La semana pasada, investigadores de la firma de seguridad en la nube Sysdig dijeron haber documentado el primer caso conocido de "ransomware agentico". Se trata de una operacion de extorsion, bautizada JadePuffer, en la que un agente de IA, no un humano, manejo la ejecucion tecnica de un ciberataque real de principio a fin. El agente irrumpio en un servidor vulnerable, robo credenciales, se movio por la red del objetivo, cifro archivos e incluso escribio su propia nota de rescate, adaptandose a los obstaculos como lo haria un hacker humano. La cobertura del hallazgo lo describio como algo ejecutado "sin ninguna supervision humana" y "sin nadie al teclado".

Esa no es del todo la imagen completa. En una entrevista el lunes con CyberScoop, Michael Clark, director senior de investigacion de amenazas de Sysdig, aclaro que un humano seguia muy involucrado, solo que no en la ejecucion tecnica.

"Una persona igual monto y dirigio la operacion y aprovisiono la infraestructura detras: el servidor de comando y control, el servidor de preparacion usado para los datos robados, y eligio a la victima", dijo Clark.

Las credenciales usadas para entrar a la base de datos de la victima, agrego, no fueron obtenidas por el propio agente: alguien las consiguio por separado, mediante un compromiso previo, y las entrego a la operacion.

Que hizo exactamente el agente

Nada de esto contradice la afirmacion original de Sysdig, y los detalles tecnicos del ataque siguen siendo notables por si solos. El agente entro por un error conocido en Langflow, una popular herramienta de codigo abierto para construir apps con modelos de lenguaje, luego paso a un servidor MySQL en produccion y exploto otra falla conocida para obtener acceso de administrador. Cifro mas de 1.300 registros de configuracion y no solo dejo una nota de rescate escrita por el mismo, sino tambien una direccion de Bitcoin para enviar el pago. Sysdig no ha revelado a quien apuntaba.

Las tecnicas eran, al parecer, bastante ordinarias. Lo que llamo la atencion fue la velocidad y la transparencia: el agente corrigio un inicio de sesion fallido en 31 segundos, narrando su propio razonamiento en comentarios de codigo en lenguaje natural durante todo el proceso.

Que modelo estaba detras del ataque

Un detalle que al principio parecia enturbiar el panorama ya fue aclarado. Clark habia dicho a CyberScoop que Sysdig encontro que "se usaron multiples modelos en el ataque", citando claves robadas de OpenAI, Anthropic, DeepSeek y Gemini, un dato que dejaba abierta la duda de si varios modelos alimentaban distintas etapas de la intrusion. Consultado, Clark dijo a TechCrunch que esas claves eran simplemente parte de lo que el agente robo, no evidencia de que impulsara el ataque.

"El agente barrio el host de Langflow en busca de cualquier cosa valiosa (claves de API de proveedores, credenciales de nube, billeteras de criptomonedas y configuraciones de bases de datos) y esas claves eran parte del botin", explico por correo. "Indican lo que el atacante considero digno de llevarse, pero no nos dicen que modelo tomaba las decisiones."

Sobre el modelo que realmente corria JadePuffer, Clark dijo que Sysdig "no pudo identificar el modelo especifico que impulsaba al agente" y que no tiene visibilidad de su prompt de sistema ni de su configuracion.

La teoria del investigador de Microsoft Geoff McDonald, planteada en LinkedIn hace algunos dias, vale la pena revisar a esa luz. McDonald sospecha que detras del ataque hubo un modelo de pesos abiertos al que se le quito el entrenamiento de seguridad, y no un modelo de frontera, basandose en su experiencia de red teaming, que muestra que las capas de seguridad de los grandes laboratorios resisten bien. El relato de Sysdig no lo confirma ni lo descarta.

Cuantos ataques asi vienen

La publicacion de McDonald tambien advirtio que las campanas de ransomware ahora estan limitadas sobre todo por el presupuesto del atacante, y no por el esfuerzo humano, lo que abre la posibilidad de "miles o decenas de miles de campanas simultaneas". Esa preocupacion es un poco mas dificil de cuadrar con lo que Clark describio el lunes: si una persona todavia debe elegir cada victima, aprovisionar la infraestructura y conseguir las credenciales de base de datos para cada operacion, eso es, al menos, un cuello de botella.

De todos modos, Clark dijo a CyberScoop que, si bien Sysdig aun no ha visto la misma operacion golpear a otras victimas, dado lo barato que es correr un agente, espera que eso cambie.