Si los agentes de IA podrán hacer por ti tareas tediosas como la compra de la semana u organizar tus vacaciones preferidas, también pueden ser los asistentes de ciberdelincuentes. Un equipo de investigadores ha detectado lo que sería el primer ransomware con agente, capaz de realizar una operación de principio a fin de forma autónoma, tomando sus propias decisiones.
Hasta ahora, aunque los delincuentes usaban herramientas automáticas, una persona debía tomar decisiones importantes durante el ataque. Esta dependencia o supervisión humana podría tener los días contados, tal y como refleja el informe del Equipo de Investigación de Amenazas (TRT) de Sysdig.
“El (TRT) ha capturado lo que consideramos el primer caso documentado de ransomware con agente: una operación de extorsión completa impulsada de principio a fin por un modelo de lenguaje complejo (LLM)“, indican en el comunicado.
Advierten los especialistas que esto se podría traducir en una mayor frecuencia de ataques, reduciendo el tiempo necesario para detectar y explotar vulnerabilidades. La llegada de modelos tan potentes como Mythos de Anthropic ha causado una gran alarma, hasta el punto de llevar al gobierno de los EEUU a prohibir su despliegue durante más de una semana.
Mythos ha sorprendido por integrar en un único modelo lo que hasta ahora debía ser una secuencia de tareas realizadas por diferentes IA entrenadas para cada una. Sin embargo, los expertos en ciberseguridad ya han explicado a este periódico con antelación que el riesgo no radica solo en el modelo de Anthropic.
“No estamos ante un cambio radical en la naturaleza del riesgo, sino ante una intensificación de este”, indicaba desde Softtek, Doris Seedorf, CEO de la empresa de servicios informáticos en España, entrevistada por EL ESPAÑOL-Omicrono.
El agente de IA
La IA no decidió atacar por sí sola, alguien la configuró para hacerlo, pero una vez iniciada la operación, la IA pudo ejecutar todas las fases del ataque sin que una persona tuviera que ir guiándola paso a paso.
El equipo de Sysdig le ha otorgado a este sistema de ransomware el nombre de JadePuffer y se trata de un actor de amenazas con agente o ATA (por sus siglas en inglés), lo que significa que es un operador cuya capacidad de ataque se proporciona mediante un agente de IA en lugar de herramientas gestionadas por humanos.

Ciberseguridad
Omicrono
Los investigadores destacan que la característica más llamativa de este ataque fue el comportamiento del LLM tras ese agente de IA. Incluían razonamiento en lenguaje natural, priorización de objetivos y el tipo de anotaciones detalladas que los operadores humanos no suelen escribir, pero que el código generado por el LLM produce de forma automática.
Otra cualidad sorprendente y alarmante es la posibilidad de adaptar el ataque en tiempo real. JadePuffer se adaptaba reintentando los pasos fallidos dentro de parámetros refinados. Aseguran los investigadores que en una secuencia, el sistema pasó de un inicio de sesión fallido a una solución efectiva en 31 segundos.
La automatización que ofrece la IA en el mercado del cibercrimen promete impulsar el número de ciberataques, resultando más rápido y barato para los atacantes, incluso si no cuentan con conocimientos técnicos. Según la empresa de ciberseguridad Check Point y su informe State of Ransomware Q1 2026, España concentra el 2% de ataques de ransomware en 2026, siendo un total de 2.122 organizaciones expuestas en páginas de filtración de datos (DLS) a nivel global. Estados Unidos sigue liderando la lista de víctimas con casi el 50% del total de este tipo de ciberataques que lleva años siendo uno de los más persistentes del cibercrimen.
El ransomware es en esencia el secuestro de documentos y sistemas clave para extorsionar a su dueño a cambio de dinero si quiere recuperarlos. Los softwares maliciosos o malware que hasta ahora han desarrollado los ciberdelincuentes tienen la capacidad de bloquear, por ejemplo, la pantalla de un ordenador o cifrar archivos importantes con una contraseña. Esa clave solo se le entrega a la víctima cuando ha cumplido con las exigencias de los secuestradores, que suele ser el pago de una importante suma de dinero en forma de criptomonedas para que sea más complicado rastrear el destino del rescate.
Así actúa JadePuffer y su agente de IA
Sysdig aclara que este agente ransomware no ha inventado nuevas técnicas de ataque. Aprovechó fallos de seguridad conocidos y sistemas que no estaban correctamente protegidos o actualizados. En concreto, JadePuffer obtuvo acceso al objetivo explotando la vulnerabilidad CVE-2025-3248,que permite control remoto y sin autorización de Langflow, una popular plataforma de código abierto que se utiliza para crear aplicaciones LLM y agentes de IA.
Un dato curioso es la dirección de Bitcoin que figura en la nota de rescate es un ejemplo de dirección ampliamente utilizada en la documentación pública, lo que se interpreta como resultado de que el modelo LLM la reprodujera a partir de los datos de entrenamiento. Igual que otros chatbots o agentes pueden confundir datos o dar información errónea a quienes les hacen preguntas sencillas, la IA parece también necesitar la supervisión última de los hackers.
El agente buscó métodos de evasión de contenedores y desplegó el ransomware. Según los investigadores, JadePuffer cifró 1342 elementos de configuración del servicio Nacos antes de eliminar los originales.

Sistema hackeado
Omicrono
Otras señales de que la IA controlaba el ataque incluyen comentarios detallados en lenguaje natural en el código generado que describen el razonamiento operativo y una rápida iteración del ataque que tiene en cuenta los errores específicos encontrados, en lugar de ser simples reintentos.
No hay que olvidar, sin embargo, que la IA puede ser también una potente herramienta para investigadores de ciberseguridad que, desde el otro lado, pretenden proteger sistemas e impedir que los ciberdelincuentes se hagan con la recompensa. El uso de agentes de IA por parte de los servicios y equipos de ciberdefensa puede suponer frenar con mayor rapidez ataques como este o detectar antes las vulnerabilidades de los sistemas y blindarlas.
Hace meses que se habla de las capacidades de Mythos de Anthropic, pero los expertos en la materia ya advertían de la existencia de modelos de IA capaces de desafiar la seguridad de internet. Prueba de ello es este caso, el proveedor corrigió la vulnerabilidad el 1 de abril de 2025, y a principios de mayo del mismo año, la CISA la catalogó como explotada en ataques dirigidos a puntos finales expuestos a Internet, que generalmente se implementan con un mínimo de medidas de seguridad, pero que contienen credenciales en la nube y claves API.
