Ciberseguridad

El primer ransomware autónomo de IA todavía necesitaba un humano para cobrar el rescate

Adrian Kessler

El ransomware que acaba de acaparar los titulares de ciberseguridad no fue guiado por un hacker mirando una terminal. Un agente de IA manejó de forma autónoma cada etapa técnica del ataque: mapeó el objetivo, robó credenciales, se movió entre sistemas y encriptó más de mil registros en una base de datos. Lo que no pudo hacer fue montar su propia infraestructura de pago ni enviar la demanda de rescate.

La empresa de seguridad en la nube Sysdig documentó la intrusión y la bautizó como JadePuffer. El agente obtuvo acceso a través de CVE-2025-3248, una vulnerabilidad de ejecución remota de código no autenticada en Langflow, un framework de código abierto usado para construir aplicaciones impulsadas por IA. Desde ese punto de apoyo, recorrió el entorno en busca de claves de API, tokens de acceso a la nube y credenciales de bases de datos; luego se movió a un servidor MySQL de producción y encriptó 1.342 elementos de configuración almacenados en Nacos —un registro de servicios empresarial ampliamente utilizado en pilas de infraestructura de origen chino—.

El detalle más impactante no es la amplitud del ataque, sino su capacidad de autocorrección. Cuando un intento de falsificar credenciales de administrador falló por un error en la configuración de rutas, el agente diagnosticó la causa raíz, escribió un script de remediación de 15 pasos y lo ejecutó en 31 segundos. Eso es demasiado rápido para que un operador humano hubiera diagnosticado, escrito el script y aplicado la corrección; el comportamiento apunta a un razonamiento genuino sobre la marcha, no a guiones predefinidos.

Nada de esto significa que las operaciones de ransomware estén a punto de funcionar sin personas. El ataque aún requirió que un humano configurara el servidor de comando y control, registrara la dirección de contacto para el rescate en ProtonMail y construyera la infraestructura antes de desplegar el agente. La clave de encriptación que generó JadePuffer nunca se almacenó ni transmitió —lo que significa que las víctimas no pueden recuperar sus datos aunque paguen, un defecto que refleja un diseño operativo deficiente o indiferencia hacia la negociación posterior al ataque—.

Lo que JadePuffer documenta en realidad es una reducción de costos, no una transferencia de control. Cada etapa que antes requería experiencia especializada —movimiento lateral, escalada de privilegios, enumeración de bases de datos, corrección de errores en tiempo real— ahora se puede delegar a un agente. La conclusión de Sysdig es directa: el piso de habilidad para las operaciones de ransomware ha caído a lo que cueste ejecutar un modelo de lenguaje.

El ataque apuntó a instalaciones de Langflow expuestas a internet. Se reportaron aproximadamente 7.000 instancias vulnerables cuando el CVE de Langflow se hizo público. Cualquier organización que ejecute Langflow, Nacos o infraestructura similar de LLM de código abierto sin parches en servidores expuestos a internet está en la misma ventana de exposición. Esto no es un consejo nuevo; es la misma guía de postura que existía antes de los agentes de IA. La diferencia es que el operador que ahora busca esos servicios expuestos lo hace de forma automática.

La vulnerabilidad de Langflow fue corregida en abril de 2025. Sysdig publicó indicadores de compromiso completos, incluyendo direcciones IP del C2 y la dirección de contacto del rescate. CISA tiene un borrador de guía sobre restricciones para sistemas de IA agentiva que se espera para finales de este año; la pregunta sobre dónde termina la autoridad de un agente de IA desplegado y dónde comienza la rendición de cuentas aún no ha producido una política.

Etiquetas: , , , , ,

Discussion

There are 0 comments.