6 min de lectura Por Excello Mail Team

Phantom Squatting: Cuando los Chatbots de IA Recomiendan el Dominio Falso de su Marca

Palo Alto Networks Unit 42 descubrió que los modelos de IA alucinan de forma sistemática dominios plausibles pero inexistentes para marcas reales, y los atacantes ya están registrando esos mismos dominios antes que las empresas, creando un canal de phishing que nunca pasa por una bandeja de entrada y que DMARC por sí solo no puede ver.

Investigadores de Unit 42, de Palo Alto Networks, documentaron un patrón de ataque que se salta la bandeja de entrada por completo. Resulta que los modelos de lenguaje son sorprendentemente consistentes al inventar direcciones web que suenan exactamente correctas para una empresa real, pero que nadie ha registrado jamás. Los atacantes empezaron a registrar esas direcciones inventadas primero, y luego esperan a que un asistente de IA recomiende el dominio falso a un usuario real como si fuera el sitio genuino de la empresa. Unit 42 bautizó este patrón como phantom squatting, y la escala que encontraron hace difícil descartarlo como un riesgo teórico.

Un Nuevo Tipo de Squatting

El typosquatting siempre dependió del error humano: un usuario escribe mal una URL y termina en un dominio similar diseñado para capturar ese error. El phantom squatting invierte esa dependencia. En lugar de esperar a que una persona se equivoque al escribir, espera a que un modelo invente algo con total confianza. Unit 42 consultó a dos familias de LLM importantes con 685.339 prompts adversariales que cubrían 913 marcas globales y recopiló 2,1 millones de URLs resultantes. De ellas, 809.455 apuntaban a dominios que simplemente no existen, inventados por completo por el modelo como una respuesta que sonaba plausible. Aproximadamente 250.000 de esos dominios alucinados seguían sin registrar en el momento de la investigación, disponibles para que cualquiera los reclamara, y 13.229 de los que ya estaban registrados fueron marcados como maliciosos por fuentes de inteligencia de amenazas existentes.

Registrado, Convertido en Arma y Entregado por una Voz de Confianza

El hallazgo más llamativo no es que ocurran las alucinaciones, sino que los atacantes las vigilan y actúan rápido. El propio sistema de monitoreo de Unit 42 marcó un dominio alucinado de un servicio postal de comercio electrónico como de alto riesgo 23 días antes de que un atacante lo registrara y construyera un kit de phishing completo, una operación que los investigadores bautizaron Montana Empire, con un clon de marca pixel-perfecto, una calificación fabricada de 4,8 estrellas y una afirmación falsa de dos millones de usuarios, todo envuelto alrededor de la promoción de una aplicación Android maliciosa. En otro caso, un dominio alucinado permaneció marcado durante 51 días antes de ser registrado. Esa ventana, de 18 a 51 días entre que un modelo inventa un dominio y un atacante lo reclama, es el margen con el que cuentan los defensores.

Una vez convertido en arma, el mecanismo de entrega es lo que hace a esto verdaderamente distinto de una campaña de phishing estándar. No hay correo que filtrar, ni adjunto que analizar en sandbox, ni remitente que autenticar. Un usuario, o cada vez más un agente autónomo de IA que actúa en nombre de un usuario, le pide a un asistente la página de inicio de sesión, el portal de soporte o la dirección de pago de un proveedor, y recibe el dominio alucinado como respuesta segura y autoritativa. La recomendación llega envuelta en la credibilidad de una herramienta en la que el usuario ya confía, y nunca tiene que pasar por una puerta de enlace de correo, un filtro de spam ni ningún tipo de verificación de autenticación.

Dónde Queda DMARC en Todo Esto

Vale la pena ser directos: DMARC no tiene nada que decir aquí, y nunca lo iba a tener. DMARC, SPF y DKIM autentican el canal por el que viaja un mensaje, confirmando que el correo que dice venir de su dominio realmente salió de infraestructura que usted autorizó. El phantom squatting no envía correo desde su dominio. En el sentido tradicional, no envía nada en absoluto. Un asistente de IA simplemente afirma una URL como un hecho, y el dominio fabricado hereda una confianza que el atacante nunca tuvo que ganarse con un encabezado From falsificado ni una dirección de remitente parecida.

Lo que esto expone es una brecha que existe junto a la autenticación de correo, no dentro de ella. La misma disciplina de protección de marca de la que depende la aplicación de DMARC, conocer cada dominio y subdominio asociado a su nombre, monitorear registros que imiten su marca y cerrar brechas antes de que un atacante las encuentre, ahora tiene que extenderse más allá de los dominios que un humano podría escribir mal y llegar hasta los dominios que un modelo podría inventar. Una empresa puede tener DMARC en aplicación total en cada dominio que posee y aun así perder un cliente ante un dominio que nunca registró, recomendado por un chatbot en el que el cliente confiaba más que en un resultado de búsqueda.

Qué Pueden Hacer Realmente los Defensores

Consulte a los modelos usted mismo antes de que lo haga un atacante. Pregunte a los principales asistentes de IA cuál es su página de inicio de sesión, su portal de soporte y su dirección de pago, repetidamente y desde distintos ángulos. Los dominios que alucinan hoy son los más propensos a convertirse en arma contra usted dentro de la ventana de 18 a 51 días que documentó Unit 42. Registrar los que importan cierra esa ventana antes de que se abra.

Incorpore las variantes alucinadas a sus herramientas existentes de vigilancia de dominios. La mayoría de las plataformas de protección de marca y DMARC ya monitorean registros similares construidos con patrones de typosquatting. Añada las cadenas alucinadas por IA a esa misma lista de vigilancia para que un nuevo registro dispare la misma alerta que dispararía un typosquat.

Mantenga BIMI y su marca verificada actualizados en cada dominio que sí controla. Esto no impedirá que exista un dominio alucinado, pero le da a sus dominios legítimos una señal visual en la bandeja de entrada que un impostor recién registrado no puede replicar fácilmente, reforzando cuál dominio es realmente el suyo en cada canal que aún pasa por el correo electrónico.

Trate la salida de las herramientas de IA como una recomendación de terceros no confiable, también dentro de su propia organización. Los empleados que usan asistentes de IA para encontrar portales de proveedores o páginas de pago de socios están expuestos al mismo riesgo de alucinación que los clientes. Un hábito rápido de verificación, comparar una URL con una dirección guardada o confirmada previamente antes de introducir credenciales o datos de pago, neutraliza todo el ataque sin importar qué marca sea alucinada.

La Conclusión

El phantom squatting es un recordatorio de que la defensa contra la suplantación de marca ya no puede detenerse en los límites del correo electrónico. DMARC, SPF y DKIM siguen siendo esenciales para el canal que fueron diseñados a proteger, y la aplicación total debe seguir siendo la base en cada dominio que posee una empresa. Pero los atacantes encontraron una vía de entrega que nunca pide permiso a ninguno de esos protocolos, porque nunca los toca. Cerrar esa brecha significa vigilar lo que los modelos dicen sobre su marca con la misma disciplina que ya aplica para vigilar lo que el correo dice venir de ella.


Una aplicación sólida de DMARC sigue siendo la base sobre la que se construye cualquier otra capa de protección de marca, cerrando la puerta al correo falsificado mientras su equipo vigila los canales nuevos que los atacantes están explorando. Regístrese gratis en Excello Mail para obtener visibilidad y aplicación completas en cada dominio y subdominio que posee.