JadePuffer: El primer ransomware operado al 100% por IA

JadePuffer: El primer ransomware operado al 100% por IA

El equipo de Sysdig descubrió JadePuffer, el primer ransomware operado al 100% por un agente de IA sin humanos.

Por Humberto Toledo el 6 de julio del 2026 a las 1:06 pm PDT

✨︎ Resumen (TL;DR):

  • La firma Sysdig documentó el primer ataque de ransomware ejecutado en su totalidad por un agente de IA, sin humanos involucrados.
  • El modelo explotó una falla crítica en Langflow, robó credenciales y cifró 1,342 configuraciones de una base de datos en producción.
  • La víctima no puede recuperar la información debido a que el agente generó la clave al azar y nunca la guardó.

La firma de ciberseguridad Sysdig descubrió JadePuffer, el primer ransomware operado de principio a fin por un agente de IA sin intervención humana. Este software malicioso aprovechó una falla crítica en la plataforma Langflow para infiltrarse, robar credenciales de bases de datos y secuestrar información crítica, marcando el inicio de los ataques completamente automatizados por modelos de lenguaje.

JadePuffer es un ransomware agéntico que utiliza modelos de lenguaje para identificar vulnerabilidades, robar credenciales y cifrar bases de datos de forma autónoma.

El análisis de la compañía, publicado el 1 de julio de 2026, reveló que el agente de inteligencia artificial no solo ejecutó el ataque de forma independiente, sino que corrigió sus propios errores de código sobre la marcha.

La puerta de entrada fue la vulnerabilidad CVE-2025-3248, una falla crítica con una calificación de 9.8 de gravedad en Langflow, una herramienta de código abierto para enlazar modelos de lenguaje. Aunque la falla se parchó y está bajo advertencia de la CISA, miles de servidores expuestos en internet siguen sin actualizarse.

Una vez dentro, el agente barrió el sistema buscando llaves de API de OpenAI y Anthropic, billeteras de criptomonedas y credenciales de servicios de nube como AWS, Azure y Google Cloud.

Amazon expone ataques zero-day contra firewalls de Cisco
Te podría interesar:
Amazon expone ataques zero-day contra firewalls de Cisco
Fotos de stock gratuitas de anuncio, artístico, autocuidado
Foto: Victografi / Pexels

El salto a producción y el colapso del rescate

El agente no se quedó en el servidor inicial. Utilizando las credenciales obtenidas, brincó a un segundo servidor de producción que ejecutaba el servicio de configuración Nacos de Alibaba y una base de datos MySQL.

Ahí, la IA cifró 1,342 configuraciones de la base de datos de producción y eliminó las tablas originales. Sin embargo, el ataque tiene un problema de diseño fatal para la víctima: no hay forma de recuperar los datos.

El agente de IA generó la clave de cifrado de forma completamente aleatoria, la mostró una sola vez en pantalla y no la guardó en ningún lado ni la envió a los atacantes. Aunque se pague el rescate exigido en la nota, la información está perdida para siempre.

Las huellas de la IA: ¿por qué no fue un humano?

Sysdig descartó la presencia de un operador humano al analizar los registros de la intrusión. El agente ejecutó más de 600 comandos distintos y dejó comentarios explicativos en lenguaje natural dentro de sus propios scripts, un comportamiento típico de las respuestas de un modelo de lenguaje.

La velocidad de adaptación fue otro factor clave. El equipo de investigación de Sysdig señaló que “la operación también se adaptó en tiempo real, reintentando los pasos fallidos con parámetros ajustados. En una secuencia, pasó de un inicio de sesión fallido a una corrección funcional en 31 segundos”.

Incluso la billetera de Bitcoin que aparecía en la nota de rescate resultó ser una dirección de ejemplo sacada textualmente de la documentación oficial para desarrolladores de Bitcoin, lo que sugiere que la IA la copió directamente de sus datos de entrenamiento.

Cómo protegerse ante los ataques agénticos

Aunque el método de ataque encadenó fallas conocidas y problemas de configuración comunes, la automatización extrema reduce el costo de estas ofensivas a casi cero para los criminales.

Para mitigar esta amenaza, los especialistas recomiendan acciones preventivas claras:

  • Actualizar inmediatamente Langflow para corregir la vulnerabilidad CVE-2025-3248.
  • No almacenar llaves de APIs o credenciales críticas dentro de servidores de orquestación de IA.
  • Modificar cualquier credencial o llave de firma que venga por defecto en la documentación de plataformas de software.
  • Bloquear la exposición a internet de las cuentas administradoras de bases de datos.
  • Establecer reglas estrictas de salida de red para evitar conexiones sospechosas a servidores externos.

La llegada de JadePuffer demuestra que la experiencia requerida para montar campañas de extorsión complejas ahora se puede delegar a una máquina. Los servidores olvidados y sin parches son el objetivo principal de una tecnología capaz de atacar de forma masiva en cuestión de segundos.

Fuentes: 1, 2, 3

+ Temas Relacionados

Más de AI

Feed