Slopsquatting: la amenaza oculta dentro de las herramientas de codificación de IA
Cuando los asistentes de IA inventan paquetes de software que no existen, los delincuentes registran esos nombres y los llenan de malware. Así es como funciona el ataque y qué pueden hacer los desarrolladores.

Puntos clave
- Slopsquatting es un ataque a la cadena de suministro que explota cómo los asistentes de IA generan nombres de paquetes de software falsos, que los delincuentes luego registran y llenan de código malicioso.
- Un estudio de 576.000 muestras de código generadas por IA encontró que el 19,7% de los paquetes de software recomendados por la IA no existían.
- GPT-4o Turbo, el modelo de OpenAI, generó alucinaciones de nombres de paquetes falsos a una tasa del 3,59%, mientras que los modelos de código abierto alcanzaron tasas superiores al 13%.
- Las vulnerabilidades de software reportadas crecieron a un ritmo del 98% anualmente según investigaciones recientes, casi cuatro veces el crecimiento anual del 25% en el número de paquetes de código abierto.
- Los desarrolladores pueden reducir su riesgo verificando que cada paquete que la IA recomienda exista realmente en un registro oficial antes de instalarlo.
Cada vez que un desarrollador pide a un asistente de IA que escriba software, la IA puede recomendar casualmente un paquete, un conjunto de código precompilado que otros programadores comparten gratuitamente en línea, que simplemente no existe. La IA lo inventó. Eso suena inofensivo hasta que te enteras de que los delincuentes están al acecho precisamente para esto.
El ataque se llama slopsquatting. El nombre combina "AI slop", jerga de internet para designar salida de IA de baja calidad, con "typosquatting", un truco antiguo donde los delincuentes registran nombres de sitios web o paquetes que se parecen al original pero con un error ortográfico deliberado. Slopsquatting va más lejos: el nombre falso nunca fue una variación ortográfica de nada. La IA lo inventó completamente.
Así es como se desarrolla. Un desarrollador pide a su asistente de IA, digamos GitHub Copilot o ChatGPT, que añada una función a su aplicación. La IA escribe código funcional que importa un paquete llamado algo como "cross-env-extended". El desarrollador lo ejecuta. Su computadora obtiene ese paquete de internet e lo instala. Si un delincuente registró ese nombre primero y lo cargó con malware, el desarrollador acaba de entregar las llaves.
Las defensas que existen hoy no cubren esto. Los registros de paquetes, las bibliotecas en línea donde los desarrolladores descargan código, ya bloquean errores ortográficos obvios de paquetes populares. Atraparían "crossenv" como una versión falsa de "cross-env". No tienen manera de marcar "cross-env-extended" porque el nombre suena perfectamente legítimo.
La magnitud del problema es preocupante. Un estudio citado por VentureBeat analizó casi 576.000 muestras de código generadas por IA y encontró que aproximadamente uno de cada cinco nombres de paquetes que la IA recomendó eran fabricaciones. Incluso GPT-4o, el modelo insignia actual de OpenAI, recomendó nombres de paquetes alucinados a una tasa del 3,59% en esas pruebas. Los modelos de código abierto se desempeñaron peor: DeepSeek 1B, el modelo de código abierto de mejor desempeño probado, aún alcanzó el 13,63%, haciendo que las herramientas de IA de código abierto sean aproximadamente cuatro veces más riesgosas en esta medida.
Las alucinaciones no son aleatorias, lo que es lo que las hace peligrosas. Los modelos tienden a inventar los mismos nombres falsos repetidamente. Un delincuente que mapee qué nombres favorecer un modelo popular puede registrar un puñado de paquetes y esperar a que miles de desarrolladores los instalen automáticamente.
¿Qué deberían hacer realmente los desarrolladores?
El paso más simple también es el más efectivo: antes de que tu proyecto instale cualquier paquete que la IA recomiende, búscalo tú mismo en el registro oficial, como npmjs.com para JavaScript o PyPI para Python. Si no está allí, no lo uses.
Los equipos pueden ir más allá configurando verificaciones automatizadas, scripts que comparen cada nombre de paquete en un proyecto contra el registro oficial antes de que el código se implemente. Los equipos de seguridad también deberían rastrear campañas de slopsquatting conocidas de la misma manera que rastrean tendencias de phishing.
Más del 40% del código que los desarrolladores confirman hoy ya incluye asistencia de IA, y esa proporción está aumentando. Cuanto más código escribe la IA sin revisión humana, más se abre la puerta. La solución no es dejar de usar herramientas de IA. Es tratar su salida como un primer borrador que aún necesita una verificación básica.
Una frase de verificación puede cerrar una puerta en la que los delincuentes están empujando activamente.



