La firma de seguridad Sysdig describe un ataque de extorsión donde un modelo de lenguaje entró por su cuenta, robó credenciales y destruyó bases de datos. Nadie parecía estar operando los controles.
El ransomware siempre fue un trabajo manual: una persona planificaba el ataque, elegía objetivos y escribía o generaba los scripts. Según un informe del equipo de threat research de Sysdig, un agente de IA acaba de asumir ese rol completo por primera vez. Los investigadores bautizaron al atacante como JADEPUFFER y lo describen como un "actor de amenaza agéntico", donde la capacidad ofensiva proviene del modelo, no de un humano.
¿Cómo entró JADEPUFFER a la infraestructura?
El acceso inicial ocurrió por una vulnerabilidad conocida, CVE-2025-3248, en Langflow, una herramienta ampliamente usada para construir aplicaciones de IA. La falla permite ejecutar código propio en el servidor sin contraseña. Langflow ya había liberado el parche en abril de 2025, es decir, con más de un año de anticipación. Poco después, la Cybersecurity and Infrastructure Security Agency (CISA) sumó el CVE a su catálogo de vulnerabilidades explotadas activamente, lo que equivale a una advertencia oficial de actualizar de inmediato.
En este caso, el parche nunca se aplicó. El agente explotó la falla y avanzó desde ese primer servidor: recolectó credenciales, dejó puertas de acceso persistentes y finalmente alcanzó otro servidor de producción con una base de datos MySQL, el objetivo real.
La máquina se corrigió sola en 31 segundos
La evidencia más contundente de que ningún humano estaba tecleando, según Sysdig, se reduce a un solo momento. El agente intentó crear una cuenta de administrador. El login falló. Treinta y un segundos después, envió un comando corregido que diagnosticó el error, borró la cuenta rota y armó una funcional desde cero.
Un humano leyendo el mensaje de error, deduciendo la causa y escribiendo un script nuevo tardaría bastante más, sostienen los investigadores. Otra pista fue que el código generado por la IA incluía comentarios en lenguaje natural explicando por qué convenía borrar tal o cual base de datos primero. Los atacantes humanos casi nunca escriben comentarios de ese tipo, según Sysdig. Los modelos de IA los agregan por reflejo.
El agente terminó cifrando 1.342 entradas de configuración y borrando las tablas originales. La nota de rescate exigía pago en Bitcoin y listaba una dirección de Proton Mail. Pero la clave de descifrado se mostró una sola vez y nunca se guardó ni envió a ningún lado: pagar el rescate no habría recuperado los datos. La dirección Bitcoin, además, resultó ser un ejemplo bien conocido de documentación para desarrolladores, muy probablemente extraído de los datos de entrenamiento del modelo.
¿Qué falla estructural expone este ataque?
Ninguna de las técnicas individuales era nueva. El ataque explotó vulnerabilidades conocidas de larga data y contraseñas por defecto débiles. Lo novedoso es que un modelo de IA encadenó todo en una operación de extorsión completa por su cuenta. Eso reduce la barrera para el ransomware al costo de correr un agente de IA. Todavía no hay confirmación independiente por parte de la víctima, autoridades ni otras firmas de seguridad. Sysdig, además, comercializa productos diseñados para detectar precisamente este tipo de ataques automatizados.
Shane Barney, chief information security officer de Keeper Security, entregó una lectura más sobria a Hackread. Dijo que JADEPUFFER debe leerse menos como ciencia ficción y más como una falla de gestión de credenciales a velocidad de máquina. El factor decisivo no fueron técnicas de ataque novedosas: fueron secretos expuestos, contraseñas por defecto sin cambiar, acceso privilegiado abierto de par en par y ausencia de monitoreo en tiempo real de las sesiones activas.
Barney citó un estudio de Keeper según el cual el 72 por ciento de las organizaciones no puede detectar el uso indebido de credenciales en tiempo real y muchas veces no advierte el acceso privilegiado no autorizado hasta horas después de iniciado. Esa brecha se vuelve peligrosa cuando un agente de IA puede pasar de un login fallido a una cuenta de administrador funcional en menos de un minuto.
¿Qué medidas concretas recomienda el CISO de Keeper?
La conclusión de Barney es directa. El acceso privilegiado debe estar limitado en tiempo y acotado a tareas puntuales. Los secretos deben vivir en bóvedas protegidas con rotación periódica. Y las sesiones deben monitorearse mientras están activas, no después de consumado el daño.




