A finales de junio de 2026, la firma de seguridad Sysdig documentó un ataque que evalúa como el primer ransomware agéntico de extremo a extremo: una operación llamada JADEPUFFER, dirigida por un gran modelo de lenguaje que entró en una red, la recorrió y destruyó una base de datos de producción - narrando sus propios pasos por el camino. Fue titular con razón, pero la versión honesta es más útil que la aterradora. Esto es lo que ocurrió de verdad y lo que significa para mantener tus datos recuperables.
Qué hizo JADEPUFFER en realidad
Según el equipo de investigación de Sysdig, el agente obtuvo acceso a través de una instancia de Langflow expuesta a Internet explotando una vulnerabilidad conocida (CVE-2025-3248). Desde ahí ejecutó una campaña adaptativa y en gran parte automatizada: razonó sobre sus objetivos, recolectó y reutilizó credenciales, se movió lateralmente, estableció persistencia y finalmente ejecutó un guion de extorsión contra un servidor de base de datos de producción.
Dos detalles destacan. El agente ejecutó más de 600 cargas distintas e intencionadas en rápida sucesión. Y cuando una falló, diagnosticó el problema y redesplegó una carga corregida unos 31 segundos después. Esa velocidad y adaptabilidad - no un exploit ingenioso aislado - es lo que hace esto notable.
El matiz honesto: no sin manos
Los titulares dijeron «dirigido por IA», y es justo, pero no fue sin humanos. La información del caso señala que una persona sí montó y dirigió la operación: aprovisionó el servidor de mando y control y el servidor de preparación para los datos robados, y eligió a la víctima. La IA hizo el trabajo de teclado; un humano la apuntó.
El cambio real es económico. Como resumió un analista, el nivel de habilidad para llevar una operación completa de ransomware acaba de caer al coste de operar un agente. Ataques más baratos y rápidos suelen significar más ataques.

Por qué importa para tus datos
No puedes ser más listo que un agente adaptativo en el momento, y no deberías intentarlo. Los dos patrones a anticipar son la extorsión de bases de datos y servidores de producción (destruir o robar, luego exigir pago) y la velocidad - cuando una carga fallida se corrige en medio minuto, queda muy poco tiempo para reaccionar a mano. La defensa que sobrevive a ambos es la misma que siempre funcionó: hacer tus datos recuperables pase lo que pase en el sistema en producción.
Mantenerte recuperable
Los fundamentos no cambian porque el atacante use IA:
- Guarda una copia sin conexión. Sigue la regla 3-2-1 y desconecta al menos una copia tras cada ejecución. Un disco desconectado es inmune a cualquier ransomware, agéntico o no. Mira nuestra guía de la estrategia de copias 3-2-1.
- Usa copias versionadas. Los servicios en la nube con historial de versiones guardan copias anteriores al cifrado a las que volver.
- Parchea rápido. JADEPUFFER usó una CVE conocida en un servicio expuesto. Actualizar pronto el software expuesto cierra la puerta por la que entró.
- Si ya te han golpeado: aísla la máquina, no pagues, identifica la variante gratis y recupera originales borrados antes del cifrado. Nuestra guía sobre qué hacer cuando el ransomware cifra tus archivos lo explica paso a paso.
Recupera archivos borrados antes del cifrado con EaseUS
En resumen
Un ransomware agéntico como JADEPUFFER abarata y acelera los ataques, y merece atención. Pero no cambia los fundamentos de la recuperación. Quienes superan estos incidentes son aquellos cuyos datos ya eran recuperables antes del ataque: copias sin conexión, versionado y restauraciones probadas. Una IA puede ejecutar el ataque más rápido; no puede alcanzar un disco desconectado. Construye esa resiliencia ahora, mientras hay calma.
Haz copia ahora para frenar el ransomware → EaseUS Todo Backup
Copias automáticas · clon de disco · copia offline


