{"id":928,"date":"2026-05-20T11:30:10","date_gmt":"2026-05-20T11:30:10","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/20\/los-errores-tipograficos-ya-no-son-un-problema-del-usuario-es-un-problema-de-la-cadena-de-suministro-cyberdefensa-mx\/"},"modified":"2026-05-20T11:30:10","modified_gmt":"2026-05-20T11:30:10","slug":"los-errores-tipograficos-ya-no-son-un-problema-del-usuario-es-un-problema-de-la-cadena-de-suministro-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/20\/los-errores-tipograficos-ya-no-son-un-problema-del-usuario-es-un-problema-de-la-cadena-de-suministro-cyberdefensa-mx\/","title":{"rendered":"Los errores tipogr\u00e1ficos ya no son un problema del usuario. Es un problema de la cadena de suministro \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<div class=\"article-board\">\n<p>Los dominios similares generados por IA ahora est\u00e1n integrados dentro de scripts de terceros que se ejecutan en sus propiedades web. He aqu\u00ed por qu\u00e9 su pila actual no puede verlos y qu\u00e9 requiere realmente la detecci\u00f3n.<\/p>\n<p><a href=\"https:\/\/www.reflectiz.com\/learning-hub\/ai-typosquatting-guide\/\">Descargue la Gu\u00eda de expertos de CISO sobre Typosquatting en la era de la IA \u2192<\/a><\/p>\n<\/div>\n<h2><b>TL;DR <\/b><\/h2>\n<ul>\n<li>Typosquatting ya no es un problema de usuario. Los atacantes ahora incorporan dominios similares dentro de scripts leg\u00edtimos de terceros. No se requiere una URL mal escrita ni una vulneraci\u00f3n del servidor.<\/li>\n<li>La IA rompi\u00f3 la econom\u00eda de la defensa. Los LLM generan miles de variantes de dominio convincentes en minutos; el despliegue completo de la campa\u00f1a lleva menos de diez a\u00f1os. Las cargas de paquetes maliciosos aumentaron <a href=\"https:\/\/www.sonatype.com\/press-releases\/sonatypes-10th-annual-state-of-the-software-supply-chain-report\">156% <\/a> el a\u00f1o pasado. La investigaci\u00f3n manual est\u00e1 muerta.<\/li>\n<li>Tu pila de seguridad no puede ver esto. Los firewalls, WAF, EDR y CSP no tienen visibilidad de lo que hacen los scripts aprobados una vez que se ejecutan en el navegador.<\/li>\n<li>El <a href=\"https:\/\/www.reflectiz.com\/blog\/trust-wallet-hack\/\">Ataque a Trust Wallet<\/a> lo demostr\u00f3. 8,5 millones de d\u00f3lares robados en 48 horas a trav\u00e9s de una extensi\u00f3n de Chrome troyanizada. No se dispar\u00f3 ninguna alerta, no porque algo fallara, sino porque no hab\u00eda nada mirando.<\/li>\n<\/ul>\n<h2>Esta no es una historia criptogr\u00e1fica<\/h2>\n<p>El 24 de diciembre de 2025, los usuarios de Trust Wallet comenzaron a perder dinero. No porque hayan hecho clic en un enlace de phishing. No porque reutilizaron una contrase\u00f1a d\u00e9bil. No porque hayan hecho nada malo en absoluto.<\/p>\n<p>Un gusano npm autorreplicante llamado Shai-Hulud hab\u00eda pasado meses recopilando credenciales de desarrollador: tokens de GitHub, claves de publicaci\u00f3n de npm y credenciales de la API de Chrome Web Store. Esas claves permitieron a los atacantes enviar una versi\u00f3n troyanizada de la extensi\u00f3n Trust Wallet Chrome a trav\u00e9s de canales oficiales. La verificaci\u00f3n de Chrome pas\u00f3.<\/p>\n<p>La extensi\u00f3n maliciosa se ejecut\u00f3 completamente dentro de los navegadores de los usuarios, capturando silenciosamente frases iniciales y transmiti\u00e9ndolas a la infraestructura del atacante en un dominio disfrazado de punto final de an\u00e1lisis del propio Trust Wallet. En 48 horas, se hab\u00edan vaciado 2.500 carteras. P\u00e9rdida total: 8,5 millones de d\u00f3lares. Ning\u00fan servidor fue vulnerado. Nunca se dispar\u00f3 ninguna alerta.<\/p>\n<p>Elimine las frases iniciales y lo que queda es esto: un activo confiable entregado por el navegador se modific\u00f3 silenciosamente para interceptar datos confidenciales del usuario antes de que la aplicaci\u00f3n leg\u00edtima pudiera procesarlos, invisible para los registros del servidor, firewalls, WAF y EDR. No porque esos controles estuvieran mal configurados, sino porque nunca fueron dise\u00f1ados para observar lo que sucede dentro de una sesi\u00f3n del navegador, ni siquiera una sesi\u00f3n envenenada. <\/p>\n<p>Cambie frases iniciales por datos de tarjetas de pago. Cambie la extensi\u00f3n de Chrome por un p\u00edxel de marketing, un widget de soporte o un marco de pruebas A\/B. El ataque es id\u00e9ntico. Una p\u00e1gina de pago t\u00edpica de comercio electr\u00f3nico ejecuta entre 40 y 60 scripts de terceros. Cada uno es una conexi\u00f3n confiable. All\u00ed podr\u00eda pasar lo mismo.<\/p>\n<h2>C\u00f3mo lleg\u00f3 aqu\u00ed la typosquatting: tres fases<\/h2>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjZ_ghxQVxktFxK_ycsiPM028XVusWj-7om1UzKCja0ApwiJxjwAgjzTxO7Sd6PrrpMQC4Qm56XvBqi_8oMOiGxQUD1ufImZl0JyGIsUjhtQPdU5kPZo4zShYBRtfoOP-YTX8AW5tjnDI79Z9q4MmnS9KYA-zKVHuD13g9sf5E19pyTogn0GrXDnh-eIho\/s1700-e365\/1.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjZ_ghxQVxktFxK_ycsiPM028XVusWj-7om1UzKCja0ApwiJxjwAgjzTxO7Sd6PrrpMQC4Qm56XvBqi_8oMOiGxQUD1ufImZl0JyGIsUjhtQPdU5kPZo4zShYBRtfoOP-YTX8AW5tjnDI79Z9q4MmnS9KYA-zKVHuD13g9sf5E19pyTogn0GrXDnh-eIho\/s1700-e365\/1.jpg\" alt=\"\" border=\"0\" data-original-height=\"825\" data-original-width=\"1200\"\/><\/a><\/div>\n<p>Lo que hace que la Fase 3 sea una evoluci\u00f3n genuina no es s\u00f3lo la sofisticaci\u00f3n, sino tambi\u00e9n la econom\u00eda. Los LLM pueden generar miles de variaciones de dominio convincentes en minutos. Los ataques hom\u00f3grafos combinan caracteres latinos, cir\u00edlicos y griegos para producir dominios que parecen visualmente id\u00e9nticos en las barras de direcciones del navegador mientras evaden la detecci\u00f3n de distancia de cadena. El registro de dominio, la emisi\u00f3n de SSL y la implementaci\u00f3n completa de la campa\u00f1a ahora demoran menos de diez minutos. Los datos de Sonatype muestran que las cargas de paquetes maliciosos a repositorios de c\u00f3digo abierto aumentaron un 156% a\u00f1o tras a\u00f1o, por lo que el volumen por s\u00ed solo ha hecho que la investigaci\u00f3n manual sea estructuralmente imposible.<\/p>\n<h2>Tres ataques que muestran el patr\u00f3n<\/h2>\n<p>La typosquatting apunta a la capa de dominio, el compromiso de paquetes apunta a la cadena de suministro y el abuso del tiempo de ejecuci\u00f3n del navegador apunta a lo que hace el c\u00f3digo confiable despu\u00e9s de ejecutarse. <\/p>\n<h3 style=\"text-align: left;\"><b>1. Extensi\u00f3n Trust Wallet para Chrome (diciembre de 2025)<\/b> <\/h3>\n<p>Shai-Hulud recopil\u00f3 credenciales de desarrollador durante meses antes de lanzar una extensi\u00f3n troyanizada a trav\u00e9s de los canales oficiales de Chrome Web Store. La extensi\u00f3n maliciosa captur\u00f3 frases iniciales y las transmiti\u00f3 a un dominio de an\u00e1lisis similar. 2.500 carteras vaciadas. Se perdieron 8,5 millones de d\u00f3lares. Tiempo de detecci\u00f3n: cero. No existe visibilidad del lado del servidor para la ejecuci\u00f3n en tiempo de ejecuci\u00f3n del navegador.<\/p>\n<h3 style=\"text-align: left;\"><b>2. ataque npm con tiza\/depuraci\u00f3n (septiembre de 2025)<\/b><\/h3>\n<p>Un correo electr\u00f3nico de phishing dirigido a un \u00fanico responsable del paquete dio a los atacantes acceso a <a href=\"https:\/\/www.sygnia.co\/threat-reports-and-advisories\/npm-supply-chain-attack-september-2025\/\">18 bibliotecas de JavaScript confiables<\/a>incluidos chalk y debug, con m\u00e1s de dos mil millones de descargas semanales combinadas. En 16 minutos, se inyect\u00f3 c\u00f3digo malicioso en todos ellos, conectando las API del navegador para interceptar silenciosamente el tr\u00e1fico de red y las interacciones de billetera. La r\u00e1pida contenci\u00f3n limit\u00f3 las p\u00e9rdidas directas a alrededor de 500 d\u00f3lares. La ventana de exposici\u00f3n no fue la historia. Fueron dos mil millones de descargas.<\/p>\n<h3 style=\"text-align: left;\"><b>3. Ataque a la biblioteca Solana Web3.js (diciembre de 2024)<\/b> <\/h3>\n<p>Los atacantes comprometieron una cuenta de acceso de publicaci\u00f3n para la biblioteca npm @solana\/web3.js a trav\u00e9s de una campa\u00f1a de phishing, luego publicaron versiones maliciosas que conten\u00edan una funci\u00f3n oculta que interceptaba claves privadas a mitad de la transacci\u00f3n y las exfiltraba a un dominio controlado por el atacante registrado apenas unos d\u00edas antes del ataque. Cualquier aplicaci\u00f3n que se actualizara autom\u00e1ticamente dentro del per\u00edodo de cinco horas enviaba la puerta trasera directamente a sus usuarios. Casi 200.000 d\u00f3lares se gastaron antes del descubrimiento. <\/p>\n<h2>C\u00f3mo ocurre el compromiso: la confianza reemplaza al enga\u00f1o<\/h2>\n<p>La ingenier\u00eda social cl\u00e1sica necesitaba un ser humano al tanto, alguien que escribiera mal una URL, hiciera clic en un enlace, aprobara un mensaje y confiara en un remitente. El trabajo del atacante era generar confianza en el momento.<\/p>\n<p>La generaci\u00f3n actual de ataques se salta ese paso por completo. La confianza ya no se fabrica, se hereda. Su canal de compilaci\u00f3n ya conf\u00eda en npm. Su proveedor ya conf\u00eda en su CDN. Su navegador ya conf\u00eda en el proveedor. El atacante no necesita enga\u00f1ar a nadie; s\u00f3lo necesitan insertarse en cualquier lugar de una cadena de confianza que ya les ha sido otorgada.<\/p>\n<p>Ll\u00e1melo subversi\u00f3n de la cadena de suministro: el enga\u00f1o no est\u00e1 dirigido a una persona; est\u00e1 dirigido al gr\u00e1fico de dependencia.<\/p>\n<h2>El punto ciego en su pila de seguridad<\/h2>\n<p>Un proveedor de marketing integrado en sus propiedades web hace referencia a una CDN de JavaScript registrada hace seis semanas. SSL v\u00e1lido. Dominio reconocible. Luego, el gui\u00f3n se actualiza silenciosamente. <\/p>\n<p>En su p\u00e1gina de pago, el navegador carga silenciosamente el script modificado. Una superposici\u00f3n invisible intercepta las pulsaciones de teclas antes de que lleguen a su aplicaci\u00f3n. Los registros de su servidor registran una sesi\u00f3n normal. No hay incendios de alerta.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjlXnnnjC0WuoYKPJWIFCWALSeWSmKnbyIPHGkTCE1gQLNYgU5JSA_roc6Xn6A1oqX45KkKAMqNW9a2u89bVyS4exhyFN9CVcC3KMO8f6ZX3w-ZFlW-IksV5yS8v3k8jB_qG-nEPJmxowrMPr34LrYOBxKFUpgflMz3btCOcNwD7W73pPAoDOBYEn4v4qM\/s1700-e365\/2.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjlXnnnjC0WuoYKPJWIFCWALSeWSmKnbyIPHGkTCE1gQLNYgU5JSA_roc6Xn6A1oqX45KkKAMqNW9a2u89bVyS4exhyFN9CVcC3KMO8f6ZX3w-ZFlW-IksV5yS8v3k8jB_qG-nEPJmxowrMPr34LrYOBxKFUpgflMz3btCOcNwD7W73pPAoDOBYEn4v4qM\/s1700-e365\/2.jpg\" alt=\"\" border=\"0\" data-original-height=\"901\" data-original-width=\"1200\"\/><\/a><\/div>\n<p>CSP es el control m\u00e1s citado como defensa. Pero CSP es una lista de invitados, no un monitor de comportamiento. Un script incluido en la lista de permitidos que lee los campos de su formulario de pago y filtra los datos todav\u00eda est\u00e1 totalmente permitido, porque el origen es confiable. CSP maneja la conexi\u00f3n. No puede manejar la ejecuci\u00f3n.<\/p>\n<p>El comportamiento malicioso en 2026 se difiere al tiempo de ejecuci\u00f3n por dise\u00f1o. Los paquetes de Shai-Hulud permanecieron inactivos durante el escaneo automatizado y solo se activaron bajo condiciones de tiempo de ejecuci\u00f3n espec\u00edficas. El an\u00e1lisis est\u00e1tico no puede detectar cargas \u00fatiles cargadas din\u00e1micamente despu\u00e9s de que comienza la ejecuci\u00f3n.<\/p>\n<h2>Lo que realmente requiere la detecci\u00f3n<\/h2>\n<p>El informe sobre el costo de una vulneraci\u00f3n de datos de 2025 de IBM encontr\u00f3 que la vulneraci\u00f3n promedio tarda <a href=\"https:\/\/www.ibm.com\/think\/topics\/data-breach\">241 d\u00edas<\/a> para identificar. En los ataques a la cadena de suministro en los que el comportamiento malicioso se ejecuta silenciosamente en la memoria del navegador, esa ventana puede ser significativamente m\u00e1s larga, a menos que est\u00e9 observando el tiempo de ejecuci\u00f3n.<\/p>\n<p>La detecci\u00f3n requiere observar qu\u00e9 hacen realmente los scripts despu\u00e9s de ejecutarse: con qu\u00e9 dominios se comunican, a qu\u00e9 elementos de la p\u00e1gina acceden y c\u00f3mo su comportamiento se desv\u00eda de las l\u00edneas base establecidas. Se trata de monitoreo del comportamiento en tiempo de ejecuci\u00f3n, la \u00fanica capa de la que carecen actualmente la mayor\u00eda de las pilas de seguridad empresarial.<\/p>\n<p>Las caracter\u00edsticas a monitorear para:<\/p>\n<ul>\n<li><b>Exfiltraci\u00f3n de datos inesperada:<\/b> Scripts que leen campos de formulario y transmiten valores a dominios fuera de su lista aprobada<\/li>\n<li><b>Resoluci\u00f3n de dominio din\u00e1mico:<\/b> Scripts que llaman a dominios registrados recientemente o que se resuelven de manera diferente a su l\u00ednea base<\/li>\n<li><b>Deriva conductual:<\/b> Un script que se comport\u00f3 normalmente la semana pasada ahora accede a diferentes elementos de la p\u00e1gina esta semana. <\/li>\n<\/ul>\n<p>Detectar un dominio sospechoso en su \u00e1rbol de dependencia es necesario, pero no suficiente. El problema m\u00e1s dif\u00edcil es comprender qu\u00e9 hace realmente el script cargado desde ese dominio. La ofuscaci\u00f3n generada por IA ahora est\u00e1 dise\u00f1ada espec\u00edficamente para derrotar el an\u00e1lisis est\u00e1tico: el c\u00f3digo pasa el linting, imita bibliotecas minificadas leg\u00edtimas y no produce coincidencias de firmas. <\/p>\n<p>Cerrar esa brecha requiere desofuscar el comportamiento en tiempo de ejecuci\u00f3n, ejecutar el script en un entorno instrumentado y rastrear su comportamiento real, sin intentar leer su fuente. Eso significa sacar a la luz a qu\u00e9 accede realmente un script: campos de formulario, cookies, puntos finales de la red, independientemente de cu\u00e1n confusa est\u00e9 la fuente. Es el enfoque que Reflectiz construy\u00f3 <a href=\"https:\/\/www.reflectiz.com\/blog\/javascript-deobfuscator\/\">Desofuscador de IA<\/a> alrededor, y se detalla en la gu\u00eda a continuaci\u00f3n. <\/p>\n<h2>Tu plan de acci\u00f3n<\/h2>\n<p>Si no est\u00e1 seguro de por d\u00f3nde empezar, priorice por exposici\u00f3n: las p\u00e1ginas de pago primero, las p\u00e1ginas de autenticaci\u00f3n en segundo lugar y todo lo dem\u00e1s despu\u00e9s. He aqu\u00ed una secuencia pr\u00e1ctica: <\/p>\n<h3 style=\"text-align: left;\"><b>Esta semana:<\/b><\/h3>\n<ul>\n<li>Audite scripts de terceros para dominios CDN registrados recientemente en su cadena de dependencia<\/li>\n<li>Revise los informes de CSP, no solo las infracciones, sino tambi\u00e9n lo que realmente est\u00e1n haciendo sus or\u00edgenes aprobados.<\/li>\n<li>Identifique qu\u00e9 p\u00e1ginas manejan datos confidenciales (pago, inicio de sesi\u00f3n, formularios PII) y priorice el monitoreo all\u00ed primero.<\/li>\n<\/ul>\n<h3 style=\"text-align: left;\"><b>Este mes:<\/b><\/h3>\n<ul>\n<li>Implementar monitoreo del comportamiento en tiempo de ejecuci\u00f3n para p\u00e1ginas de pago y autenticaci\u00f3n<\/li>\n<li>Establecer l\u00edneas de base de comportamiento para todos los scripts de terceros aprobados.<\/li>\n<li>Implementar comprobaciones de integridad de subrecursos (SRI) cuando los scripts se autohospedan o se pueden almacenar en cach\u00e9<\/li>\n<\/ul>\n<p>Son necesarios un registro de dominio proactivo, un CSP estricto y DMARC aplicado. Cubren el registro de dominio, la entrega de scripts y la suplantaci\u00f3n de correo electr\u00f3nico. Ninguno de ellos cubre lo que sucede despu\u00e9s de que un script de proveedor aprobado se modifica silenciosamente. Esa es la brecha que la mayor\u00eda de los equipos no ven hasta que es demasiado tarde.<\/p>\n<p>Los controles anteriores le indican qu\u00e9 hacer. Asignarlos a su entorno real, inventario de proveedores y obligaciones de cumplimiento es donde la ejecuci\u00f3n se detiene. Reflectiz ha publicado un <a href=\"https:\/\/www.reflectiz.com\/learning-hub\/ai-typosquatting-guide\/\">Gu\u00eda de expertos CISO<\/a> con el marco completo: gobernanza de dominio, controles fundamentales, monitoreo del comportamiento en tiempo de ejecuci\u00f3n y una hoja de ruta de implementaci\u00f3n por fases construida en torno a esa brecha.<\/p>\n<blockquote>\n<p><a href=\"https:\/\/www.reflectiz.com\/learning-hub\/ai-typosquatting-guide\/\">Descarga la gu\u00eda aqu\u00ed \u2192<\/a><\/p>\n<\/blockquote>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en <a href=\"https:\/\/news.google.com\/publications\/CAAqLQgKIidDQklTRndnTWFoTUtFWFJvWldoaFkydGxjbTVsZDNNdVkyOXRLQUFQAQ\" rel=\"noopener\" target=\"_blank\">noticias de google<\/a>, <a href=\"https:\/\/twitter.com\/thehackersnews\" rel=\"noopener\" target=\"_blank\">Gorjeo<\/a> y <a href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" rel=\"noopener\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los dominios similares generados por IA ahora est\u00e1n integrados dentro de scripts de terceros que se ejecutan en sus propiedades web. He aqu\u00ed por qu\u00e9 su pila actual no puede verlos y qu\u00e9 requiere realmente la detecci\u00f3n. Descargue la Gu\u00eda de expertos de CISO sobre Typosquatting en la era de la IA \u2192 TL;DR Typosquatting [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":929,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[249,24,70,1139,52,2642,890,250,2641,2643],"class_list":["post-928","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cadena","tag-cyberdefensa-mx","tag-del","tag-errores","tag-los","tag-problema","tag-son","tag-suministro","tag-tipograficos","tag-usuario"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=928"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/928\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/929"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}