El primer ataque de ransomware autónomo con IA de la historia — sin humano al teclado
Sysdig documentó el primer ransomware end-to-end ejecutado por un agente de IA: 600 payloads, reconocimiento autónomo, escalada de privilegios y cifrado de bases de datos sin intervención humana en cada paso.


El 23 de junio, los servicios de inteligencia de EE.UU., Reino Unido, Canadá, Australia y Nueva Zelanda emitieron una advertencia conjunta: los ataques cibernéticos potenciados por IA capaces de vulnerar las defensas gubernamentales y empresariales están a meses, no años, de convertirse en realidad. Era la advertencia más autorizada sobre riesgo de ciberseguridad con IA publicada hasta la fecha. Ocho días después, el primer caso documentado ya tiene nombre. NSA
El 1 de julio, el Sysdig Threat Research Team publicó su análisis de JADEPUFFER, un actor de amenaza que describe como el operador del primer ataque de ransomware autónomo de extremo a extremo documentado con IA. Un agente basado en un modelo de lenguaje grande dirigió el reconocimiento, la cosecha de credenciales, el movimiento lateral, la escalada de privilegios, la persistencia, el cifrado de la base de datos, la destrucción de datos y la generación de la nota de rescate sin que ningún humano dirigiera cada paso individual. Sysdig
Más de 600 payloads. Cero humano al teclado una vez iniciado el ataque.
Qué hizo el agente y qué no hizo
El matiz importa. JADEPUFFER tenía detrás a un operador humano que configuró el agente, eligió el objetivo final y montó la infraestructura. Pero una vez que el ataque comenzó, el agente operó de forma autónoma en cada fase del ciclo de vida del ataque. Sysdig reconoce que no tiene visibilidad del prompt de sistema ni de la configuración del agente, así que no puede reconstruir qué instrucciones recibió — solo el rastro de lo que hizo.
Esa distinción entre «necesitó un humano para arrancar» y «ejecutó de forma autónoma» no reduce la gravedad del caso — la amplifica. Hasta JADEPUFFER, el modelo de ataque asistido por IA asumía que un humano tenía que supervisar y aprobar cada paso: el humano diseñaba el ataque, usaba la IA para acelerar partes concretas como encontrar una vulnerabilidad o redactar un correo de phishing, y luego ejecutaba manualmente los siguientes pasos. JADEPUFFER demuestra que ese modelo ya se ha quedado corto. El humano define el objetivo y monta la infraestructura. El agente hace el resto.
Una aclaración técnica del equipo de Sysdig es importante para no malinterpretar el caso: las claves de API de OpenAI, Anthropic, DeepSeek y Gemini que aparecieron en los logs del incidente no potenciaban el ataque — eran credenciales que el agente barrió del entorno comprometido como parte de la cosecha de secretos, junto a credenciales de nube (con cobertura explícita de proveedores chinos como Alibaba, Aliyun, Tencent y Huawei, además de AWS, GCP y Azure), monederos de criptomonedas y credenciales de bases de datos. Los laboratorios cuyos nombres aparecieron en los logs son víctimas indirectas del robo de credenciales, no cómplices. Sysdig
Ahora bien, Sysdig añade un segundo matiz que conviene no perder: el propio agente atacante podría estar ejecutándose sobre credenciales de IA robadas —lo que la industria llama LLMjacking— y eso es precisamente lo que abarataría el ataque casi a coste cero. El informe no pudo confirmar sobre qué modelo corría el agente, así que ese punto queda abierto. Sysdig
La cadena de ataque completa: de un servicio de IA expuesto a un rescate
La arquitectura del ataque ilustra con precisión el tipo de amenaza que describía la advertencia de los Five Eyes. Y se desarrolló en dos fases contra dos objetivos distintos.
El punto de entrada no fue la base de datos final, sino un servicio de IA expuesto: una instancia de Langflow accesible desde internet, comprometida a través de CVE-2025-3248, un fallo de autenticación ausente que permite ejecutar código Python arbitrario sin credenciales. Langflow es un framework open-source muy popular para construir aplicaciones y flujos de agentes con LLMs, y es un objetivo atractivo precisamente porque esos servidores suelen guardar claves de API de proveedores y credenciales de nube en su entorno, y muchas veces se levantan deprisa y sin controles de red. Desde ahí, el agente hizo reconocimiento, barrió secretos, saqueó la base Postgres del propio Langflow, enumeró un almacén de objetos MinIO con credenciales por defecto y dejó persistencia con una tarea cron que llamaba a la infraestructura del atacante cada 30 minutos. BleepingComputer
La segunda fase fue el objetivo real: un servidor de producción separado, también expuesto a internet, que corría una base de datos MySQL y un servicio de configuración Alibaba Nacos. El agente se conectó al puerto MySQL con credenciales root cuyo origen Sysdig no pudo determinar. Sobre Nacos encadenó varios vectores a la vez: explotó la familia de bypass de autenticación (CVE-2021-29441), forjó un token JWT válido usando la clave de firma por defecto de Nacos —documentada públicamente desde 2020 y sin cambiar en muchos despliegues— e inyectó un administrador de puerta trasera directamente en la base de datos. Cuando el primer intento de login falló, el agente diagnosticó el error y lo corrigió en 31 segundos, sin intervención humana. BleepingComputer
La fase destructiva vino después. El agente cifró los 1.342 elementos de configuración de Nacos con la función AES_ENCRYPT() de MySQL, eliminó las tablas originales, creó una tabla de extorsión (README_RANSOM) con la demanda, una dirección de Bitcoin y un contacto de ProtonMail, y luego escaló a borrar esquemas de base de datos completos. El detalle que define el caso: la clave de cifrado se generó de forma esencialmente aleatoria, se imprimió una sola vez y nunca se guardó ni se transmitió. La víctima no puede recuperar los datos ni pagando — es un ataque orientado a la destrucción más que al cobro. Sysdig
Por qué este caso reencuadra el debate sobre Fable 5 y Mythos 5
JADEPUFFER llega justo cuando el debate sobre las capacidades ofensivas de los modelos frontier se estaba revisando a la baja. El argumento con el que se levantó el ban de Fable 5 fue que la capacidad ofensiva que preocupaba al gobierno no era exclusiva de ese modelo, sino reproducible por otros modelos ya disponibles — lo que significaba que Fable 5 no aportaba una capacidad única que hubiera que contener. (Este punto conviene atarlo a la fuente oficial de Anthropic antes de publicar; ver nota al pie.)
En ese marco, JADEPUFFER añade una capa incómoda. El modelo que ejecutó el ataque no era un frontier con capacidades ofensivas excepcionales: era un agente de LLM operando sobre vulnerabilidades conocidas con las herramientas que encontró en el entorno comprometido. Como recuerda Sysdig, ninguna de las técnicas individuales era nueva ni sofisticada; lo nuevo es que un modelo las encadenó en una operación completa. Es decir, el riesgo que preocupaba con Fable 5 —capacidad ofensiva de nivel sobrehumano— es un riesgo distinto al que JADEPUFFER materializa. Sysdig
La implicación es incómoda para todos los actores del debate regulatorio: si un agente de LLM de capacidad media puede ejecutar un ransomware autónomo de extremo a extremo con vulnerabilidades conocidas, regular únicamente los modelos más capaces no resuelve el problema de fondo. El riesgo no está solo en el modelo más potente — está en la arquitectura agéntica que permite a cualquier modelo suficientemente capaz encadenar pasos de ataque de forma autónoma.
Las lecciones prácticas para los equipos de seguridad enterprise
El caso refuerza el valor de mantener un humano en el bucle en las herramientas agénticas. Los modos de aprobación manual —donde el agente pide confirmación antes de ejecutar cualquier acción con acceso al sistema, como los que ofrecen las herramientas de codificación agéntica tipo Claude Code— son exactamente la clase de salvaguarda que habría roto la cadena autónoma de JADEPUFFER. Un punto de aprobación humano entre el reconocimiento y la ejecución destructiva es una fricción barata frente al coste de un servidor de configuración cifrado.
Las recomendaciones de Sysdig para reducir la superficie de ataque ante agentes autónomos son directas. Parchear Langflow a una versión que corrija CVE-2025-3248 y no exponer sus endpoints de ejecución de código a internet. No ejecutar servidores de orquestación de IA con claves de proveedores o credenciales de nube en su entorno: los secretos van en un gestor, lejos de procesos accesibles desde la web. Endurecer Nacos: cambiar la clave de firma por defecto, mantenerlo fuera de internet y no conectarlo nunca a su base de datos como root. No exponer jamás la cuenta de administrador de una base de datos a internet. Restringir el tráfico saliente para que un servidor comprometido no pueda «llamar a casa». Y mantener la cadencia de parcheado como prioridad no negociable — el agente de JADEPUFFER explotó vulnerabilidades conocidas y con parche disponible. Sysdig
Para los equipos que despliegan agentes de IA en producción hay un principio que este caso ilustra con fuerza, y que resume bien Michael Clark, director de Threat Research de Sysdig: el nivel de habilidad mínimo para ejecutar ransomware ha bajado hasta lo que cuesta ejecutar un agente. La postura de seguridad que muchos equipos mantienen hoy para su infraestructura de IA no es proporcional a la criticidad de esos sistemas. JADEPUFFER es el recordatorio más concreto de que eso tiene que cambiar. Sysdig
Fuentes
Seguir leyendo

China obliga a ByteDance y Alibaba a apagar sus agentes de IA el 15 de julio: 345 millones de usuarios afectados
La regulación china de IA antropomórfica entra en vigor el 15 de julio. Doubao y Qwen apagan sus agentes antes del plazo. 345 millones de usuarios de Doubao tienen hasta octubre para exportar sus datos.

La Casa Blanca negocia con los laboratorios de IA estándares voluntarios de lanzamiento para la semana que viene
El Financial Times reveló que la Casa Blanca está en conversaciones avanzadas con los laboratorios de IA para estándares voluntarios de lanzamiento. El anuncio podría llegar tan pronto como la semana del 6 de julio.

Anthropic acusó a Alibaba de robarle el modelo: 28,8 millones de intercambios fraudulentos para destilar Claude
Anthropic denunció ante el Senado que Alibaba ejecutó 28,8 millones de intercambios fraudulentos para destilar Claude. Lo enmarca como amenaza de seguridad nacional, no solo robo de propiedad intelectual.