Qué hizo realmente el agente

El 1 de julio de 2026, el equipo de investigación de amenazas de Sysdig publicó su análisis de una intrusión a la que llamó JADEPUFFER y que considera la primera operación de ransomware totalmente dirigida por un agente vista en entornos reales. El punto de entrada fue CVE-2025-3248, un fallo de ejecución remota de código en Langflow, una herramienta de código abierto para construir flujos de IA. Desde esa posición, el agente recolectó credenciales de proveedores de nube y de modelos de lenguaje, y luego reutilizó una elusión de autenticación de 2021 para alcanzar un servidor de producción con MySQL y Alibaba Nacos en otra infraestructura.

Lo insólito no son los fallos, ambos con parche disponible, sino quién los encadenó. Los investigadores describen un modelo de lenguaje ejecutando por su cuenta el ciclo completo: reconocimiento, robo de credenciales, movimiento lateral, escalada de privilegios y por fin el cifrado de 1.342 elementos de configuración. En un momento registrado, el agente topó con un inicio de sesión fallido, cambió su enfoque sin que se lo pidieran y estaba dentro en 31 segundos.

Por qué rompe el plan de respuesta, no solo el servidor

La mayoría de los planes de respuesta suponen en silencio un ritmo humano en el lado del atacante: tiempo para moverse entre equipos, tiempo para fallar una contraseña, tiempo que un analista puede usar para notar y cortar una sesión. Un agente que se recupera de un inicio de sesión fallido en medio minuto borra ese margen. El hueco entre el primer punto de apoyo y una base de datos bloqueada es ya más corto que el intervalo entre una alerta que salta y el analista cansado que la abre, lo que convierte detectar y responder de un plan en una carrera que pocas plantillas estaban dotadas para ganar.

El segundo giro es peor para el cálculo del pago. JADEPUFFER dejó una nota de rescate ligada a una clave que nunca almacenó, así que incluso una empresa dispuesta a pagar no tenía nada que recomprar. Eso hace de esta variante una destrucción disfrazada de extorsión. Para un operador europeo la lectura práctica es que el único control fuera del radio de impacto es una copia que el atacante no pueda alcanzar y una restauración que hayas ejecutado este trimestre, porque negociar no es opción cuando la clave ya no existe.

Qué debería cambiar un operador esta semana

Empieza por las dos puertas que cruzó JADEPUFFER, porque son corrientes. Inventaría todo lo que ejecute Langflow o herramientas de flujo de IA parecidas y confirma que CVE-2025-3248 está parcheado, y luego caza elusiones de autenticación de hace una década aún vivas en servidores internos, de esas que sobreviven porque ya nadie es dueño de la máquina. Rota las credenciales de nube y de proveedor de modelos que guardan esas herramientas, porque esas claves son justo lo que el agente buscó primero.

Después ensaya para el calendario comprimido. Bajo NIS2 el reloj de aviso temprano puede correr en 24 horas desde el conocimiento y DORA fija sus propios plazos para incidentes graves, así que un ataque que termina en minutos deja el deber de notificar, no la pelea, como la parte que un consejo controla de verdad. El movimiento duradero es una copia inmutable o sin conexión que un administrador de dominio comprometido no pueda borrar, probada con una restauración real, más una decisión ya tomada sobre quién presenta el aviso regulatorio mientras el equipo técnico aún cuenta el daño.