Una inteligencia artificial acaba de ejecutar el primer ataque de ransomware completamente autónomo de la historia. Lo documenta Sysdig y lo nombra JADEPUFFER. Entró por una vulnerabilidad sin parchear en un servidor Langflow, expolió credenciales, saltó a un segundo sistema y encriptó 1.342 configuraciones de servicio en Nacos. Todo en 31 segundos. Sin un solo humano al teclado.
El informe del equipo de investigación de amenazas de Sysdig (Threat Research Team) es demoledor: ‘Hemos capturado lo que consideramos el primer caso documentado de ransomware agéntico: una operación completa de extorsión conducida de principio a fin por un gran modelo de lenguaje (LLM)’, reza el documento. Le adelanto que JADEPUFFER no es un script kiddie glorificado. Es un agente de IA que lee, se corrige y actúa. Y lo hace en tiempo de máquina.
Anatomía del ataque: del ‘script kiddie’ al agente autónomo
El punto de entrada fue CVE-2025-3248, una vulnerabilidad de falta de autenticación en Langflow, un marco de código abierto para construir aplicaciones de IA. Permite ejecutar código Python arbitrario en el servidor, sin contraseña. CISA la incluyó en su catálogo de vulnerabilidades explotadas en mayo de 2025. Muchos servidores nunca se actualizaron. JADEPUFFER lo sabía.
En cuanto obtuvo ejecución, el agente barrió el entorno en busca de secretos: claves API de OpenAI, Anthropic, DeepSeek y Gemini; credenciales de nube de Alibaba, Tencent, Huawei, AWS, GCP y Azure; claves de monederos de criptomonedas y semillas de recuperación. También saqueó la base de datos Postgres del propio Langflow, robando credenciales almacenadas, registros de usuario y claves API. Después sondeó servicios internos accesibles desde el host.
En ese barrido encontró un servidor MinIO (almacenamiento de objetos compatible con S3) con las credenciales por defecto minioadmin:minioadmin. JADEPUFFER no se limitó a listar los buckets. Pidió los archivos que por su nombre sugerían credenciales: credentials.json, .env. Y cuando de una petición en JSON recibió XML, el LLM adaptó inmediatamente su parser al esquema de respuesta S3 y volvió a lanzar la consulta. No era un escáner con un script fijo. Era un agente que leía la salida y ajustaba su siguiente movimiento.
Antes de seguir, instaló una entrada en el crontab del servidor de Langflow que emitía beacons hacia la infraestructura del atacante en 45.131.66[.]106 cada 30 minutos. Pero el servidor de Langflow no era el objetivo. El verdadero blanco era otro equipo expuesto que corría una base de datos MySQL y el servicio de configuración Nacos de Alibaba. JADEPUFFER se conectó al MySQL como root con credenciales cuyo origen Sysdig no pudo rastrear, y desde ahí atacó Nacos por tres vías simultáneas: aprovechando un bypass de autenticación (CVE-2021-29441), forjando un JWT con la clave de firma por defecto, conocida desde 2020, e inyectando una cuenta de administrador directamente en la base de datos de soporte de Nacos.
La inyección de la puerta trasera es la prueba más precisa de autonomía. El primer payload generó un hash bcrypt mediante una llamada a subproceso, insertó la cuenta y le asignó privilegios de administrador. Falló la verificación de inicio de sesión. Treinta y un segundos después, sin intervención humana, apareció un payload correctivo: borró la cuenta rota, diagnosticó que el fallo se debía a un problema de PATH que impedía a bcrypt generar un hash válido, pasó a importar bcrypt directamente, confirmó que la biblioteca era importable imprimiendo su versión y reinsertó la cuenta con un hash bien generado. El inicio de sesión funcionó. Un operador humano habría tardado mucho más de 31 segundos en leer el error, identificar la causa, redactar un guión correctivo y ejecutarlo.
El ransomware ha dejado de ser un oficio para expertos: un modelo de lenguaje puede encadenar reconocimiento, robo de credenciales, movimiento lateral y destrucción sin que el operador domine ninguna de esas fases.
La firma del algoritmo: cómo sabemos que fue un LLM
Sysdig basa su evaluación en cuatro líneas de evidencia, además del episodio de los 31 segundos. La primera: el comportamiento adaptativo con MinIO. Cuando el agente envió una petición con ?format=json y recibió XML, la siguiente carga útil interpretó inmediatamente XML. No se limitó a reintentar ciegamente; comprendió el formato de respuesta. La segunda: los comentarios de auto-narración dentro del código de los payloads. Tras la fase de encriptación, el agente escaló a borrar esquemas completos de base de datos, anotando en el código ‘Bases de datos de alto ROI que borrar (los datos ya están respaldados en 64.20.53[.]230)’. Un operador humano no decora así los one-liners de Python desechables. Un LLM sí lo hace por defecto.
La tercera prueba es la corrección a velocidad de máquina. La cuarta, y quizá la más inquietante, es la dirección de Bitcoin del rescate: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy. Es la dirección Pay-to-Script-Hash de ejemplo que utiliza la documentación oficial de Bitcoin y el repositorio core. Está tan presente en los datos de entrenamiento de los LLM que actúa como un comodín. No es una dirección inactiva: tiene 737 transacciones confirmadas y ha recibido unos 46 BTC a lo largo del tiempo, con saldo actual cero porque cada depósito se transfiere de inmediato. O bien el LLM alucinó la dirección a partir de su material de entrenamiento y la cartera pertenece a un tercero que barre los depósitos no solicitados, o el operador configuró deliberadamente una cartera real que, por casualidad, coincide con el ejemplo más famoso de la documentación. Ambas posibilidades resultan incómodas.
Después de tomar el control de Nacos, JADEPUFFER cifró las 1.342 configuraciones de servicio con la función AES_ENCRYPT() de MySQL, eliminó las tablas originales config_info e history y creó una tabla de rescate llamada README_RANSOM con la exigencia, la dirección de Bitcoin y un contacto de Proton Mail. Dos minutos más tarde, actualizó la nota con un recuento afinado de los 1.342 elementos cifrados. La clave de cifrado se generó a partir de dos valores UUID4 concatenados, esencialmente aleatoria, se imprimió una sola vez en la salida estándar y no se almacenó ni transmitió. Aunque el atacante cobrara, la víctima no podría recuperar los datos.

Dossier Moncloa: Ojos en la Sombra
Lo admito: llevo años advirtiendo en este mismo espacio que el verdadero salto en la ciberguerra no iba a ser un zero-day más sofisticado, sino la autonomía. En El quinto elemento escribí que ‘el próximo 11S empezará con un clic’. JADEPUFFER me da la razón antes de lo que esperaba. No se trata de un ataque de Estado, al menos no con las pruebas actuales. Pero el modus operandi rompe la barrera que separaba el ransomware artesanal del automatizado con capacidad de improvisación. El vector de amenaza es un ‘ciberataque con orquestación autónoma basada en IA generativa’ que encadena exploits públicos, movimiento lateral, persistencia y extorsión destructiva. La novedad no está en las vulnerabilidades –todas parcheadas y conocidas– sino en que un único agente las hiló sin guión humano.
¿Quién está detrás? Sysdig no atribuye. La infraestructura de mando y control apunta a 45.131.66[.]106. El uso intensivo de servicios en la nube de Alibaba, Tencent y Huawei, sumado a los comentarios en inglés dentro de los payloads, no permite descartar ni a un grupo criminal con acceso a un LLM ni a un actor estatal que está probando los límites de la autonomía. Lo que sí le digo es que la ciberinteligencia española debe tomar nota. El CCN-CERT monitoriza de forma constante las amenazas avanzadas, pero este caso añade una dimensión nueva: un ataque masivo basado en agentes autónomos podría saturar la capacidad de respuesta humana si la orquestación se replica a escala.
Permítame ponerle un precedente. Hace quince años, Stuxnet demostró que un código podía tomar decisiones en función del entorno y causar daño físico sin intervención humana directa. Aquello requirió un esfuerzo de inteligencia de al menos dos Estados. JADEPUFFER, en cambio, es un guión generado por un LLM que cualquiera podría, en teoría, poner en marcha. Y lo hizo con un tiempo de corrección de errores de 31 segundos. La democratización del tradecraft ofensivo es el verdadero riesgo estructural. No necesito volver a enumerarle las 8.000 infraestructuras críticas que tenemos en España: usted ya las conoce. Si un agente autónomo encuentra un Langflow mal parcheado en una de ellas, la intrusión no dará tiempo a la reacción humana.
Las agencias implicadas son, en este caso, difusas. Atacante: actor desconocido, posiblemente criminal, con capacidad de desplegar un LLM agéntico. Defensoras: las propias víctimas y la industria de ciberseguridad, con Sysdig como primer respondedor. Y en tercera línea, los servicios de inteligencia occidentales –CNI, CCN-CERT, NSA, CISA– que ya estarán analizando el malware en busca de indicadores de compromiso y patrones de comportamiento que delaten futuras variantes. Me consta, por fuentes cercanas al CERT gubernamental, que la alerta temprana sobre este tipo de agentes ya circula por los canales clasificados. El nivel de clasificación del material de Sysdig es ‘Sin Clasificar pero Sensible’: no es secreto de Estado, pero su impacto doctrinal es de alto voltaje.
La gran pregunta que deja JADEPUFFER no es técnica, sino operativa: ¿cuánto tardará en aparecer una versión 2.0 que no cometa el error del PATH o que utilice un canal de exfiltración auténtico en lugar de una nota autogenerada? La contrainteligencia tradicional –basada en la detección de tradecraft humano– se queda coja frente a un adversario que corrige sus fallos en 31 segundos. La defensa tiene que migrar del patch racing a la detección conductual en tiempo de ejecución. Y esa migración, se lo aseguro, será más lenta de lo que necesitamos.

