La semana pasada, investigadores de la empresa de seguridad en la nube Sysdig anunciaron que habían documentado el primer caso conocido de «ransomware basado en agentes». Se trataba de una operación de extorsión llamada JadePuffer, en la que un agente de IA, en lugar de un humano, era responsable de la ejecución técnica de un ciberataque del mundo real de principio a fin. El agente se infiltró en servidores vulnerables, robó credenciales, se movió a través de la red del objetivo, cifró archivos e incluso escribió su propia nota de rescate, adaptándose a los obstáculos en el camino como un hacker humano. Los informes de financiación decían que el fondo operaba «sin supervisión humana» y «sin ningún ser humano en el teclado».
Ésa no es la imagen completa. En una entrevista con CyberScoop el lunes, Michael Clark, director senior de investigación de amenazas de Sysdig, dejó claro que los humanos todavía están muy involucrados en la ejecución técnica. «Los humanos aún configuraron y dirigieron la operación, proporcionaron la infraestructura detrás de ella, los servidores de comando y control, los servidores de preparación utilizados para los datos robados y seleccionaron a las víctimas», dijo Clark. Añadió que las credenciales utilizadas para infiltrarse en la base de datos de la víctima no fueron recopiladas por el propio agente de IA. Alguien los obtuvo por separado mediante un compromiso previo y los entregó a la operación.
Nada de esto contradice las afirmaciones originales de Sysdig, y los detalles técnicos del ataque son notables e incluso sombríos por derecho propio. El agente obtuvo acceso a través de un error conocido en Langflow, una popular herramienta de código abierto para crear aplicaciones LLM, y luego pasó a servidores MySQL de producción y obtuvo acceso administrativo explotando otra falla conocida. No solo cifró más de 1300 registros de configuración y dejó una nota de rescate escrita por él mismo, sino también una dirección de Bitcoin a la que se podía enviar el rescate. Sysdig no dijo quién fue el objetivo.
La técnica era obviamente bastante común, pero lo que destacaba era su velocidad y transparencia. El agente solucionó el inicio de sesión fallido en 31 segundos y explicó su propio razonamiento con comentarios de código en lenguaje natural a lo largo del camino.
Desde entonces ha surgido un detalle que inicialmente parecía oscurecer la situación. Clark le dijo a CyberScoop que Sysdig descubrió que «se utilizaron múltiples modelos en el ataque», citando claves recopiladas de OpenAI, Anthropic, DeepSeek y Gemini. Este lenguaje dejó abierta la cuestión de si múltiples modelos estaban impulsando activamente las diferentes etapas de la invasión. Cuando se le pidió una aclaración, Clark dijo a TechCrunch que estas claves eran simplemente parte de lo que los agentes robaron, no evidencia de lo que los impulsaba.
«Los agentes eliminaron los hosts de Langflow en busca de objetos de valor como claves API de proveedores, credenciales de nube, billeteras de criptomonedas y configuraciones de bases de datos, y esas claves de proveedores fueron parte del botín», dijo en un correo electrónico. «Estos nos muestran lo que el atacante pensó que valía la pena adquirir, pero no sabemos qué modelo tomó la decisión».
En cuanto al modelo que realmente ejecuta JadePuffer, Clark dijo que Sysdig «no pudo determinar el modelo específico que impulsa al agente» y no pudo ver las indicaciones o la configuración del sistema.
Desde esta perspectiva, vale la pena revisar la teoría del investigador de Microsoft Geoff McDonald, presentada en LinkedIn hace unos días. Basándose en su propia experiencia del Equipo Rojo que demostró que la capa de seguridad de Frontier Labs estaba funcionando bien, MacDonald sospechó que un modelo de clase abierta, despojado de capacitación en seguridad, estaba detrás del ataque y no el modelo de Frontier. El propio relato de Sysdig no lo confirma ni lo desmiente.
La publicación de McDonald’s también advirtió que las campañas de ransomware ahora están limitadas principalmente por el presupuesto del atacante más que por el esfuerzo humano, lo que aumenta la probabilidad de «miles o decenas de miles de campañas simultáneas». Esta preocupación es un poco difícil de conciliar con lo que dijo Clark el lunes. (Al menos se convierte en un cuello de botella si un humano todavía tiene que seleccionar a cada víctima, aprovisionar la infraestructura y obtener las credenciales de la base de datos para cada operación).
En cualquier caso, Clark le dijo a CyberScoop que Sysdig aún no ha visto la misma operación afectar a otras víctimas, pero espera que eso cambie dado lo barato que es contratar agentes.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
