Ciberseguridad

El primer ransomware autónomo con IA aún necesitaba un humano al final

Adrian Kessler

El ransomware que acaba de copar los titulares de seguridad no fue guiado por un hacker pegado a una terminal. Un agente de IA manejó de forma independiente cada fase técnica del ataque: mapear el objetivo, robar credenciales, moverse entre sistemas y cifrar más de mil registros de base de datos. Lo que no pudo hacer fue montar su propia infraestructura de cobro ni enviar la demanda de rescate.

La empresa de seguridad en la nube Sysdig documentó la intrusión y la bautizó como JadePuffer. El agente entró a través de CVE-2025-3248, una vulnerabilidad de ejecución remota de código sin autenticación en Langflow, un framework de código abierto usado para construir aplicaciones potenciadas por IA. Desde ese punto de apoyo, recorrió el entorno en busca de claves API, tokens de acceso a la nube y credenciales de bases de datos; luego saltó a un servidor MySQL de producción y cifró 1.342 ítems de configuración alojados en Nacos — un registro de servicios empresarial muy extendido en pilas de infraestructura de origen chino.

El detalle más llamativo no es la amplitud del ataque, sino su autocorrección. Cuando un intento de forjar credenciales de administrador falló por un error en la configuración de rutas, el agente diagnosticó la causa raíz, escribió un script de remediación de 15 pasos y lo ejecutó en 31 segundos. Eso es demasiado rápido para que un operador humano hubiera diagnosticado, escrito y ejecutado una solución: el comportamiento apunta a un razonamiento genuino sobre la marcha, no a playbooks predefinidos.

Nada de esto significa que las operaciones de ransomware vayan a funcionar sin personas. El ataque aún requirió que un humano configurara el servidor de mando y control, registrara la dirección de contacto del rescate en ProtonMail y construyera la infraestructura antes de desplegar el agente. La clave de cifrado que generó JadePuffer nunca se almacenó ni transmitió, lo que significa que las víctimas no pueden recuperar sus datos aunque paguen — un fallo que refleja un diseño operativo deficiente o una indiferencia hacia la negociación posterior al ataque.

Lo que realmente documenta JadePuffer es una reducción de costes, no un traspaso de poderes. Cada fase que antes requería experiencia especializada — movimiento lateral, escalada de privilegios, enumeración de bases de datos, corrección de errores en tiempo real — ahora puede delegarse en un agente. La conclusión de Sysdig es directa: el listón de habilidades para las operaciones de ransomware ha caído hasta lo que cueste ejecutar un modelo de lenguaje.

El ataque se dirigió a instalaciones de Langflow expuestas a internet. Unas 7.000 instancias vulnerables se contabilizaron cuando la CVE de Langflow se hizo pública. Cualquier organización que ejecute Langflow, Nacos o infraestructura similar de LLM de código abierto sin parchear en servidores accesibles desde internet está en la misma ventana de exposición. No se trata de un consejo nuevo; es la misma guía de postura que existía antes de los agentes de IA. La diferencia es que el operador que sondea esos servicios expuestos ahora actúa de forma automática.

La vulnerabilidad de Langflow se parcheó en abril de 2025. Sysdig publicó indicadores de compromiso completos, incluyendo direcciones IP del C2 y la dirección de contacto del rescate. CISA tiene un borrador de guía sobre las restricciones de los sistemas de IA agéntica que se espera para finales de este año; la cuestión de dónde acaba la autoridad de un agente de IA desplegado y dónde empieza la rendición de cuentas aún no ha producido una política.

Etiquetas: , , , , ,

Debate

Hay 0 comentarios.