La semana pasada, investigadores de la firma de seguridad en la nube Sysdig dijeron que habían documentado el primer caso conocido de «ransomware agente». Fue una operación de extorsión, denominada JadePuffer, en la que un agente de inteligencia synthetic (no un humano) manejó la ejecución técnica de un ciberataque del mundo actual de principio a fin. El agente irrumpió en un servidor weak, robó credenciales, se movió a través de la purple del objetivo, cifró archivos e incluso escribió su propia nota de rescate, adaptándose a los obstáculos en el camino como lo haría un hacker humano. La cobertura de la financiación la describió como ejecutada “sin ninguna supervisión humana”, sin “ningún ser humano en el teclado”.
Eso no es del todo lleno imagen. en un entrevista El lunes con CyberScoop, Michael Clark de Sysdig, director senior de investigación de amenazas de la compañía, aclaró que un humano todavía estaba muy involucrado, pero no en la ejecución técnica. «Un humano todavía configuró y dirigió la operación y aprovisionó la infraestructura detrás de ella, el servidor de comando y management, el servidor de preparación utilizado para los datos robados y eligió una víctima», dijo Clark. Las credenciales utilizadas para acceder a la base de datos de la víctima, añadió, no fueron recopiladas por el propio agente de IA; alguien los obtuvo por separado, mediante un compromiso previo, y los entregó a la operación.
Nada de esto contradice la afirmación unique de Sysdig, y los detalles técnicos del ataque siguen siendo notables por sí solos, incluso descabellados. El agente entró a través de un error conocido en Langflowuna standard herramienta de código abierto para crear aplicaciones LLM, luego pasó a un servidor MySQL de producción y aprovechó otra falla conocida para obtener acceso de administrador. Cifró más de 1.300 registros de configuración y no solo dejó una nota de rescate que él mismo escribió, sino que también dejó una dirección de Bitcoin a la que se podía enviar el rescate. Sysdig no ha revelado quién fue el objetivo.
Las técnicas aparentemente eran bastante comunes, lo que se destacó fue la velocidad y la transparencia involucradas. El agente solucionó un inicio de sesión fallido en 31 segundos y narró su propio razonamiento en comentarios en código de lenguaje pure durante todo el proceso.
Un detalle que inicialmente parecía enturbiar el panorama ahora se ha aclarado. Clark le había dicho a CyberScoop que Sysdig descubrió que “se utilizaron múltiples modelos en el ataque”, citando claves recolectadas para OpenAI, Anthropic, DeepSeek y Gemini, lenguaje que dejó abierta la pregunta de si varios modelos impulsaron activamente las diferentes etapas de la intrusión. Cuando se le pidió que aclarara, Clark dijo a TechCrunch que esas claves eran simplemente parte de lo que el agente robó, no evidencia de lo que lo impulsaba.
«El agente buscó en el host de Langflow cualquier cosa valiosa (claves API de proveedores, credenciales de nube, billeteras de criptomonedas y configuraciones de bases de datos) y esas claves de proveedores eran parte del botín», dijo por correo electrónico. «Son indicativos de lo que el atacante consideró que valía la pena tomar, pero no nos dicen qué modelo estaba tomando las decisiones».
Sobre el modelo que realmente ejecuta JadePuffer, Clark dijo que Sysdig «no pudo identificar el modelo específico que impulsa al agente» y no tiene visibilidad del aviso o la configuración del sistema.
La teoría del investigador de Microsoft Geoff McDonald, ofrecido en LinkedIn hace varios días, vale la pena volver a examinarlo desde esa perspectiva. McDonald sospechaba que un modelo de peso abierto sin entrenamiento de seguridad, en lugar de un modelo de frontera, estaba detrás del ataque, basándose en su propia experiencia en el equipo rojo que demostró que las capas de seguridad de los laboratorios de frontera se mantienen bien. El propio relato de Sysdig no lo confirma ni lo descarta.
La publicación de McDonald’s también advirtió que las campañas de ransomware ahora están limitadas principalmente por el presupuesto del atacante en lugar del esfuerzo humano, lo que aumenta la posibilidad de «miles o decenas de miles de campañas simultáneas». Esa preocupación es un poco más difícil de conciliar con lo que Clark describió el lunes. (Si un humano todavía tiene que elegir a cada víctima, proporcionar infraestructura y obtener credenciales de base de datos para cada operación, eso es al menos un cuello de botella).
De cualquier manera, Clark le dijo a CyberScoop, aunque Sysdig aún no ha visto la misma operación afectar a otras víctimas, dado lo barato que es administrar un agente, espera que eso cambie.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.












