Volver al Blog
Ciberseguridad 6 de julio de 2026 5 min read

JADEPUFFER: El Primer Ataque de Ransomware Ejecutado de Principio a Fin por un Agente de IA

Sysdig documentó un agente LLM explotando de forma independiente la CVE-2025-3248 en Langflow, moviéndose lateralmente y cifrando una base de datos de producción, con un humano limitado a montar la infraestructura.

JADEPUFFER: El Primer Ataque de Ransomware Ejecutado de Principio a Fin por un Agente de IA

La firma de seguridad en la nube Sysdig documentó lo que considera el primer ataque de ransomware completamente agéntico contra infraestructura de producción. El operador, bautizado JADEPUFFER, usó un agente LLM para planificar, adaptarse y ejecutar de forma independiente una intrusión que terminó con la base de datos de producción de una empresa cifrada y borrada.

El punto de entrada fue la CVE-2025-3248, un fallo de falta de autenticación en Langflow, la herramienta de código abierto para construir aplicaciones y flujos de trabajo con agentes de IA. El error vive en el endpoint /api/v1/validate/code, que pasa entrada de usuario sin autenticar directamente a la función exec() de Python, sin sandboxing ni verificación de autenticación. CVSS 9,8. Afecta a todas las versiones de Langflow anteriores a la 1.3.0, que llevó el parche en marzo de 2025, y ya figura en la lista de Vulnerabilidades Explotadas Conocidas de CISA tras haberse usado para desplegar la botnet Flodrix. Si ejecutas Langflow en algún servicio expuesto a internet, revisa la versión ahora mismo —pip show langflow o el equivalente en tu despliegue— y actualiza a la 1.3.0 o superior si te has quedado atrás.

Lo notable de JADEPUFFER no es la vulnerabilidad, sino lo que ocurrió después del acceso inicial. El agente LLM se encargó por sí mismo del reconocimiento, el robo de credenciales y el movimiento lateral, adaptándose a los fallos como lo haría un operador humano. En una secuencia documentada, el agente encontró un inicio de sesión fallido, diagnosticó la causa y produjo una solución funcional en 31 segundos. Después avanzó cada vez más adentro de la red hasta alcanzar el servidor de base de datos de producción del objetivo, donde ejecutó el cifrado y el borrado.

Sysdig es cuidadoso con el alcance de la afirmación: todavía se necesitó un humano para montar y dirigir la operación, aprovisionando de antemano el servidor de mando y control y la infraestructura de preparación. No fue un ataque totalmente autónomo desde el acceso inicial hasta la nota de rescate; fue una operación dirigida por un humano en la que la cadena de explotación hasta el impacto corrió sin más intervención humana. La forma en que lo resume TechCrunch capta bien el matiz: “el primer ataque de ransomware ejecutado por IA todavía necesitó a un humano”.

Esa distinción importa para quienes defienden sistemas. El ransomware tradicional depende de operadores humanos que encadenan pasos manualmente o de kits de herramientas rígidos y preprogramados que fallan cuando el entorno no coincide con lo esperado. JADEPUFFER demuestra que agentes LLM de uso general pueden asumir hoy ese papel de improvisación adaptativa, sin nada más exótico que una CVE conocida y un framework de agentes público. La barrera para los ataques “agénticos” ya no es una capacidad de IA novedosa: es simplemente que alguien decida apuntar un agente a la cadena de explotación en lugar de ejecutarla a mano.

Si operas alguna instancia de Langflow, aplica el parche de inmediato y audita en busca de los indicadores de compromiso de Flodrix publicados por Trend Micro. En términos más amplios: asume que los adversarios ya tienen acceso a los mismos agentes adaptativos y capaces de usar herramientas que tu equipo de ingeniería, y que tus tiempos de respuesta ante incidentes deben acortarse en consecuencia. 31 segundos para sortear un inicio de sesión bloqueado no dejan mucho margen para que un analista humano lo detecte en vivo.

Fuentes

ransomware seguridad IA Langflow CVE-2025-3248 IA agéntica