Un virus sin hacker, un troyano sin código: el slopsquatting se está apoderando del mundo del código de vibración

En el ámbito de la programación asistida por inteligencia artificial, ha surgido una nueva amenaza denominada «slopsquatting». Este ataque se ha vuelto especialmente peligroso en medio del rápido crecimiento en popularidad de los asistentes de IA como Claude Code CLI, OpenAI Codex CLI y Cursor AI, que son ampliamente utilizados por los desarrolladores para la generación automática de código y la selección automática de dependencias.

A diferencia de los ataques conocidos como typosquatting, que se basan en errores tipográficos, el slopsquatting explota las alucinaciones de las propias herramientas de IA. Estos sistemas pueden generar nombres de bibliotecas que suenan realistas pero que no existen —por ejemplo, «starlette-reverse-proxy». Estas sugerencias parecen creíbles y se integran lógicamente en el contexto de trabajo, por lo que los desarrolladores a menudo no las verifican manualmente, especialmente durante la creación rápida de prototipos y la llamada «Vibe Coding».

Los delincuentes registran con antelación estas dependencias ficticias en repositorios públicos como PyPI, y luego insertan código malicioso en ellas. Si un desarrollador ejecuta el comando de instalación sugerido por la IA sin verificación adicional, el software malicioso termina en el sistema.

Incluso los agentes equipados con mecanismos de verificación en línea son susceptibles a estos errores. Pruebas realizadas con un centenar de tareas de desarrollo web mostraron que los grandes modelos de lenguaje generan entre dos y cuatro paquetes inexistentes por sesión, especialmente con solicitudes complejas. Incluso quienes usan modelos lógicos mejorados muestran mejoras solo parciales —y no en todos los casos.

Cursor AI, que utiliza servidores con el Model Context Protocol (MCP) para validación en tiempo real, mostró la menor frecuencia de dependencias falsas. Pero incluso este falló en situaciones donde había préstamos de nombres entre ecosistemas o juegos sintácticos con morfemas. Estos errores puntuales abren brechas que los atacantes aprovechan.

Las medidas de precaución habituales, como verificar la existencia del paquete en el registro, no ofrecen una protección confiable. Los atacantes pueden registrar previamente el nombre deseado y crear una biblioteca visualmente creíble pero maliciosa. Para contrarrestar el slopsquatting, se necesita un enfoque integral de seguridad.

Se recomienda a las organizaciones implementar SBOM (Software Bill of Materials) firmadas criptográficamente, para rastrear el origen de todas las dependencias. Las herramientas de análisis de vulnerabilidades integradas en las canalizaciones CI/CD, como OWASP dep-scan, ayudan a identificar amenazas potenciales antes del despliegue.

Además, la instalación de nuevas dependencias debe realizarse en entornos aislados —como contenedores Docker o máquinas virtuales temporales— con acceso mínimo a recursos externos. Esto permite verificar el código en un entorno sandbox sin poner en riesgo la infraestructura principal.

Las medidas adicionales incluyen la confirmación manual de instalaciones de dependencias desconocidas, la verificación multinivel de las sugerencias generadas por la IA, el monitoreo de la ejecución del código, el uso de imágenes base inmutables para contenedores y el registro sistemático de todas las acciones en los registros de actividad.

Los asistentes de IA siguen siendo una herramienta poderosa, pero su tendencia a generar hechos falsos exige una supervisión constante. La combinación de tecnologías, políticas estrictas y supervisión humana permite minimizar los riesgos y evitar interrupciones graves en el desarrollo.