo de credenciales, datos bancarios y documentos de identidad.
- Las marcas globales y el gasto en ciberseguridad se disparan. Además de las pérdidas directas para los consumidores, las empresas de e-commerce sufren un daño reputacional que obliga a reforzar sus presupuestos de seguridad digital.
El ‘phantom squatting’: cómo los errores de la IA se convierten en un ejército de estafadores
Hablamos de alucinaciones cuando una IA, al no disponer de datos reales, genera una respuesta plausible pero inventada. Unit 42 ya había advertido en abril pasado que entre el 3% y el 13% de todas las URL propuestas por los modelos de lenguaje son ficticias, un agujero que los atacantes han empezado a explotar de forma industrial. El proceso es sencillo: los delincuentes ‘interrogan’ repetidamente a ChatGPT o a herramientas similares sobre marcas conocidas —como un servicio postal nacional o su tienda online— y recopilan los enlaces que la IA genera, muchos de los cuales no existen.
Esos dominios fantasma se registran por muy poco dinero y, en cuestión de horas, se levanta sobre ellos una infraestructura de fraude profesional. El kit Montana Empire analizado por Unit 42 es el caso más ilustrativo: los atacantes consiguen que la IA vuelva a recomendar sus propias trampas tiempo después, creando un canal de víctimas constante sin necesidad de campañas de correo masivo. La víctima hace clic en un enlace que considera seguro porque procede de un asistente de IA, y entrega datos sensibles sin desconfiar.
El informe evaluó 913 marcas globales y generó más de 2,1 millones de direcciones con distintos modelos. El resultado fue demoledor: 250.000 dominios fantasma y 13.000 URL activamente maliciosas ya estaban siendo recomendadas por las IAs consultadas.
Pero el daño no termina en la cuenta corriente del usuario: las marcas también están en el punto de mira.
La IA generativa ha abierto un embudo de captación de víctimas casi automático y gratuito para los estafadores, y las empresas están aún lejos de cerrarlo.
Reputación y ciberseguridad: las empresas pagan el pato de los ‘okupas digitales’
El impacto va mucho más allá del robo de credenciales. Cuando un usuario cree estar comprando en Amazon o en la web de su banco pero en realidad está facilitando sus datos a una réplica gestionada por hackers, la confianza en el comercio electrónico se resiente inmediatamente. El daño reputacional para las marcas legítimas es inmediato, y la reconstrucción de esa confianza cuesta tiempo y dinero. No es solo un problema de seguridad: es un problema de negocio.
Además, esta nueva técnica añade presión sobre los presupuestos de ciberseguridad de las organizaciones. Unit 42 recomienda monitorizar proactivamente los dominios que generan las IAs que se utilizan internamente implementar verificaciones adicionales antes de que agentes automáticos accedan a enlaces y realizar evaluaciones específicas para entornos con inteligencia artificial. Todo ello eleva el gasto operativo y obliga a las empresas a incluir la IA en sus mapas de riesgo, un capítulo que hasta ahora muchas tenían pendiente.

Análisis Merca2: ¿está preparada España para esta amenaza invisible?
En nuestro país, el tejido empresarial ya ha sufrido ciberataques de gran calado. El incidente de Santander en 2024, con la exposición de datos de más de un millón de clientes, dejó claro que la ciberseguridad no es un lujo opcional para las grandes corporaciones españolas. Ahora, la amenaza se sofistica: los atacantes no necesitan romper las defensas de un banco; simplemente se cuelan por un agujero de la inteligencia artificial que el propio banco podría estar recomendando a sus clientes.
Las consecuencias regulatorias aún están por definirse. La Agencia Española de Protección de Datos tendrá que aclarar cómo se reparten las responsabilidades cuando una IA recomienda un enlace falso que roba datos. ¿Es responsable el proveedor de la IA, la marca suplantada o el usuario que hizo clic? La legislación europea, con la reciente AI Act, abre la puerta a sanciones para las plataformas que no controlen los riesgos de sus modelos. Pero la velocidad de los ciberdelincuentes supera con creces la de los legisladores. El verdadero desafío para las empresas españolas no es si serán atacadas —ya lo están siendo—, sino si podrán detectar y neutralizar estos ‘okupas digitales’ antes de que el daño reputacional sea irreversible. Mientras tanto, la recomendación de los expertos es clara: no confiar ciegamente en ningún enlace, ni siquiera en los que vienen de una inteligencia artificial.




