Redacción Internacional.- La inteligencia artificial está dando un nuevo paso en el ámbito de la ciberseguridad, pero no precisamente del lado de la defensa. Investigadores detectaron el primer caso documentado de un ransomware impulsado por un agente de IA capaz de desarrollar prácticamente todo un ataque de forma autónoma, lo que podría marcar el inicio de una nueva etapa en la evolución del cibercrimen.
El hallazgo fue realizado por el Equipo de Investigación de Amenazas (TRT) de Sysdig, cuyos especialistas identificaron una operación de extorsión ejecutada mediante un modelo de lenguaje de gran tamaño (LLM).
Aunque un operador humano seleccionó el objetivo y preparó la infraestructura inicial, el sistema asumió el resto del proceso, tomando decisiones y adaptándose a los obstáculos sin requerir intervención técnica constante.
JadePuffer, el agente que actúa de forma autónoma
Los investigadores bautizaron al sistema como JadePuffer, al que describen como un Agentic Threat Actor (ATA), es decir, un agente de inteligencia artificial diseñado para reemplazar gran parte de las tareas que tradicionalmente realizaban los ciberdelincuentes.
Durante las pruebas, el agente demostró capacidad para razonar en lenguaje natural, priorizar objetivos y documentar automáticamente cada una de las fases del ataque. Además, fue capaz de modificar su estrategia cuando encontraba dificultades, analizando los errores y probando nuevas alternativas hasta lograr avanzar.
En uno de los casos observados, el sistema pasó de un intento fallido de acceso a una solución funcional en apenas 31 segundos, evidenciando una velocidad de adaptación poco habitual en este tipo de amenazas.
La IA no elige a la víctima, pero ejecuta el ataque
Los expertos aclaran que la inteligencia artificial todavía no decide por sí sola qué organización atacar. Según Michael Clark, director sénior de investigación de amenazas de Sysdig, un operador humano sigue siendo necesario para seleccionar el objetivo, configurar el servidor de comando y control y preparar la infraestructura del ataque.
Sin embargo, una vez iniciado el proceso, el agente puede encargarse de casi todas las etapas de la intrusión, reduciendo el tiempo y los conocimientos técnicos necesarios para desplegar campañas de ransomware.
Esta automatización podría facilitar que más grupos criminales incorporen herramientas de inteligencia artificial para aumentar la frecuencia y rapidez de sus ataques.
Aprovechó una vulnerabilidad conocida
El análisis de Sysdig reveló que JadePuffer explotó una vulnerabilidad identificada como CVE-2025-3248, presente en Langflow, una plataforma de código abierto utilizada para desarrollar aplicaciones basadas en modelos de lenguaje e inteligencia artificial.
Tras obtener acceso remoto al sistema, el agente intentó escapar de los contenedores donde se ejecutaban las aplicaciones y posteriormente desplegó el ransomware. Como resultado, cifró 1.342 elementos de configuración del servicio Nacos antes de eliminar los archivos originales, una técnica habitual para dificultar la recuperación de la información.
Una amenaza creciente para empresas
Los especialistas advierten que el mayor riesgo no radica únicamente en la aparición de modelos de IA más potentes, sino en la posibilidad de automatizar tareas que antes requerían equipos especializados y largas horas de trabajo.
Esto permitiría a los atacantes reducir costos, acelerar la explotación de vulnerabilidades conocidas y lanzar campañas a mayor escala, especialmente contra organizaciones que no mantienen actualizados sus sistemas.
De acuerdo con el informe State of Ransomware Q1 2026 de Check Point, España concentra el 2 % de las víctimas de ransomware registradas este año, mientras que Estados Unidos continúa siendo el país más afectado, con cerca de la mitad de los casos detectados a nivel mundial.
La IA también fortalece la defensa
Pese al avance de estas amenazas, los investigadores destacan que la inteligencia artificial también puede convertirse en una herramienta clave para la protección digital. Los mismos agentes inteligentes que hoy son capaces de automatizar ataques pueden emplearse para detectar vulnerabilidades, identificar comportamientos anómalos y responder con mayor rapidez ante incidentes de seguridad.
Los expertos coinciden en que el futuro de la ciberseguridad estará marcado por una carrera tecnológica entre atacantes y defensores, donde la capacidad de adaptación y el uso inteligente de la IA serán factores decisivos para proteger los sistemas frente a amenazas cada vez más sofisticadas.