El vishing de passkeys y los ataques con “HalluSquatting” elevan el riesgo para la seguridad de identidades
El 8 de julio de 2026, varias alertas de ciberseguridad destacaron un panorama de amenazas en rápida evolución para identidades y para la cadena de suministro de software. Un informe describe a un actor de amenazas que usa “vishing” basado en llamadas de voz para atacar a usuarios de Microsoft 365 con solicitudes de seguridad falsas que empujan a las víctimas a inscribir un nuevo passkey de Entra. El esquema está diseñado para parecer una protección legítima de la cuenta, mientras obliga a los usuarios a completar un paso de autenticación que beneficia al atacante. En paralelo, una nueva investigación, bautizada “HalluSquatting”, muestra cómo se puede manipular a los asistentes de programación con IA explotando su tendencia a inventar nombres de proyectos plausibles pero inexistentes. Los investigadores demuestran que los atacantes pueden identificar de forma fiable los nombres falsos que la IA aceptará y, a partir de ahí, convertir ese comportamiento en un mecanismo para orientar a los desarrolladores a instalar malware de botnets. Estratégicamente, estos incidentes convergen en el mismo eslabón débil: la confianza en los flujos de trabajo de identidad y en los procesos automatizados de generación de software. Los passkeys y los sistemas de identidad modernos están pensados para reducir el phishing, pero el vishing aún puede eludir el juicio humano al imitar al personal de seguridad y solicitar acciones de alto privilegio como la inscripción de un passkey. Esto otorga una ventaja operativa nueva a los grupos criminales, porque ataca el momento de “anclaje” de credenciales en lugar de limitarse al robo de contraseñas. Mientras tanto, HalluSquatting ataca la cadena de herramientas del desarrollador, transformando las “alucinaciones” en un mecanismo de entrega que puede escalar entre organizaciones que adoptan asistentes de programación con IA. El resultado neto es una carrera: los atacantes perfeccionan la ingeniería social y la decepción basada en prompts, mientras que los defensores deben endurecer las rutas de inscripción de identidad y reforzar los controles de procedencia del software. Las implicaciones de mercado y económicas probablemente se concentren en el gasto de ciberseguridad para identidad y endpoints, en el riesgo para la productividad en la nube y en la seguridad de la cadena de suministro de software. Microsoft 365 y Entra ID aparecen directamente implicados, lo que puede traducirse en mayor demanda de gobernanza de MFA/passkeys, controles de verificación para centros de llamadas y helpdesk, y monitoreo de seguridad vinculado a eventos de autenticación. Para los inversores, los beneficiarios más visibles suelen ser los proveedores de detección de amenazas de identidad, gestión de accesos privilegiados y herramientas de cadena de suministro de software segura, mientras que las aseguradoras podrían reajustar el precio del riesgo cibernético para clientes con exposición elevada a toma de cuentas. Aunque no hay referencias explícitas a materias primas o divisas, la dirección es clara: deberían subir las primas de riesgo cibernético en los sectores afectados y aumentar los presupuestos de respuesta a incidentes y remediación a medida que las empresas reaccionan ante el fraude de identidad y la entrega de malware asistida por IA. La magnitud probable es moderada a corto plazo—impulsada por la mayor conciencia y los despliegues de controles—pero podría volverse severa si estas técnicas se expanden a campañas de gran escala. Lo siguiente a vigilar es si estas tácticas pasan de reportes aislados a campañas repetibles y de alto volumen contra configuraciones comunes en empresas. Para la defensa de identidad, los indicadores clave incluyen picos en intentos de inscripción de passkeys, interacciones inusuales impulsadas por llamadas de voz y eventos de autenticación que se correlacionen con prompts tipo helpdesk en lugar de flujos iniciados por el usuario. En el frente de la cadena de suministro con IA, hay que monitorear patrones de instalación de dependencias vinculadas a nombres de paquetes inexistentes o recién creados, y la aparición de firmas de malware relacionadas con botnets en entornos de desarrollo. Los puntos de activación incluyen cualquier aviso público de plataformas importantes sobre abuso de la inscripción de passkeys de Entra, y evidencia de que las técnicas de HalluSquatting se están operacionalizando por actores de amenazas en lugar de quedarse en el ámbito académico. En los próximos días a semanas, el riesgo de escalada dependerá de si los atacantes pueden automatizar tanto la ingeniería social como los pasos de “prompting” con IA para reducir el esfuerzo por víctima.
Implicaciones Geopolíticas
- 01
Identity systems (passkeys, Entra) are becoming a strategic cyber battleground where social engineering can still defeat “phishing-resistant” designs.
- 02
AI-assisted software development expands the attack surface by making deception and supply-chain manipulation easier to scale across organizations.
- 03
Regulatory and financial-sector warnings (e.g., Bafin) suggest heightened compliance scrutiny for identity fraud and digital trust failures.
Señales Clave
- —Increase in passkey enrollment attempts initiated after voice calls or helpdesk-like prompts
- —Security advisories from major identity/cloud providers about passkey enrollment abuse patterns
- —Developer-environment telemetry showing installs of suspicious or nonexistent packages referenced by AI tools
- —Emergence of botnet malware campaigns explicitly tied to AI-generated dependency names
Temas y Palabras Clave
Inteligencia Relacionada
Acceso Completo
Desbloquea el Acceso Completo de Inteligencia
Alertas en tiempo real, evaluaciones detalladas de amenazas, redes de entidades, correlaciones de mercado, briefings con IA y mapas interactivos.