Un agente de inteligencia artificial ejecutó un ataque de ransomware completo sin que ningún ser humano tocara un teclado. No es un proof of concept de una universidad ni una demostración en un laboratorio de seguridad.
Es un caso real, documentado por el equipo de amenazas de Sysdig, y lo que revela sobre el estado de la ciberseguridad es más preocupante de lo que parece a primera vista.
JadePuffer — así lo bautizaron los investigadores — es un agente autónomo que encadenó las etapas de un ataque de extorsión de principio a fin: explotó una vulnerabilidad en Langflow, robó credenciales de múltiples proveedores cloud, se movió a un servidor de producción, cifró 1,342 configuraciones con una clave AES que descartó inmediatamente, y destruyó bases de datos.
Todo en una sesión autónoma que se auto-narraba con comentarios en lenguaje natural.
Lo que hace único a JadePuffer no es la sofisticación de sus técnicas, sino la velocidad con la que las ejecutó. Cuando un intento de login falló, el agente diagnosticó el problema, generó una corrección y volvió a intentarlo en 31 segundos.
Los humanos tardamos minutos en leer un mensaje de error; este agente reescribió su propio código en ese lapso.
Las mismas viejas vulnerabilidades, ahora automáticas
El punto de entrada fue CVE-2025-3248, una falla de ejecución remota de código en Langflow con severidad 9.8 de 10. Fue parcheada en marzo de 2025 y apareció en la lista de CISA desde mayo de ese año.
Un año después, el servidor seguía expuesto a internet sin autenticación. JadePuffer lo encontró, lo explotó y usó la máquina comprometida como trampolín para alcanzar su verdadero objetivo: un servidor de producción con una base de datos MySQL y el servicio de configuración Nacos de Alibaba.
Nacos tenía sus propias deudas técnicas. El servicio usaba una clave de firmado JWT documentada públicamente desde 2020 y era vulnerable a CVE-2021-29441, un bypass de autenticación conocido desde hace cinco años. El agente combinó ambas debilidades para tomar control total del servidor.
Esto es lo que debería preocuparnos: nada de lo que JadePuffer usó era nuevo. Las vulnerabilidades estaban parchadas. Las defensas básicas — cambiar claves por defecto, no exponer servicios a internet, mantener copias de seguridad fuera de la red — existían antes del ataque. El agente simplemente caminó por la infraestructura que nadie había revisado con cuidado.
El ransomware ya no se recupera
La nota de rescate exigíaBitcoin a la dirección 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — el ejemplo canónico de formato P2SH que aparece en toda la documentación de Bitcoin.
Los investigadores de Sysdig señalan que podría ser una alucinación del LLM generada a partir de sus datos de entrenamiento, o una dirección real del operador que simplemente coincide con la documentación.
Pero el dato realmente inquietante es otro: la clave de cifrado se generó como base64 de dos UUIDs aleatorios, se imprimió una vez en pantalla y nunca se guardó ni transmitió. La víctima no puede recuperar sus configuraciones incluso si paga. El agente destruyó los datos de forma irreversible como parte de su propio diseño, no como un error.
Y hay una contradicción pendiente: el código del agente afirmaba haber copiado datos antes de eliminarlos, pero Sysdig no encontró evidencia de que ningún dato saliera de la red. La exfiltración podría ser solo una auto-narración del modelo, no un hecho verificado.
El umbral para ser ransomware se acercó a cero
Michael Clark, director de investigación de amenazas de Sysdig, lo pone en perspectiva: el costo de ejecutar un ataque así se redujo a lo que cuesta correr un agente de IA. Si ese agente corre con credenciales robadas — lo que se conoce como LLMjacking — el costo para el atacante es prácticamente nulo.
Johan Edholm, co-fundador de Detectify, calificó el ataque como más evolución que invención. Las técnicas individuales son familiares para cualquier profesional de seguridad. Lo nuevo es que un modelo de lenguaje las encadenó en una operación completa contra infraestructura descuidada expuesta a internet.
Para el lector hispanohablante, el mensaje es claro: la brecha entre la velocidad de los agentes de IA y la velocidad de los defensores se amplía. Un agente puede ir de acceso inicial a destrucción en minutos; las organizaciones tardan meses en aplicar parches. Y en Latinoamérica, donde la exposición de servicios sin endurecimiento es común, ese margen es aún más peligroso.
Las recomendaciones de Sysdig son concretas: parchear Langflow, no exponer endpoints de ejecución de código a internet, cambiar la clave por defecto de Nacos, nunca exponer cuentas de administración de bases de datos, y mantener copias de seguridad fuera de la red con credenciales separadas. Nada exótico. Todo lo que debería haber estado hecho antes de que JadePuffer existiera.


