Un agente de inteligencia artificial habría ejecutado de forma autónoma una campaña de extorsión que comenzó en un servidor Langflow vulnerable y terminó con la destrucción de varias bases de datos de producción. Sysdig ha bautizado la operación como JadePuffer y la considera el primer caso documentado de ransomware agéntico de extremo a extremo. El ataque no descubre técnicas inéditas, pero muestra cómo un modelo puede encadenar reconocimiento, robo de credenciales, movimiento lateral, persistencia y sabotaje sin que una persona tenga que dirigir cada paso.
Las claves del ataque de JadePuffer en 20 segundos
- Primer caso documentado, según Sysdig: la atribución a un agente autónomo se basa en el comportamiento y los rastros dejados por más de 600 cargas maliciosas.
- Acceso inicial: explotó CVE-2025-3248, una vulnerabilidad crítica de Langflow que permite ejecutar código sin autenticación en versiones anteriores a la 1.3.0.
- Adaptación automática: el agente corregía sus errores y llegó a pasar de un inicio de sesión fallido a una solución funcional en 31 segundos.
- Objetivo final: un servidor de producción expuesto a internet con MySQL y el servicio de configuración Nacos.
- Daño causado: cifró 1.342 elementos de configuración, eliminó tablas originales y terminó borrando esquemas completos de bases de datos.
- Sin recuperación posible: la clave de cifrado no quedó almacenada ni fue enviada al atacante, por lo que pagar el rescate no habría permitido recuperar los datos.
- Había intervención humana inicial: una persona preparó la infraestructura, seleccionó el objetivo y aportó algunos accesos; el agente dirigió la ejecución posterior.
- Medida urgente: actualizar Langflow, retirar Nacos y las bases de datos de internet y sacar las credenciales cloud de los servidores de orquestación de IA.
JadePuffer entró por una instancia de Langflow accesible desde internet. Esta plataforma de código abierto se utiliza para crear aplicaciones y flujos con modelos de lenguaje, por lo que suele convivir con claves de proveedores de IA, credenciales cloud y conexiones a otros servicios internos.
La vulnerabilidad CVE-2025-3248 afectaba al punto de validación de código de Langflow. Un atacante remoto podía enviar una petición preparada y ejecutar Python en el servidor sin necesidad de autenticarse. El fallo recibió una puntuación de gravedad de 9,8 sobre 10, fue incorporado al catálogo de vulnerabilidades explotadas de CISA y quedó corregido en Langflow 1.3.0.
La existencia de un parche desde 2025 no impidió que la instalación analizada continuara expuesta. Este detalle explica buena parte del alcance real de JadePuffer: la inteligencia artificial no descubrió una vulnerabilidad desconocida ni rompió un sistema correctamente protegido. Automatizó el aprovechamiento de fallos conocidos, configuraciones débiles y servicios administrativos que nunca deberían haber estado abiertos a internet.
Un agente que razonaba, probaba y corregía sus errores
Una vez dentro de Langflow, JadePuffer comenzó a identificar el sistema, examinar procesos y buscar secretos. Revisó variables de entorno, archivos de configuración y bases de datos en busca de claves para OpenAI, Anthropic, Gemini, DeepSeek y otros proveedores de modelos. También rastreó credenciales de AWS, Azure, Google Cloud, Alibaba, Tencent y Huawei, junto con accesos a bases de datos y posibles carteras de criptomonedas.
El agente volcó la base de datos PostgreSQL utilizada por Langflow, examinó los datos y eliminó posteriormente los archivos temporales. Después recorrió la red interna en busca de servicios accesibles, sistemas de almacenamiento, bases de datos y gestores de secretos.
Sysdig observó además cómo intentaba acceder a MinIO, una plataforma de almacenamiento compatible con S3 que suele utilizarse para copias, modelos de aprendizaje automático, estados de Terraform y datos de aplicaciones. Cuando una primera petición devolvió XML en lugar del JSON esperado, JadePuffer modificó inmediatamente su analizador y repitió la consulta.
Este comportamiento es uno de los indicios que llevan a los investigadores a descartar un script rígido. La operación seguía una secuencia de planificación, ejecución, observación y ajuste. El sistema no se limitaba a repetir una orden cuando algo fallaba: interpretaba el resultado y preparaba una alternativa específica.
El ejemplo más claro se produjo al intentar crear un usuario administrador en Nacos. El primer acceso falló por un problema con la generación de la contraseña. Doce segundos después el agente comprobó simultáneamente las credenciales predeterminadas y otra forma de producir el hash. En 31 segundos había eliminado el usuario defectuoso, creado otro correctamente y logrado iniciar sesión.
Los fragmentos de código también incluían explicaciones en lenguaje natural sobre los objetivos, el valor esperado de cada base de datos y la razón de determinadas acciones. Esos comentarios eran innecesarios para ejecutar el ataque, pero frecuentes en el código generado por modelos de lenguaje.
Sysdig identificó más de 600 cargas diferentes, coherentes entre sí y lanzadas durante una ventana temporal reducida. También detectó que el agente comprendía indicaciones escritas en texto libre dentro de los sistemas atacados y actuaba en consecuencia. Para los investigadores, la combinación de estos rastros apunta a un modelo autónomo y no a una persona operando manualmente o a un conjunto convencional de scripts.
Eso no significa que el ataque surgiera sin participación humana. Michael Clark, director de investigación de amenazas de Sysdig, aclaró que una persona había preparado la infraestructura, elegido a la víctima y proporcionado algunos de los accesos iniciales. El modelo asumió después la mayor parte del trabajo operativo.
La diferencia importa. JadePuffer no es una IA que haya decidido por sí sola buscar víctimas en internet. Es una herramienta criminal dirigida hacia un objetivo, pero con suficiente autonomía para resolver problemas, reutilizar credenciales y avanzar sin esperar instrucciones humanas en cada fase.
Del servidor de IA a la destrucción de las bases de datos
El servidor Langflow era solo la puerta de entrada. El objetivo principal era otra máquina de producción expuesta a internet que ejecutaba una base de datos MySQL y Nacos, una plataforma desarrollada por Alibaba para descubrir servicios y distribuir configuraciones en arquitecturas de microservicios.
JadePuffer accedió a MySQL mediante credenciales de administrador. Sysdig no pudo determinar de dónde procedían y señala que no las vio extraerse de la infraestructura de la víctima durante la actividad analizada.
Desde ese acceso privilegiado el agente atacó Nacos por varias vías. Probó una familia de fallos de autenticación asociada a CVE-2021-29441, intentó fabricar un token JWT mediante una clave de firma predeterminada conocida e insertó directamente un usuario administrador en las tablas internas de Nacos.
También evaluó si podía utilizar funciones de MySQL para escapar del contenedor y ejecutar órdenes sobre el sistema operativo. Comprobó rutas internas, permisos de escritura, el socket de Docker y otras posibles formas de elevar el alcance del ataque. Al no encontrar un camino inmediato, limpió parte de los rastros de las pruebas y pasó a la fase de extorsión.
El agente cifró los 1.342 elementos almacenados en la tabla de configuraciones de Nacos mediante la función AES_ENCRYPT() de MySQL. Después eliminó las tablas con el contenido original y su historial y creó una tabla nueva con la nota de rescate, una dirección de Bitcoin y un correo de Proton Mail.
El mensaje aseguraba que los datos habían sido cifrados con AES-256. Sysdig matiza que MySQL utiliza de forma predeterminada AES-128-ECB en esa función, salvo que el servidor se haya configurado de otra manera. La diferencia no cambia el resultado práctico, porque el agente generó una clave aleatoria, la imprimió una sola vez en su salida y no la guardó ni la transmitió.
El supuesto ransomware no conservaba, por tanto, el medio necesario para restaurar los datos. Aunque la víctima hubiera pagado, el atacante no habría podido entregarle una clave válida. La operación se comportó en la práctica como un limpiador destructivo acompañado de una petición de rescate.
La propia dirección de Bitcoin añade otra duda. Se trata de una dirección utilizada habitualmente como ejemplo en documentación técnica sobre la criptomoneda. Sysdig no pudo determinar si pertenecía realmente al operador o si el modelo la recuperó de sus datos de entrenamiento y la insertó por error.
La destrucción no terminó en las configuraciones de Nacos. JadePuffer pasó de eliminar filas y tablas a borrar esquemas completos de bases de datos. Sus propios comentarios afirmaban que la información ya había sido copiada a un servidor externo, pero los investigadores no pudieron confirmar que esa exfiltración se hubiera producido. Lo comprobado es la pérdida de los datos y la ausencia de un mecanismo de recuperación.
El cambio está en la velocidad y en la capacidad de escalar
Ninguna de las técnicas utilizadas por JadePuffer era especialmente avanzada. El acceso inicial aprovechó un fallo conocido y parcheado; Nacos estaba expuesto y mantenía opciones de autenticación débiles; MySQL aceptaba conexiones administrativas desde internet, y algunos servicios conservaban credenciales predeterminadas.
La novedad reside en que un modelo fue capaz de conectar todas esas piezas y mantener el ataque en movimiento. Podía probar varias rutas al mismo tiempo, leer los errores, corregir el código y continuar en cuestión de segundos.
Para un grupo criminal, esto reduce la cantidad de operadores necesarios para mantener varias campañas. Una persona puede preparar objetivos y credenciales mientras diferentes agentes automatizados ejecutan el reconocimiento y las fases posteriores en paralelo.
También acorta el margen de respuesta de los defensores. Un aviso que antes podía preceder durante horas a una acción destructiva puede quedar separado del daño por unos pocos minutos. Si el equipo de seguridad depende de que una persona revise manualmente las alertas, es posible que la base de datos haya desaparecido antes de que termine el análisis.
Los modelos dejan además rastros distintos. El código excesivamente comentado, las explicaciones sobre objetivos, las correcciones casi inmediatas y las secuencias repetidas de prueba y observación pueden servir para identificar actividades agénticas. Los atacantes aprenderán a reducir estas señales, pero durante esta primera etapa ofrecen información útil para construir detecciones.
La principal lección sigue siendo menos novedosa que el uso de IA: las organizaciones deben cerrar servicios administrativos, instalar parches y limitar el alcance de las credenciales. Un agente autónomo se vuelve mucho más peligroso cuando encuentra un servidor de orquestación lleno de claves y una base de datos que acepta al usuario root desde una dirección externa.
Sysdig recomienda actualizar Langflow a una versión que corrija CVE-2025-3248 y no publicar sus puntos de validación o ejecución de código. También aconseja mantener las claves de proveedores de IA y cloud fuera del entorno de los servidores accesibles desde la web, mediante gestores de secretos y permisos ajustados a cada servicio.
Nacos no debería estar expuesto a internet. Es necesario cambiar token.secret.key, actualizar a versiones que obliguen a utilizar una clave propia y evitar que el servicio se conecte a su base de datos como administrador. Los puertos de MySQL deben restringirse por red y origen, con contraseñas únicas y cuentas sin privilegios innecesarios.
Los controles de salida son igualmente importantes. Un servidor comprometido no debería poder comunicarse libremente con cualquier dirección externa ni acceder a todos los sistemas internos. Limitar el tráfico reduce la posibilidad de establecer persistencia, sacar información o utilizar una primera máquina como puente hacia el objetivo verdadero.
JadePuffer no prueba que el ransomware tradicional haya quedado obsoleto. Muestra que los delincuentes pueden entregar parte de su trabajo a agentes capaces de ejecutar técnicas conocidas con mayor rapidez. La amenaza inmediata no es una IA dotada de intenciones propias, sino la automatización de errores de seguridad que llevan años esperando a ser corregidos.
Preguntas frecuentes
¿Es JadePuffer el primer ransomware creado con inteligencia artificial?
Sysdig lo considera el primer caso documentado de una operación de extorsión ejecutada de extremo a extremo por un agente basado en un modelo de lenguaje. Ya existían prototipos y malware asistido por IA, pero no una campaña real observada con este nivel de autonomía.
¿El ataque se produjo sin intervención humana?
No del todo. Una persona habría preparado la infraestructura, elegido el objetivo y proporcionado algunos accesos. El agente realizó después de forma autónoma el reconocimiento, los intentos de intrusión, la persistencia y la destrucción.
¿La víctima podía recuperar los datos pagando el rescate?
No. La clave utilizada para cifrar las configuraciones se generó de forma aleatoria y no quedó almacenada ni fue enviada al operador. Además, el agente eliminó tablas y bases de datos completas.
¿Cómo puede protegerse una organización frente a ataques similares?
Debe parchear Langflow, retirar Nacos y las bases de datos de internet, eliminar credenciales administrativas de los servicios web, utilizar gestores de secretos, restringir el tráfico saliente y detectar comportamientos anómalos durante la ejecución.
vía: theregister

