Descubrimiento histórico en ciberseguridad
La semana pasada, investigadores de la firma de seguridad en la nube Sysdig documentaron el primer caso conocido de ransomware agéntico, una operación de extorsión bautizada como JadePuffer. En este ataque, un agente de inteligencia artificial —no un humano— ejecutó la parte técnica de un ciberataque real de principio a fin, adaptándose a obstáculos como lo haría un hacker humano.
El agente se infiltró en un servidor vulnerable, robó credenciales, se movió lateralmente por la red de la víctima, cifró archivos, e incluso redactó su propia nota de rescate, todo sin supervisión humana directa en la ejecución. Sin embargo, una entrevista de CyberScoop con Michael Clark, director senior de investigación de amenazas de Sysdig, aclaró que un ser humano sigue siendo esencial en la configuración previa.
¿Qué hizo exactamente el agente de IA?
El agente aprovechó una vulnerabilidad conocida en Langflow, una herramienta de código abierto para construir aplicaciones con modelos de lenguaje grande (LLM). Desde allí accedió a un servidor MySQL de producción y explotó otra falla conocida para obtener privilegios de administrador. En total, cifró más de 1,300 registros de configuración y dejó una nota de rescate con una dirección de Bitcoin para el pago.
Lo que realmente sorprendió a los expertos fue la velocidad y transparencia del proceso: el agente detectó y corrigió un intento de inicio de sesión fallido en 31 segundos, narrando su propio razonamiento en comentarios de código en lenguaje natural. Las técnicas individuales eran comunes, pero la automatización y la capacidad de adaptación son inéditas.
Aclaraciones clave: El humano sigue presente
Clark explicó que un humano configuró y dirigió la operación, aprovisionó la infraestructura (servidor de mando y control, servidor de almacenamiento de datos robados) y seleccionó a la víctima. Las credenciales utilizadas para irrumpir en la base de datos no fueron obtenidas por la IA, sino que provinieron de un compromiso previo y fueron proporcionadas a la operación.
Esto no contradice el hallazgo técnico, pero añade matices importantes: la ejecución fue autónoma, pero la planificación y el suministro de materiales requirieron intervención humana. Sysdig no ha revelado quién fue el objetivo del ataque.
Múltiples modelos de IA en juego
Inicialmente se informó que se utilizaron varias claves de modelos de IA (OpenAI, Anthropic, DeepSeek, Gemini), lo que generó dudas sobre si múltiples modelos impulsaron diferentes etapas. Clark aclaró que esas claves fueron robadas por el agente durante el ataque, no necesariamente usadas para ejecutarlo. “El agente barrió el host de Langflow en busca de objetos de valor – claves API de proveedores, credenciales de nube, carteras de criptomonedas y configuraciones de bases de datos – y esas claves formaron parte del botín”, indicó. Sysdig no pudo identificar el modelo específico que dirigía el agente ni su configuración.
El investigador de Microsoft, Geoff McDonald, planteó la hipótesis de que se trataba de un modelo de peso abierto sin entrenamiento de seguridad, basado en su experiencia en pruebas de penetración con modelos fronterizos. Sysdig no confirmó ni descartó esta teoría.
Implicaciones futuras
McDonald advirtió que las campañas de ransomware ahora están limitadas principalmente por el presupuesto del atacante, no por el esfuerzo humano, lo que podría llevar a “miles o decenas de miles de campañas simultáneas”. Sin embargo, Clark señaló que, por ahora, cada operación requiere que un humano elija víctimas, aprovisione infraestructura y obtenga credenciales, lo que crea un cuello de botella. Aun así, dado lo económico que resulta ejecutar un agente, Clark espera que esta situación cambie pronto.
Aunque Sysdig no ha visto el mismo ataque repetido en otras víctimas, la combinación de automatización y bajo costo hace temer que JadePuffer sea solo el comienzo de una nueva era de ransomware impulsado por inteligencia artificial.

Para más información, mantente al día con las últimas actualizaciones en alritmodemiami.com.