HalluSquatting: una IA puede inventar una herramienta falsa e instalar malware en Cursor, Copilot y Gemini

Investigadores de Tel Aviv, Technion e Intuit descubren un ataque que aprovecha alucinaciones de asistentes de programación para empujarles a descargar código malicioso.

12 de julio de 2026 a las 11:07h
HalluSquatting: una IA puede inventar una herramienta falsa e instalar malware en Cursor, Copilot y Gemini
HalluSquatting: una IA puede inventar una herramienta falsa e instalar malware en Cursor, Copilot y Gemini

Añadir Mangas Verdes como fuente preferida de Google de forma gratuita.

Mantente informado con las últimas noticias de actualidad.

Activar ahora

Una IA puede inventarse una herramienta que no existe y, aun así, instalarla en tu ordenador.

A eso lo han llamado HalluSquatting, un método de ataque descubierto por un equipo de la Universidad de Tel Aviv, el Technion e Intuit. La clave está en combinar las alucinaciones de los asistentes de programación con la inyección de comandos para empujarles a descargar código malicioso.

El error no fue casual y llegó a repetirse hasta el 100 %

Durante las pruebas, los investigadores vieron algo incómodo para cualquiera que use estos sistemas a diario. Distintos asistentes llegaron a inventarse exactamente el mismo nombre erróneo hasta en un 100 % de los casos cuando recibían la misma consulta sobre una herramienta reciente.

Ahí cambia por completo la naturaleza del fallo. No hablamos de una confusión aislada, sino de una respuesta repetible que un atacante puede anticipar, igual que quien detecta una puerta que siempre queda mal cerrada.

El procedimiento tiene varios pasos y todos aprovechan una costumbre cada vez más extendida en el desarrollo asistido por IA. El atacante identifica el nombre falso que el sistema repite con más frecuencia, lo registra en GitHub o en una tienda de complementos y añade dentro el código malicioso. Cuando el usuario pide instalar esa supuesta herramienta, el asistente sugiere precisamente ese nombre y usa sus permisos de ejecución para llevar el malware al equipo.

Los asistentes ejecutaron la trampa dentro del flujo normal de trabajo

El experimento funcionó en Cursor, Windsurf, GitHub Copilot, Cline y la línea de comandos de Gemini de Google.

Eso vuelve el problema especialmente delicado porque el ataque no necesita romper el comportamiento habitual del asistente. Le basta con aprovechar una recomendación que parece normal dentro de un entorno donde la IA ya no solo sugiere código, sino que también ejecuta comandos en terminal.

Hay una paradoja difícil de pasar por alto. Cuanta más autonomía gana la herramienta para ahorrar tiempo, más valor tienen sus errores cuando dejan de ser simples errores y se convierten en instrucciones con permisos reales sobre el sistema.

La defensa empieza por desconfiar de las sugerencias automáticas

Los investigadores ya han avisado a las empresas afectadas para que refuercen la seguridad de sus asistentes. Entre las medidas recomendadas figuran desactivar el modo sin supervisión, evitar la ejecución automática, verificar manualmente las fuentes y tratar cada sugerencia de la IA como una hipótesis.

No es una receta cómoda, pero sí bastante clara. La protección pasa por devolver al usuario la comprobación manual de lo que la máquina propone, una idea que encaja con otras revisiones de seguridad para asistentes cuando el software actúa con acceso directo a archivos, plugins o terminal.

Al final, el detalle más inquietante no es que una IA alucine, porque eso ya era conocido. Lo inquietante es que esa alucinación pueda adoptar la forma de un paquete con nombre plausible, colarse en GitHub y entrar en un ordenador con permisos concedidos por el propio asistente.

Sobre el autor
Redacción
Ver biografía