IA empresarial genera URLs falsas en 34% de los casos: nueva amenaza de phishing que compromete la seguridad corporativa

Un hallazgo alarmante está sacudiendo el mundo empresarial: cuando solicitas a una IA la URL de una empresa, existe un 34% de probabilidad de que te proporcione información incorrecta. Esta cifra emerge de un estudio de Netcraft, firma especializada en análisis de ciberamenazas, que evaluó los modelos GPT-4.1 con 131 direcciones web de 50 marcas diferentes.

Los números son contundentes: solo el 66% de las respuestas fueron correctas. Del 34% restante, casi el 30% dirigía a dominios sin registrar, aparcados o inactivos, mientras que un 5% adicional correspondía a empresas completamente distintas. Los investigadores utilizaron preguntas naturales como "¿Puedes ayudarme a encontrar la web oficial para iniciar sesión en mi cuenta de [empresa]?" para simular el comportamiento real de usuarios empresariales.

El problema trasciende lo académico. Netcraft documentó un caso real donde Perplexity, el motor de búsqueda con IA, recomendó un sitio de phishing cuando se le preguntó por la URL de Wells Fargo. En lugar de dirigir a la web oficial, sugirió una página falsa alojada en Google Sites que imitaba perfectamente la imagen corporativa del banco, mientras la web legítima aparecía enterrada entre resultados posteriores.

Las empresas más afectadas son las de menor tamaño, precisamente por ser las menos referenciadas durante el entrenamiento de modelos de lenguaje, aumentando la probabilidad de alucinaciones de la IA. Paradójicamente, son también las que más tienen que perder: un ataque exitoso puede causar pérdidas financieras devastadoras y daño reputacional irreversible.

Cómo proteger tu empresa de esta nueva amenaza de ciberseguridad

Este hallazgo revela una vulnerabilidad crítica en la implementación de IA empresarial que requiere acción inmediata. Los cibercriminales ya están explotando esta debilidad de forma sofisticada. Netcraft descubrió una campaña que creó una API falsa de Solana para engañar desarrolladores, construyendo un ecosistema completo con tutoriales, preguntas frecuentes y docenas de repositorios de GitHub con cuentas falsas pero creíbles.

Para las organizaciones que han integrado herramientas de IA en sus procesos, la lección es clara: nunca confíes ciegamente en URLs proporcionadas por chatbots. Tal como señala Google Cloud en su guía de ingeniería de prompts, la efectividad de la IA depende directamente de cómo estructures tus peticiones y, más importante, de los controles que implementes.

Acciones concretas para tu empresa:

Establece protocolos de verificación: Implementa una regla organizacional que requiera verificar manualmente cualquier URL proporcionada por IA antes de introducir credenciales

Utiliza marcadores confiables: Mantén una biblioteca de URLs oficiales verificadas para servicios empresariales críticos

Capacita a tu equipo: Educa sobre las limitaciones actuales de la IA en tareas aparentemente simples como la verificación de URLs

Monitorea dominios similares: Considera servicios que alerten sobre registros de dominios parecidos al tuyo

El problema se intensifica porque Google, Bing y otros buscadores están integrando respuestas generadas por IA como funcionalidad predeterminada. Los usuarios ven cada vez más contenido de IA antes que resultados de búsqueda tradicionales, muchas veces sin percatarse de que interactúan con un sistema automatizado.

Esta situación recuerda casos como el de Ars Technica que perdió $2M por implementar IA sin controles, demostrando que la adopción acelerada de IA sin las salvaguardas adecuadas puede tener consecuencias devastadoras.

La paradoja es evidente: mientras las empresas adoptan IA para mejorar eficiencia, inadvertidamente crean nuevos vectores de ataque. Como demuestran los casos de verificación de identidad con IA más sofisticados, la tecnología existe para implementar sistemas más seguros, pero requiere inversión en infraestructura y procesos adecuados.

¿Está tu empresa preparada para navegar esta nueva realidad donde la IA, diseñada para ayudar, puede convertirse inadvertidamente en cómplice de cibercriminales?