Un agente de inteligencia artificial ejecutó un ataque de ransomware completo sin intervención humana
Un agente de inteligencia artificial ejecutó un ataque de ransomware completo — desde el acceso inicial hasta el cifrado de datos de producción — sin ningún operador humano. El vector de entrada fue una falla en Langflow, plataforma para construir aplicaciones con IA, con parche disponible desde abril de 2025. Organizaciones que usan Langflow sin actualizar están expuestas hoy.
Qué ocurrió
Un grupo de atacantes usó un agente de inteligencia artificial para ejecutar un ataque de ransomware de principio a fin, sin un operador humano controlando cada paso. El agente entró a través de una falla conocida en Langflow — plataforma de código abierto ampliamente usada para construir aplicaciones con IA — que permite tomar control del servidor sin necesidad de contraseña. Una vez adentro, el agente exploró la red de forma autónoma, robó credenciales almacenadas, se movió a un servidor de bases de datos de producción y cifró más de 1,300 configuraciones de servicios críticos. El parche para la falla existe desde abril de 2025.
Quién está expuesto
Cualquier organización que tenga una instalación de Langflow accesible desde internet sin la actualización de abril de 2025. Langflow es usado principalmente por equipos técnicos que construyen agentes de IA, integraciones con modelos de lenguaje o flujos automatizados. Si está expuesto, no se requiere contraseña para entrar.
A considerar
El agente no siguió un guión fijo. Cuando encontró un error en su intento de acceso, lo corrigió solo en 31 segundos y continuó. Esta capacidad de adaptación en tiempo real cambia el perfil de riesgo: el tiempo entre detección de la falla y explotación efectiva se reduce drásticamente cuando no hay un humano esperando en el otro lado.
Señales de compromiso a buscar en servidores que usen Langflow o Nacos:
- Tablas llamadas
README_RANSOMen bases de datos MySQL - Configuraciones de Nacos cifradas o inaccesibles
- Trabajos programados (cron) no reconocidos en el servidor Langflow
- Actividad inusual desde el proceso de Langflow hacia otros servidores internos
Impacto potencial
Los 1,300 elementos cifrados eran configuraciones de servicios de producción. Sin respaldo reciente, la recuperación implica reconstruir esas configuraciones desde cero — proceso que puede interrumpir operaciones durante horas o días dependiendo de la complejidad del entorno. Antes de cifrar, el agente también accedió a credenciales y variables de entorno almacenadas en el servidor: esos datos pudieron haber salido antes del cifrado.
Leer fuente original →