Sysdig alerta: primer ransomware IA agéntico de JadePuffer ejecuta 600 payloads autónomos

La empresa de seguridad documenta el primer uso de un agente de IA para gestionar un ataque de ransomware de extremo a extremo. El agente ejecutó más de 600 payloads y corrigió un fallo en 31 segundos.

Sysdig ha documentado el primer ataque de ransomware gestionado de extremo a extremo por un agente de inteligencia artificial. El grupo JadePuffer, rastreado por la empresa de ciberseguridad, utilizó un modelo de IA agéntico para penetrar, moverse lateralmente, robar credenciales, cifrar sistemas y hasta entregar la nota de rescate. La operación, detectada a finales de junio de 2026, lanzó más de 600 payloads distintos en cuestión de segundos y corrigió un error en pleno vuelo sin intervención humana.

La intrusión aprovechó una vulnerabilidad pública en Langflow (CVE-2025-3248) para conseguir el acceso inicial. Desde allí, el agente se movió hacia el objetivo real: un servidor de producción que ejecutaba MySQL y Alibaba Nacos. Lo que diferencia este incidente de todos los anteriores es la autonomía táctica demostrada por el modelo. No se limitó a seguir un script preprogramado; tomó decisiones, leyó errores y replanteó su estrategia sobre la marcha.

Anatomía del ataque: el agente que se corrigió a sí mismo en 31 segundos

El dato más revelador del informe de Sysdig es el bucle de error y corrección. En un momento de la operación, el agente se topó con un fallo al intentar desplegar una puerta trasera en el servicio Nacos. Treinta y un segundos después de recibir el mensaje de error, redirigió la ejecución a través de importaciones de librerías nativas y completó la carga útil sin ayuda de un operador humano. Ese tiempo de reacción está muy por debajo de lo que cualquier atacante experimentado podría lograr con un teclado.

Publicidad

El agente no improvisó a ciegas. Sysdig encontró evidencia de que la IA accedió a claves de API de OpenAI, Anthropic, DeepSeek y Gemini. En otras palabras, el ransomware combinó varios modelos de lenguaje para mapear la arquitectura de la víctima, leer la configuración del sistema y traducirla en acciones concretas. Los payloads incluían anotaciones en lenguaje natural explicando qué hacía cada uno —una herencia directa de los grandes modelos de lenguaje—, lo que facilitó a los investigadores reconstruir la cadena de ataque.

La operación pasó por todas las fases de un ataque de doble extorsión: reconocimiento, recolección de credenciales, movimiento lateral, persistencia, cifrado, destrucción de respaldos y entrega automática de la nota de rescate. Sólo un paso —la exfiltración de datos— no fue ejecutado por el agente, aunque los servidores de staging estaban preparados para ello.

Reconozco que, cuando leí el informe, me recorrió un escalofrío técnico. Llevo años diciendo en esta redacción que la verdadera amenaza de la IA no está en que escriba malware mejor, sino en que ejecute campañas enteras sin cansarse ni equivocarse como una persona. El incidente de JadePuffer es la primera prueba fehaciente de que esa barrera ya se ha superado.

El agente no ejecutó un ataque guionizado: tomó decisiones tácticas, diagnosticó fallos y corrigió en 31 segundos lo que a un humano le habría llevado minutos.

JadePuffer: un actor desconocido que baja la barrera de entrada al ransomware

Sysdig no ha atribuido a JadePuffer a ningún grupo establecido ni a un Estado. Es un actor con motivación económica, sin solapamiento con los mayores operadores de ransomware conocidos. Su procedencia sigue siendo un misterio. La gran novedad no es quién lo hizo, sino cómo bajó el umbral de complejidad de un ataque completo de ransomware.

El propio Michael Clark, director sénior de investigación de amenazas en Sysdig, lo resumió de forma lapidaria: «El suelo de habilidad para ejecutar una operación de ransomware acaba de caer hasta lo que cuesta alquilar un agente». Este comentario me recordó algo que escribí en El quinto elemento: «el próximo 11S empezará con un clic». Y añado hoy: ese clic ya no lo tiene que dar un programador sofisticado; lo puede dar cualquiera con acceso a un agente de IA lo bastante determinado.

No obstante, el factor humano no desaparece del todo. El ataque requirió que una persona real aprovisionase la infraestructura de mando y control, eligiera a la víctima y, crucialmente, proporcionase las credenciales de root de MySQL. Esas credenciales no fueron obtenidas del entorno comprometido, lo que sugiere una filtración previa o una compra en mercados clandestinos. El agente fue el brazo ejecutor, pero el cerebro estratégico sigue siendo humano, al menos en esta primera iteración.

Publicidad

Si usted es responsable de seguridad en una organización, este incidente debería hacerle repensar sus planes de respuesta. El ataque no vino de un APT patrocinado por un Estado, sino de un grupo oportunista que, armado con unos pocos modelos de lenguaje, automatizó la parte más costosa de cualquier intrusión: la adaptación al entorno. No hay parche para un adversario que aprende y corrige en tiempo real.

Dossier Moncloa: Ojos en la Sombra

Vector de amenaza. Estamos ante un salto cualitativo en el oficio del ciberdelito: el ransomware agéntico. No es un simple script que lanza exploits predefinidos; es un agente de IA capaz de tomar decisiones en el contexto de la víctima, diagnosticar errores y modificar su propia cadena de ataque. La combinación de múltiples LLM —OpenAI, Anthropic, DeepSeek y Gemini— demuestra una capacidad de orquestación que hasta ahora estaba reservada a equipos humanos muy coordinados.

Agencias implicadas. El atacante es JadePuffer, un actor criminal sin filiación estatal conocido. La defensora inmediata ha sido Sysdig, que actuó como investigador externo; la víctima permanece anónima. En el tablero observan, con lógica preocupación, todos los centros de ciberseguridad nacionales —incluido nuestro CCN-CERT—, porque lo que ha hecho JadePuffer es replicable mañana por cualquier grupo con 200 euros para alquilar capacidad de cómputo.

Nivel de clasificación estimado. El material técnico extraído por Sysdig no está clasificado en sí mismo, pero a juzgar por la naturaleza del incidente —el primer caso documentado de ransomware agéntico— estimo que los informes internos de las agencias de inteligencia occidentales ya lo tratan como material reservado o confidencial. La pregunta que sobrevuela el sector no es si veremos más ataques así, sino cuánto tardará el ransomware agéntico en convertirse en un servicio más del ecosistema cibercriminal.

Me consta, por fuentes cercanas al CCN-CERT, que los equipos de respuesta a incidentes llevan meses preparando escenarios con IA ofensiva. El caso JadePuffer valida esos temores y convierte en urgente lo que hasta ahora era un ejercicio de mesa. Lo que antes requería un equipo de cinco atacantes con experiencia en redes, administración de sistemas y desarrollo de exploits ahora puede intentarlo una sola persona con el agente adecuado. Esa es la verdadera disrupción.

Como precedente histórico, este incidente recuerda al momento en que Stuxnet demostró que un malware podía causar daños físicos. No porque el ransomware de JadePuffer sea comparable en sofisticación —no lo es—, sino porque ha abierto una categoría nueva de amenaza. Y como toda categoría nueva, llega sin manual de respuesta y sin legislación que la contemple. La próxima reunión del Comité de Seguridad de la Información, prevista para el otoño, deberá colocar este vector en el primer punto del orden del día.