Si llevas meses integrando agentes de IA en flujos de trabajo, plugins de WordPress o herramientas internas, esta semana Sysdig te ha soltado la noticia que nadie quería leer en voz alta: han documentado lo que califican como el primer ataque de ransomware ejecutado de principio a fin por un agente de IA, sin humano al teclado. Lo han bautizado JADEPUFFER, y lo peor no es el nombre ridículo: es lo normal que suena todo el recorrido.
Entró por una instancia de Langflow expuesta a internet, explotando una vulnerabilidad ya parcheada que mucha gente sigue sin actualizar. Desde ahí barrió credenciales de proveedores de IA, accesos cloud, wallets y contraseñas de bases de datos. Pivotó a un servidor de producción con MySQL y un servicio Nacos, se hizo con la configuración usando un bug de 2021 y una clave de firma por defecto que nadie había cambiado, cifró 1.342 entradas, borró datos y dejó una nota pidiendo Bitcoin. Más de 600 acciones coordinadas. El informe de Sysdig lo detalla con calma quirúrgica; The Next Web lo resume bien para quien no quiera zambullirse en el PDF técnico.
Y aquí viene la parte que me pone los pelos de punta: ni siquiera puedes pagar el rescate. El agente generó una clave de cifrado aleatoria, la imprimió una vez en pantalla y no la guardó ni la envió a ningún sitio. Es extorsión sin salida. Un ransomware que ni siquiera cumple la promesa básica del delincuente tradicional. ¿Te suena a incompetencia? A mí me suena a automatización sin supervisión, que es exactamente lo que muchos equipos están vendiendo como «eficiencia».
Lo que delata al agente (y por qué eso importa en tu hosting)
Los investigadores no adivinaron que había un LLM detrás porque la técnica fuera revolucionaria. Lo contrario: CVEs viejos, contraseñas de fábrica, servicios de configuración expuestos. Nada nuevo bajo el sol. Lo nuevo es que un modelo encadenó todo eso solo, corrigiendo errores en segundos. Michael Clark, director de threat research en Sysdig, lo resume en una frase que deberías pegar en la pared del comité de seguridad: «The skill floor for running ransomware has dropped to whatever it costs to run an agent». Traducido sin romanticismo: el suelo de habilidad para montar un ataque ha caído al precio de ejecutar un agente.
¿Y cómo lo saben? Porque el código venía autocomentado en inglés natural, explicando cada paso como si redactara un informe interno. Un humano experimentado no pierde el tiempo narrando su intención en cada payload; un modelo sí, porque es su modo por defecto. En un caso concreto pasaron de un login fallido a una corrección en cadena en 31 segundos. Eso no es un script rígido; es razonamiento adaptativo en tiempo real.
Piensa en tu stack habitual. ¿Tienes algún panel de IA expuesto, aunque sea en un subdominio de pruebas? ¿Algún plugin que conecte WordPress con LangChain, flows de automatización o notebooks tipo marimo? Sysdig ya documentó otro caso en mayo donde un agente pasó de un CVE en marimo a exfiltrar una base PostgreSQL interna en menos de una hora. La superficie no es «la IA del futuro»; es la basura que dejamos abierta hoy porque «solo es staging».
El mercado te vende agentes; nadie te vende el seguro
Mientras tanto, el ecosistema va en la dirección opuesta. Pressable, WordPress.com, Rocket.net… todos compiten por dejar que Claude o ChatGPT gestionen hosting, cachés, backups y WP-CLI desde el chat. En ticweb ya hemos hablado de MCP y de capas que te piden montar antes de que exista mercado. JADEPUFFER no invalida esas herramientas, pero sí deja en evidencia el desequilibrio: la ofensiva agente ya está aquí; la defensa agente sigue siendo un PowerPoint.
Los vendors de seguridad, claro, celebran que la autonarración del atacante sea una señal detectable. Genial. Pero eso supone que tengas telemetría decente, equipo que sepa leerla y presupuesto para startups que prometen «proteger tus agentes». La pyme que acaba de activar un chatbot con acceso a WooCommerce y a la API de envíos no está en ese grupo. Está en el grupo que aún no ha parcheado Langflow.
Y no me vengas con «endurecer el modelo». Ya hay artículos en el sector sobre eso, y la lección de JADEPUFFER es más sucia: no hace falta un modelo más listo; hace falta menos superficie estúpida. Parchear, rotar credenciales, sacar de internet lo que no necesita estarlo, dejar de reutilizar claves por defecto en servicios de configuración. Lo de siempre. Lo aburrido. Lo que se pospone porque hay que lanzar la feature de IA antes del verano.
Lo que yo haría mañana (sin esperar al próximo informe)
No tengo una bala de plata, pero sí un checklist que aplicaría antes de dar otro permiso de escritura a un agente:
- Inventario de herramientas de IA expuestas. Langflow, marimo, notebooks, endpoints de prueba. Si responden desde internet, asume que alguien ya los ha escaneado.
- Separación real entre staging y producción. JADEPUFFER usó la máquina comprometida como trampolín hacia la base de datos buena. Si tu «entorno de pruebas» comparte red o credenciales con la tienda en vivo, no tienes staging: tienes dos puertas al mismo sitio.
- Human-in-the-loop obligatorio para acciones destructivas: borrar tablas, rotar claves root, desplegar plugins en producción. Que el agente proponga y un humano confirme no es burocracia; es lo único que hoy separa «productivo» de «JADEPUFFER en tu MySQL».
- Backups que no dependan del mismo servidor. Si el agente llega al Nacos y al MySQL del mismo host, tu copia local no vale nada.
Sysdig lo presenta como señal de aviso, no como crisis generalizada. De acuerdo. Pero las señales de aviso tienen mala costumbre: cuando las ignoras se llaman «incidente de cliente» y aparecen en la portada de un blog que no querías visitar.
Lo irónico es que parte de la comunidad técnica lleva años diciendo que la IA bajaría la barrera de entrada al desarrollo. Tenían razón. Solo omitieron que también bajaría la barrera de entrada al ataque. Mientras tú optimizas prompts para generar fichas de producto, alguien está optimizando prompts para cifrar tablas de configuración. Misma infraestructura, distinto ROI.
Si mañana tu proveedor de hosting te ofreciera activar un agente con permisos de WP-CLI en todas tus tiendas a cambio de un 15% de descuento en la factura, pero sin registro de auditoría ni confirmación humana en operaciones críticas, ¿lo activarías antes de revisar qué servicios de IA tienes expuestos en la misma cuenta?