JadePuffer, el primer ransomware ejecutado de punta a punta por un agente de IA
Un agente de IA robó credenciales, se movió por la red y cifró una base de datos sin intervención humana.
TL;DR:
- Sysdig documentó el primer caso conocido de ransomware operado por completo por un modelo de lenguaje, sin humano al teclado.
- El agente entró por una falla crítica en Langflow (CVE-2025-3248, puntaje 9.8), robó credenciales, saltó a otra red y cifró 1,342 configuraciones de una base de datos de producción.
- La víctima no puede recuperar sus datos ni pagando: la clave de cifrado se generó al azar y nunca se guardó.
El equipo de investigación de amenazas de Sysdig documentó JadePuffer, lo que describe como el primer caso conocido de ransomware operado de principio a fin por un modelo de lenguaje, sin una persona al teclado. El agente entró por una falla en Langflow, un servidor expuesto a internet, robó credenciales, se movió hacia otra red, instaló persistencia y terminó cifrando y borrando una base de datos de producción. Lo hizo solo y corrigiendo sus propios errores sobre la marcha: en una secuencia pasó de un inicio de sesión fallido a una solución funcional en 31 segundos. La firma publicó el análisis el 1 de julio de 2026 y lo enmarca como la llegada de los "actores de amenazas agénticos", operadores cuya capacidad de ataque la ejecuta una IA en lugar de un humano.
Cómo entró: una falla en Langflow que no pedía contraseña
Langflow es un framework de código abierto para construir aplicaciones y flujos de agentes basados en modelos de lenguaje. La puerta de entrada fue CVE-2025-3248, una falla de autenticación ausente en uno de sus endpoints que permite a un atacante sin credenciales ejecutar código de forma remota en el servidor. El registro oficial del NIST la clasifica como crítica, con puntaje 9.8, y CISA la incluyó en su catálogo de vulnerabilidades explotadas activamente desde mayo de 2025. Se corrigió ese mismo año.
El problema es que muchas instancias de Langflow siguen asomadas a internet. Y son un objetivo apetecible por una razón concreta: suelen guardar llaves de APIs de proveedores de IA y credenciales de nube en su propio entorno, y muchas veces se levantan a las prisas, sin controles de red que las protejan.
Robo de credenciales, salto a otra red y 1,342 configuraciones cifradas
La operación tuvo dos escenarios. En el primero, el del servidor Langflow, el agente reconoció la máquina y barrió el entorno en busca de secretos: llaves de APIs de proveedores como OpenAI y Anthropic, credenciales de nube (con cobertura explícita de proveedores chinos, además de AWS, Google y Azure), monederos de criptomonedas y credenciales de bases de datos. Volcó la propia base Postgres de Langflow, encontró un almacén de objetos MinIO al que llegó con credenciales por defecto e instaló una tarea programada que se comunicaba con la infraestructura del atacante cada 30 minutos.
Desde ahí saltó a su objetivo real: un segundo servidor de producción, también expuesto a internet, que corría una base de datos MySQL y el servicio de configuración Nacos, de Alibaba. Entró con credenciales de administrador cuyo origen Sysdig no pudo determinar. Atacó Nacos por varios frentes a la vez, incluida una falla de autenticación de 2021 y una llave de firma por defecto documentada públicamente desde hace años, y se plantó una cuenta de administrador propia.
Luego vino el rescate. Los registros capturados muestran al agente cifrando las 1,342 configuraciones de Nacos, borrando las tablas originales y dejando una nota de extorsión con una dirección de Bitcoin y un contacto de Proton Mail. Después escaló: pasó de borrar registros a tirar bases de datos completas, y en sus propios comentarios anotaba cuáles priorizaba por ser las más "rentables".
Por qué Sysdig descarta que detrás hubiera un humano
La firma apoya su conclusión en varias líneas de evidencia, y dos son las más claras. La primera es el código que se narra a sí mismo. Los comandos venían saturados de comentarios en lenguaje natural que explicaban el porqué de cada paso: por qué priorizaba ciertas bases de datos, por qué señalaba una como la "más grande" antes de borrarla. Un operador humano no anota así los scripts desechables que escribe para una intrusión; un modelo de lenguaje lo hace por reflejo.
La segunda es la velocidad con la que corregía sus fallos. Cuando algo salía mal, el agente no repetía el intento a ciegas: diagnosticaba la causa exacta y lanzaba un arreglo específico, a veces en segundos.
"La operación también se adaptó en tiempo real, reintentando los pasos fallidos con parámetros ajustados. En una secuencia, pasó de un inicio de sesión fallido a una corrección funcional en 31 segundos."
Sysdig contabilizó más de 600 comandos distintos y con propósito ejecutados en una ventana muy comprimida. Hubo hasta un detalle curioso: la dirección de Bitcoin de la nota de rescate coincide con el ejemplo que aparece de forma canónica en la documentación para desarrolladores de Bitcoin, lo que abre la posibilidad de que el modelo la haya reproducido de sus datos de entrenamiento. La firma no pudo confirmar si fue eso o una billetera real configurada por el operador.
La parte incómoda: la IA automatiza el descuido de siempre
Ninguna de las técnicas por separado era nueva ni sofisticada. Lo llamativo es que un modelo las encadenó en una operación completa contra infraestructura olvidada y expuesta a internet. El ataque al segundo servidor se apoyó en problemas viejos: una falla de Nacos de 2021, una llave por defecto que nadie cambió, credenciales por defecto y una cuenta de administrador de base de datos abierta a internet.
Ese es el verdadero aviso. Para un agente, rastrear todo el catálogo histórico de vulnerabilidades sale prácticamente gratis, así que la larga cola de sistemas sin parchear queda más expuesta, no menos. El costo de operar un ransomware bajó a lo que cuesta correr un agente, y si ese agente funciona con cómputo de IA robado, el gasto para el atacante se acerca a cero.
El golpe pega más fuerte donde la disciplina de parches es más floja. Muchas organizaciones pequeñas y medianas en América Latina y España mantienen servicios asomados a internet con configuraciones mínimas. Para ellas el mensaje es directo: el atacante ya no necesita ser un experto.
Hay un lado defensivo en todo esto. Como el modelo narra sus propias intenciones, sus comandos dejan una huella que antes no existía, y los equipos de seguridad pueden usarla para detectar y clasificar la amenaza. Las recomendaciones de Sysdig apuntan a lo básico y verificable:
- Parchear Langflow a una versión que corrija CVE-2025-3248 y no exponer a internet los endpoints que ejecutan código.
- No dejar llaves de APIs ni credenciales de nube dentro del entorno de un servidor de orquestación de IA.
- Cambiar credenciales y llaves de firma por defecto, y nunca desplegar los valores que trae la documentación.
- No exponer a internet la cuenta administradora de una base de datos, y restringir el acceso por IP de origen.
- Aplicar controles de salida para que un servidor comprometido no pueda comunicarse con cualquier destino externo.
Preguntas rápidas sobre JadePuffer
¿Qué es un actor de amenazas agéntico?
Es un atacante cuya capacidad ofensiva la ejecuta un agente de IA en lugar de una persona. El modelo reconoce el objetivo, roba credenciales, se mueve por la red y ejecuta el ataque de forma autónoma. Sysdig usa el término para describir el caso de JadePuffer.
¿Se pueden recuperar los datos si la víctima paga el rescate?
No. Según Sysdig, la clave de cifrado se generó de forma aleatoria, se mostró una sola vez en pantalla y nunca se guardó ni se envió al atacante. Sin esa clave, las configuraciones cifradas son irrecuperables aunque se pague.
¿Sigue siendo peligrosa la falla de Langflow?
La falla CVE-2025-3248 se corrigió en 2025 y CISA la marcó como explotada activamente desde mayo de ese año. El riesgo persiste en las instancias que siguen expuestas a internet y sin actualizar, que es justo por donde entró el agente.
JadePuffer no abrió camino técnico. Demostró algo más incómodo: la experiencia que antes hacía falta para montar una campaña de extorsión ahora se puede alquilar por hora. Los servidores en mayor riesgo son los que ya estaban olvidados, aplicaciones asomadas a internet, almacenes de configuración sin endurecer y cuentas de administrador de bases de datos abiertas al mundo. Parchearlos dejó de ser opcional el día en que una máquina pudo atacarlos todos a la vez.