La semana pasada, investigadores de la empresa de seguridad en la nube Sysdig dijeron que habían documentado el primer caso conocido de “agente ransomware”. Se trataba de una operación de extorsión, llamada JadePuffer, en la que agentes de inteligencia artificial (no humanos) manejaban la ejecución técnica de un ciberataque en el mundo real de principio a fin. El agente irrumpe en servidores vulnerables, roba credenciales, se mueve a través de la red objetivo, cifra archivos e incluso escribe su propia nota de rescate, adaptándose a los obstáculos en el camino tal como lo haría un hacker humano. La política de financiación lo describe como administrado “sin supervisión humana” y sin “ningún ser humano que lo controle”.
Eso no es del todo cierto lleno imagen. en un entrevista El lunes con CyberScoop, Michael Clark de Sysdig, director senior de investigación de amenazas de la compañía, aclaró que los humanos todavía están muy involucrados, pero no en la ejecución técnica. “Un ser humano todavía organiza y dirige la operación y proporciona la infraestructura detrás de ella, los servidores de comando y control, los servidores de preparación que se utilizan para los datos robados y la selección de víctimas”, dijo Clark. Las credenciales utilizadas para irrumpir en la base de datos de las víctimas, añadió, no fueron recopiladas por los propios agentes de IA; alguien lo recibe por separado, mediante compromiso previo, y lo entrega a la operación.
Nada de esto contradice las afirmaciones iniciales de Sysdig, y los detalles técnicos del ataque siguen siendo sustanciales, incluso descabellados. El agente inicia sesión a través de un error conocido. flujo de lenguapopular herramienta de código abierto para crear aplicaciones LLM, luego se transfirió a un servidor MySQL de producción y aprovechó otras vulnerabilidades conocidas para obtener acceso de administrador. Cifra más de 1300 registros de configuración y no solo deja una nota de rescate que él mismo escribe, sino que también deja una dirección de Bitcoin a la que se puede enviar el dinero del rescate. Sysdig no ha revelado quién fue el objetivo.
Parece que la técnica es bastante corriente, lo que destaca es la rapidez y la transparencia. El agente solucionó el inicio de sesión fallido en 31 segundos y explicó sus propios motivos en comentarios codificados en lenguaje natural durante todo el proceso.
Un detalle que inicialmente parecía nublar el panorama ahora se ha aclarado. Clark dijo a CyberScoop que Sysdig descubrió que “se utilizaron múltiples modelos en el ataque”, citando claves tomadas para OpenAI, Anthropic, DeepSeek y Gemini, lenguaje que deja abierta la pregunta de si algunos modelos apoyan activamente las diferentes etapas de la intrusión. Cuando se le pidió una aclaración, Clark dijo a TechCrunch que las claves eran solo una parte de lo que el agente robó, no evidencia de lo que lo provocó.
“Los agentes rastrearon los hosts de Langflow en busca de cualquier cosa de valor (claves API de proveedores, credenciales de nube, billeteras de criptomonedas y configuraciones de bases de datos) y esas claves de proveedores fueron parte del saqueo”, dijo en un correo electrónico. “Esto es una indicación de lo que el atacante consideraba factible, pero no nos dice qué modelo tomó esa decisión”.
En cuanto al modelo que realmente ejecuta JadePuffer, Clark dijo que Sysdig “no pudo identificar el modelo específico que impulsa al agente” y no tenía visibilidad de las indicaciones del sistema ni de su configuración.
La teoría del investigador de Microsoft Geoff McDonald, ofrecido en LinkedIn Hace unos días, vale la pena volver a visitarlo. McDonald sospechaba que los modelos de clase abierta sin capacitación en seguridad, no modelos de primera línea, estaban detrás de los ataques, basándose en la experiencia de su equipo rojo que demostró que las capas de seguridad en los laboratorios de primera línea resistieron bien. El propio relato de Sysdig no lo confirma ni lo descarta.
La publicación de McDonald’s también advirtió que las campañas de ransomware ahora están más limitadas por los presupuestos de los atacantes que por el esfuerzo humano, lo que aumenta la probabilidad de que “miles o decenas de miles de campañas ocurran simultáneamente”. Esas preocupaciones son un poco más difíciles de conciliar con lo que Clark describió el lunes. (Si los humanos todavía tuvieran que seleccionar a cada víctima, proporcionar la infraestructura y obtener credenciales de base de datos para cada operación, eso sería un fastidio, por decir lo menos).
Pase lo que pase, Clark dijo a CyberScoop, aunque Sysdig no ha visto operaciones similares que afecten a otras víctimas, considerando lo barato que es administrar la agencia, espera que eso cambie.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.



