JadePuffer: el primer ransomware ejecutado por una IA autónoma ya existe, aunque aún necesitaba un humano al fondo

Wait 5 sec.

El primer ataque de ransomware documentado ejecutado de extremo a extremo por un agente de IA ha ocurrido, y el nombre que le han dado los investigadores de la empresa de seguridad Sysdig es JadePuffer. Lo detalla Ana Maria Constantin en The Next Web el 6 de julio. Un modelo de lenguaje planificó y ejecutó todo el ciclo del ataque: reconocimiento, robo de credenciales, movimiento lateral, cifrado de la base de datos y nota de rescate. Sin ningún humano dirigiendo el teclado paso a paso.El matiz que TechCrunch añadió ese mismo día: sí había un humano involucrado. Solo que no en la ejecución técnica. Alguien eligió la víctima, configuró la infraestructura y proporcionó las credenciales iniciales. Los analistas de Sysdig lo confirman en una entrevista con CyberScoop. Ese detalle importa, pero no tanto como parece a primera vista.Cómo operó JadePufferEl ataque comenzó explotando una vulnerabilidad conocida: CVE-2025-3248, un fallo de ejecución remota de código en Langflow, un framework de código abierto para construir flujos de trabajo con modelos de lenguaje. El fallo estaba parcheado desde 2025 y añadido al catálogo de vulnerabilidades conocidas explotadas de la CISA en mayo de ese año. Muchos servidores nunca actualizaron.La razón por la que los servidores Langflow son un objetivo atractivo es específica: suelen estar expuestos en internet y contienen las claves de API de todos los servicios a los que se conectan. JadePuffer sabía esto. Inmediatamente tras ganar acceso, el agente barrió el entorno buscando credenciales en paralelo: claves de API para OpenAI, Anthropic, DeepSeek y Gemini; credenciales de nube para AWS, GCP y proveedores chinos como Alibaba, Aliyun, Tencent y Huawei. Luego pivotó a un servidor MySQL de producción separado, usando una segunda vulnerabilidad de 2021 para ganar acceso de administrador.La secuencia que mejor ilustra la autonomía del agente: durante el ataque, un login administrativo falló. El agente diagnosticó el problema y ejecutó una solución funcional en 31 segundos, sin intervención humana. El cifrado resultante afectó a 1.342 elementos de configuración del servidor Nacos (un sistema de gestión de configuración distribuida). El agente usó la función AES_ENCRYPT() de MySQL para cifrar los datos, luego eliminó las tablas originales y creó una tabla llamada README_RANSOM con la nota, una dirección de Bitcoin y un correo de Proton Mail.El detalle más cruel: la clave de descifrado se generó, se imprimió una vez en la consola de salida y nunca se almacenó ni transmitió. La víctima no puede recuperar los datos aunque pague.Todo esto quedó documentado en más de 600 payloads que el agente fue generando a lo largo del ataque, cada uno con comentarios en lenguaje natural explicando su propio razonamiento. La empresa de seguridad Sysdig capturó esos registros y los usó para reconstruir el ataque.Lo que TechCrunch matiza: el humano sigue ahíLa cobertura inicial de The Next Web y otros medios describió JadePuffer como un ataque «sin ningún humano en el proceso». TechCrunch corrió después con la aclaración de Michael Clark, director senior de investigación de amenazas de Sysdig: un operador humano configuró la infraestructura, eligió la víctima y proporcionó las credenciales que le abrieron la puerta al agente.Eso es importante para calibrar lo que realmente ha cambiado. No es que la IA se haya emancipado del delincuente; es que el delincuente ahora puede externalizar el trabajo técnico más difícil (reconocimiento, exploits, movimiento lateral, cifrado) a un agente. El humano sigue en el bucle estratégico: decide a quién atacar y paga la infraestructura. Simplemente ya no necesita saber cómo hackear.Llevamos cubriendo el impacto de la IA en el cibercrimen desde que Google identificó el primer exploit zero-day generado con IA en mayo de 2026. JadePuffer es el escalón siguiente: no descubrir vulnerabilidades con IA, sino ejecutar ataques completos.El investigador de Microsoft Geoff McDonald ofreció en LinkedIn una hipótesis sobre qué modelo impulsó el ataque: probablemente no un modelo frontier con salvaguardas de seguridad, sino un modelo de código abierto con el entrenamiento de seguridad eliminado. Sysdig no pudo identificar el modelo específico, y no tiene acceso al system prompt ni a la configuración del agente.Por qué el umbral acaba de caerLa implicación de fondo, como señala Sysdig, es económica más que técnica. Antes de JadePuffer, ejecutar un ataque de ransomware requería experiencia en exploits, movimiento lateral, administración de bases de datos y criptografía. Ahora puede reducirse a: tener un agente, elegir la víctima, configurar la infraestructura.Las agencias de inteligencia del Five Eyes ya advirtieron en junio de 2026 que el plazo para ataques de IA a infraestructuras críticas no son años sino meses. JadePuffer confirma que ese plazo ya llegó.El mismo día que JadePuffer se hizo público, Sysdig documentó otro dato relevante: un segundo fallo de Langflow, CVE-2026-33017, fue explotado dentro de las 20 horas siguientes a su publicación. La ventana entre divulgación y explotación se ha comprimido a menos de un día.Para los equipos de seguridad, la recomendación práctica es clara: parchear Langflow inmediatamente si está expuesto, rotar las credenciales de todos los servicios que conecta, y mantener los servidores de administración de bases de datos fuera del acceso público directo. Las tres cosas que JadePuffer necesitó para funcionar eran vulnerabilidades ya parcheadas, credenciales por defecto y un servidor expuesto.La ciberseguridad viene advirtiendo desde 2025 que la IA iba a cambiar las reglas del cibercrimen. El cambio ya no es una amenaza emergente: es presente activo.Mi valoraciónLo que más me convence del análisis de Sysdig es la honestidad sobre los límites del hallazgo. No dicen «la IA se ha emancipado del crimen organizado»; dicen «el trabajo técnico ya no requiere un experto». Esa distinción es importante para no entrar en pánico narrativo, pero también para no minimizar lo que representa.Lo que más me preocupa no es JadePuffer en sí, sino la democratización del modelo. JadePuffer funcionó porque explotó vulnerabilidades ya conocidas en servidores no actualizados. Cualquier operador con suficiente infraestructura puede replicar el patrón. El umbral técnico de entrada al ransomware ha caído dramáticamente.Lo más estructuralmente significativo es que el coste del ataque ahora es principalmente infraestructura, no habilidad. Si el precio de un ataque de ransomware pasa de «necesito un equipo de hackers expertos» a «necesito un servidor y una API de un modelo de lenguaje», el número de potenciales atacantes se multiplica de forma no lineal.Preguntas frecuentes¿Cómo se defiende una organización de ataques como JadePuffer?Las tres contramedidas más importantes son inmediatas: parchear Langflow a la versión 1.3.0 o superior, rotar todas las credenciales y claves de API almacenadas en sistemas Langflow, y mantener los paneles de administración de bases de datos fuera del acceso público. JadePuffer no usó zero-days: explotó vulnerabilidades ya parcheadas y credenciales por defecto.¿Qué modelo de IA impulsó el ataque?Sysdig no pudo identificar el modelo específico que ejecutó JadePuffer y no tiene acceso a su system prompt o configuración. El investigador de Microsoft Geoff McDonald teoriza que probablemente fue un modelo de código abierto con el entrenamiento de seguridad eliminado, basándose en que los modelos frontier con salvaguardas no suelen completar ese tipo de tareas.¿Se puede recuperar lo cifrado por JadePuffer?No. La clave de descifrado fue generada localmente, impresa una vez en la consola y nunca almacenada ni transmitida. Incluso si la víctima paga el rescate en Bitcoin, el atacante no tiene la clave para proporcionarla. La única defensa real contra este tipo de ataque es un backup actualizado en un medio que el agente no pueda alcanzar.La noticia JadePuffer: el primer ransomware ejecutado por una IA autónoma ya existe, aunque aún necesitaba un humano al fondo fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.