Ciberseguridad
Sysdig descubre el primer ataque de ransomware ejecutado completamente por una IA
El equipo de investigación de amenazas de Sysdig encontró un agente de IA, rastreado como JADEPUFFER, que explotó una vulnerabilidad no parcheada en Langflow para irrumpir, robar credenciales, moverse lateralmente y cifrar una base de datos de producción. El ataque se ejecutó sin un operador humano, lo que genera alarmas sobre la democratización del ransomware.

La firma de seguridad Sysdig afirma haber encontrado lo que cree es el primer ataque de ransomware ejecutado de principio a fin por un agente de IA.
Su equipo de investigación de amenazas llama al operador JADEPUFFER y dice que un modelo de lenguaje de gran tamaño manejó todo el proceso: irrumpir, robar credenciales, moverse más profundamente en la red y luego cifrar y borrar la base de datos de producción de una empresa.
El ransomware siempre ha necesitado a una persona capacitada en algún lugar del proceso, ya sea al teclado o escribiendo el script que sigue el malware. Si un modelo puede encadenar esos pasos por sí solo, la habilidad necesaria para ejecutar un ataque se reduce a lo que cuesta alquilar un agente de IA.
Cómo se desarrolló el ataque
La puerta de entrada fue un bug antiguo, ya parcheado. JADEPUFFER explotó la CVE-2025-3248, una falla de autenticación faltante en Langflow, una herramienta de código abierto para construir aplicaciones de IA y flujos de trabajo de agentes. La falla permite que cualquiera que pueda acceder al servidor ejecute su propio código Python en él, sin necesidad de iniciar sesión.
Los servidores de Langflow son un objetivo tentador porque a menudo están expuestos en internet y contienen claves API y credenciales en la nube para los servicios a los que se conectan.
La falla fue corregida en Langflow 1.3.0 y agregada a la lista de vulnerabilidades explotadas conocidas de CISA en mayo de 2025, pero muchos servidores nunca se actualizaron. Ni siquiera es la única vulnerabilidad de Langflow que se está explotando de esta manera.
Una vez dentro, el agente trabajó rápido y se encargó de cubrir sus huellas. Mapeó la máquina y luego la rastreó en busca de secretos: claves API para servicios de IA (OpenAI, Anthropic, DeepSeek, Gemini), credenciales en la nube (proveedores chinos como Alibaba y Tencent junto con AWS, Google y Azure), claves de billeteras de criptomonedas e inicios de sesión de bases de datos.
Asaltó un servidor de almacenamiento MinIO utilizando su inicio de sesión predeterminado de fábrica (minioadmin:minioadmin), que nunca había sido cambiado. También estableció una forma de regresar, agregando una tarea programada que hacía ping al servidor del atacante cada 30 minutos.
Luego se dirigió a su objetivo real: un servidor separado, expuesto a internet, que ejecutaba una base de datos MySQL y Nacos de Alibaba, un directorio de configuraciones y servicios común en configuraciones de microservicios. El agente inició sesión en la base de datos como root.
Sysdig dice que nunca vio de dónde provenían esas credenciales de root, por lo que su origen es desconocido. Desde allí, tomó el control de Nacos utilizando una omisión de autenticación de 2021 (CVE-2021-29441) y una clave de firma predeterminada que Nacos ha enviado sin cambios desde 2020, y luego instaló su propia cuenta de administrador.
La nota de rescate sin clave
El agente cifró las 1.342 configuraciones de Nacos, eliminó las tablas originales y dejó una nota de rescate exigiendo Bitcoin con un contacto de Proton Mail. Generó una clave de cifrado aleatoria, la imprimió en pantalla una vez y nunca la guardó ni la envió a ningún lado.
No hay clave que entregar. La víctima no puede recuperar los datos incluso si paga. (La nota afirma usar AES-256; Sysdig señala que la herramienta utilizada por defecto usa AES-128, más débil, aunque el resultado es el mismo).
Luego fue más allá, eliminando bases de datos enteras y dejando un comentario en su propio código afirmando que ya había copiado los datos a otro lugar.
Sysdig dice que eso es el agente hablando, no algo que el equipo pueda confirmar, y no encontró evidencia de que algún dato fuera realmente extraído.
Cómo saben los expertos que una IA estaba al mando
La señal más clara fue el código en sí. Las cargas útiles del ataque estaban llenas de notas en inglés sencillo que explicaban por qué se estaba tomando cada paso, el comentario continuo que un hacker humano nunca se molesta en escribir, pero que un modelo produce por defecto. El agente también corrigió sus propios errores a velocidad de máquina.
En un caso, pasó de un inicio de sesión fallido a una corrección correcta de varios pasos en 31 segundos, diagnosticando la causa exacta en lugar de volver a intentarlo a ciegas. Sysdig contó más de 600 cargas útiles intencionadas y separadas en toda la operación.
Un detalle sigue siendo un enigma. La dirección Bitcoin en la nota de rescate es la dirección de muestra exacta que aparece en toda la documentación para desarrolladores de Bitcoin, lo que significa que aparece por todo el texto en el que estos modelos están entrenados. También es una billetera real y activa con un largo historial de pagos.
Sysdig no puede determinar si el modelo simplemente pegó una dirección familiar de la memoria, o si el operador usó deliberadamente una billetera real que casualmente coincide con el famoso ejemplo.
Parte de un cambio más grande
JADEPUFFER es el último paso en un año de rápidos movimientos para los ataques impulsados por IA. En agosto de 2025, investigadores de ESET señalaron a PromptLock, presentado como el primer ransomware impulsado por IA; luego resultó ser un prototipo de laboratorio de la NYU llamado Ransomware 3.0, no un ataque real.
Alrededor de la misma época, Anthropic informó de una campaña de extorsión real que utilizó su herramienta Claude Code para atacar al menos a 17 organizaciones, con demandas de hasta 500.000 dólares, aunque un humano todavía dirigía esa.
En noviembre de 2025, Anthropic reveló lo que llamó el primer ciberataque en gran medida autónomo, un esfuerzo de espionaje vinculado al estado chino que hizo que Claude escribiera exploits y robara datos con poca ayuda humana. Esa operación también tuvo a la IA inventando credenciales que no existían, posiblemente el mismo tipo de alucinación detrás de la extraña dirección Bitcoin de JADEPUFFER.
Las piezas de un ataque serio se están automatizando, y el software antiguo y sin parches es el primer objetivo fácil. Los agentes hacen que rociar todo el catálogo de bugs conocidos sea casi gratuito, por lo que los servidores descuidados quedan más expuestos, no menos.
Qué deben hacer los defensores
Las soluciones son conocidas. Parchear Langflow y nunca exponer sus endpoints de ejecución de código a internet. No ejecutar herramientas de IA con claves en la nube y credenciales de proveedores en su entorno; mantener los secretos en un gestor adecuado, lejos de cualquier cosa a la que la web pueda acceder.
Fortalecer Nacos: cambiar la clave de firma predeterminada, mantenerlo fuera de la internet pública y nunca permitir que se conecte a su base de datos como root. Nunca exponer la cuenta de administrador de una base de datos a internet, y bloquear el tráfico saliente para que un servidor hackeado no pueda comunicarse con el exterior.
Debido a que los atacantes ahora pueden weaponizar un aviso nuevo en cuestión de horas, Sysdig sostiene que observar el mal comportamiento en tiempo de ejecución es más importante que apresurarse a parchear.
Los indicadores publicados por Sysdig para esta operación incluyen:
- Punto de entrada: CVE-2025-3248 (ejecución remota de código no autenticada en Langflow)
- Comando y control: 45.131.66[.]106, con un beacon a hxxp://45.131.66[.]106:4444/beacon cada 30 minutos
- Servidor de staging reclamado: 64.20.53[.]230
- Dirección Bitcoin del rescate: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; contacto e78393397[@]proton[.]me; nombre de la tabla de rescate: README_RANSOM
Sysdig califica a JADEPUFFER como una señal de advertencia más que una crisis. Ninguno de los movimientos individuales fue ingenioso o nuevo. Lo nuevo es que un modelo los unió en un ataque completo contra un servidor descuidado, por sí solo.
Espere más de lo mismo a medida que las herramientas de agentes maduren, y trate cualquier servidor expuesto, tienda de configuraciones o inicio de sesión de administrador de base de datos como algo que una máquina sondeará, no solo una persona.