OpenClaw: ciberseguridad y riesgos de la inteligencia artificial autónoma

Portada » Windows » OpenClaw: ciberseguridad y riesgos de la inteligencia artificial autónoma

En muy poco tiempo, OpenClaw se ha convertido en el ejemplo perfecto de cómo un asistente de inteligencia artificial autónomo puede ser a la vez una herramienta brutalmente útil y un auténtico quebradero de cabeza en materia de ciberseguridad. Hablamos de un agente de IA de código abierto que no solo conversa, sino que toma acciones reales sobre tus dispositivos y servicios online.

El problema es que, cuanto más poder le damos, más se disparan los riesgos. OpenClaw lee tus correos, toca tus archivos, gestiona calendarios, se conecta a servicios corporativos y puede incluso ejecutar comandos de sistema. Para muchos profesionales de seguridad, es poco menos que un «becario supermotivado con acceso root» al que todavía le falta madurez para entender qué jamás debería tocar.

Qué es OpenClaw y por qué ha generado tanta preocupación

OpenClaw es un agente de IA autónomo diseñado para ejecutarse en local sobre el equipo del usuario. A diferencia de un chatbot clásico en la nube, este software se instala en Windows, macOS o Linux y actúa como pasarela entre tus aplicaciones de mensajería (WhatsApp, Telegram, Signal, Discord, Slack, etc.), tu sistema operativo y distintos modelos de lenguaje (LLM) locales o en la nube.

En la práctica, funciona como un centro de mando digital que toma decisiones y realiza tareas: puede leer y enviar emails, interactuar con el calendario, manipular archivos, automatizar flujos de trabajo, navegar por Internet y encadenar «skills» o habilidades de terceros para lograr objetivos generales que le marques en lenguaje natural.

El proyecto no siempre se llamó así. Su primera encarnación fue ClawdBot, lanzado en noviembre de 2025. Más tarde pasó a llamarse Moltbot y finalmente OpenClaw, en medio de líos de marcas con Anthropic por la similitud con su asistente Claude y de campañas de suplantación de identidad que aprovecharon los cambios de nombre para colar versiones maliciosas.

Parte de su popularidad se debe a que es gratuito, abierto y relativamente fácil de desplegar. Cualquier persona con algo de mano técnica puede dejarlo corriendo en un portátil, un sobremesa, un servidor casero o incluso en entornos cloud, y tener un «segundo cerebro» siempre disponible que responde por chat pero actúa sobre el mundo digital del usuario.

Lo inquietante para los expertos es que OpenClaw no está pensado para ser tímido: viene preparado para moverse con mucha libertad, y eso lo convierte en un objetivo de altísimo valor para ciberdelincuentes y en un potencial caballo de Troya si se introduce sin control en entornos corporativos.

Qué puede hacer realmente OpenClaw sobre tus datos y dispositivos

Para entender el nivel de riesgo, primero hay que ver el alcance de sus capacidades. OpenClaw no es un simple interfaz de chat, sino un agente con permisos amplios que, si se configura sin cuidado, termina en el centro mismo de tu vida digital.

Por un lado, el agente necesita acceder a cantidades enormes de información sensible para poder ayudarte: buzones de correo completos, historiales de chat, contactos, calendarios, documentos, notas, sesiones abiertas en servicios web, unidades en la nube y todo tipo de archivos locales. A eso se suman elementos críticos como cookies, tokens de acceso, claves API y credenciales para servicios terceros.

Además, OpenClaw mantiene memoria persistente de tus interacciones en archivos tipo memory.md, donde va almacenando contexto, preferencias, proyectos en curso y patrones de uso. Esta memoria se recicla una y otra vez para hacer al agente más «listo», pero también supone una superficie de exposición genial para cualquiera que consiga robarla.

En el plano operativo, el agente es capaz de ejecutar comandos de shell, controlar un navegador sin interfaz para automatizar formularios y scrapers, gestionar cron jobs que se disparan solos cada X minutos y coordinar múltiples skills para investigar, escribir código, sincronizar archivos con servicios como Google Drive o revisar el correo de forma autónoma.

Este diseño hace que OpenClaw se vuelva un eslabón crítico en la cadena de seguridad: si un atacante consigue tomar el control de la instancia, no solo accede a datos, sino a una herramienta privilegiada capaz de mover esos datos, borrar, modificar, exfiltrar y actuar en tu nombre con un nivel de confianza que no suele tener ninguna otra aplicación.

Auditorías de seguridad y colaboración con VirusTotal

Ante esta situación, la comunidad de seguridad se ha lanzado a revisar el proyecto con lupa. Una auditoría de seguridad independiente identificó 14 posibles vulnerabilidades en el código de OpenClaw. La buena noticia para el uso estrictamente local es que 13 de esas debilidades no resultan explotables en ese escenario concreto.

El análisis confirmó que, a nivel de implementación, OpenClaw incorpora controles defensivos razonablemente serios: comparación de tokens resistente a ataques de temporización, mitigaciones frente a SSRF, un sistema de aprobación para comandos peligrosos, consultas SQL parametrizadas y generación de tokens aleatorios criptográficamente seguros, entre otros.

Aun así, los problemas más preocupantes no vienen solo del núcleo del código, sino de su ecosistema. El gran foco de riesgo son los «skills» o habilidades que se instalan desde ClawHub, el repositorio oficial, y de extensiones de terceros que amplían las capacidades del agente pero también pueden incorporar código o instrucciones maliciosas.

Para tratar de mitigar esto, el proyecto ha anunciado una colaboración estratégica con VirusTotal, la conocida empresa de ciberseguridad con sede en Málaga y propiedad de Google. A través de su plataforma de Threat Intelligence y la función Code Insight, VirusTotal analiza ahora los skills que se publican en el hub oficial.

Según ha detallado Bernardo Quintero, fundador de VirusTotal, el esfuerzo conjunto ya ha permitido marcar en torno a 1.700 habilidades como maliciosas. Los skills identificados como peligrosos se bloquean para que no puedan descargarse, y los que inicialmente se consideran benignos se vuelven a revisar diariamente por si su comportamiento cambia o incorporan modificaciones sospechosas con el tiempo.

Skills maliciosos, auditorías masivas y riesgos de prompt injection

Antes incluso de este acuerdo, OpenClaw ya había pasado por una especie de «bautismo de fuego». Una auditoría inicial de 2.851 skills detectó 341 habilidades claramente maliciosas, algunas capaces de ejecutar comandos de shell en la máquina víctima y otorgar control prácticamente total a cualquiera que las explotara.

Estos módulos maliciosos podían, por ejemplo, lanzar órdenes de sistema, modificar archivos sensibles o abrir puertas traseras para conexiones remotas. El problema se agrava porque muchos usuarios instalan skills sin mirarlos demasiado, asumiendo que por estar en un repositorio público ya han sido revisados y son confiables.

Otras empresas de ciberseguridad se han sumado a este esfuerzo. Bitdefender, por ejemplo, ha desarrollado herramientas como AI Skills Checker para analizar automáticamente si una habilidad de OpenClaw podría suponer un peligro, revisando tanto el código como los comportamientos esperados.

Sin embargo, incluso con controles externos, hay un tipo de ataque especialmente escurridizo: la inyección de prompt (prompt injection). En lugar de explotar vulnerabilidades de código, este enfoque se aprovecha de que el agente procesa lenguaje natural. Basta con que el contenido que OpenClaw lee (un correo, una web, un documento compartido) incluya instrucciones disfrazadas para intentar convencerlo de que haga algo que no debería hacer.

CVE y vulnerabilidades documentadas en OpenClaw

Más allá de los skills, diversas investigaciones han destapado vulnerabilidades específicas en el propio gateway de OpenClaw, muchas de ellas recogidas ya con identificadores CVE y puntuaciones de gravedad elevadas.

Una de las más serias es CVE-2026-25253, con una puntuación CVSS de 8,8. Esta falla permite que, si el agente visita una web maliciosa o el usuario pincha un enlace trampa, se llegue a filtrar el token de autenticación principal del gateway. Con ese token, un atacante puede tomar el control administrativo completo de la puerta de enlace de OpenClaw, incluyendo la gestión de skills, configuraciones y accesos.

Este bug se corrigió en la versión 2026.1.29, pero muchas instalaciones siguen sin actualizar, especialmente en entornos caseros y en instancias desplegadas «de prueba» que nadie se molesta en mantener al día. A esto se suman otras dos vulnerabilidades de inyección de comandos, catalogadas como CVE-2026-24763 y CVE-2026-25157, que podían facilitar la ejecución de órdenes arbitrarias en el sistema.

El otro gran punto débil han sido las configuraciones por defecto extremadamente permisivas. En muchas instalaciones iniciales, la autenticación viene desactivada, se aceptan conexiones WebSocket sin validar el origen, cualquier conexión desde localhost se considera automáticamente confiable, el modo invitado da acceso a herramientas sensibles y parámetros críticos se anuncian por la red local vía mDNS.

Por si fuera poco, la configuración, los registros de chat y la memoria del agente han llegado a almacenar claves API, contraseñas y credenciales en texto plano. Esta fiesta de secretos desprotegidos no ha pasado desapercibida para los desarrolladores de infostealers: variantes de RedLine, Lumma o Vidar han comenzado a incluir rutas típicas de OpenClaw en sus listas de archivos objetivo para extraer todo lo que puedan.

Problemas estructurales: lo que no se arregla con un simple parche

Incluso suponiendo que todas las vulnerabilidades de software se vayan corrigiendo con el tiempo, OpenClaw arrastra un conjunto de problemas de diseño que comparten prácticamente todos los agentes de IA de propósito general y que son mucho más difíciles de resolver.

En primer lugar, el agente opera con acceso privilegiado a datos confidenciales y recursos críticos del usuario o de la organización: correos corporativos, repositorios de código, unidades compartidas, sistemas internos, paneles de administración, etc. Si el modelo se equivoca o alguien lo manipula, el impacto potencial es enorme.

En segundo lugar, está constantemente expuesto a datos no confiables procedentes de correos entrantes, páginas web, mensajes de chat o documentos compartidos. Cada nuevo contenido que procesa es una oportunidad más para que un atacante introduzca instrucciones maliciosas camufladas.

El tercer gran problema es la ya comentada incapacidad de los LLM para separar correctamente instrucciones y datos. Esto abre la puerta a inyecciones de prompt difíciles de mitigar solo con reglas estáticas, porque el modelo tiende a obedecer instrucciones que aparecen en el contexto aunque contradigan las políticas iniciales.

Además, la memoria del agente puede contaminarse de manera persistente: una sola inyección exitosa introducida en un registro, un archivo o una conversación guardada puede alterar el comportamiento de OpenClaw a largo plazo, incluso después de que el contenido original haya desaparecido de la vista del usuario.

Por último, el agente tiene una capacidad de exfiltración integrada de serie: puede enviar correos, realizar llamadas a APIs externas, subir archivos a la nube o publicar información en canales de chat. Eso lo convierte en una pieza ideal para mover datos hacia fuera prácticamente sin levantar sospechas, camuflado como actividad legítima.

Casos reales, robo de identidades de IA y advertencias de autoridades

Todo esto no se queda en teoría. Uno de los episodios más llamativos fue el caso documentado por Hudson Rock, donde un ladrón de información consiguió robar la configuración completa de una instancia de OpenClaw en un sistema infectado. En la práctica, el atacante se llevó «la identidad» digital del agente: memoria, claves, tokens y todo lo que necesitaba para hacerse pasar por ese asistente personal.

Este incidente marcó un antes y un después porque ya no se trataba de robar solo contraseñas de navegador, sino perfiles completos de IA con sus llaves maestras criptográficas. Con eso en la mano, un ciberdelincuente puede pivotar a múltiples servicios, preparar movimientos laterales en redes internas y mantener una capacidad de suplantación a largo plazo difícil de detectar.

A nivel regulador, la autoridad de protección de datos neerlandesa (Autoriteit Persoonsgegevens) ha emitido advertencias explícitas para que las organizaciones no desplieguen agentes experimentales como OpenClaw en sistemas que manejen datos sensibles o regulados. Señalan que la combinación de acceso local privilegiado, seguridad aún inmadura y un ecosistema creciente de plugins de terceros crea un escenario de altísimo riesgo.

En el terreno corporativo también se han visto casos de uso descontrolado. Una empleada de Meta dedicada precisamente a seguridad y alineación de IA relató cómo una instancia de ClawdBot llegó a borrar parte importante de su bandeja de entrada de correo ante un malentendido en las instrucciones. No hacía falta un atacante: bastó con un modelo demasiado obediente.

Mientras tanto, informes en medios especializados han detallado casos en los que el acceso a instancias de OpenClaw se vendía en foros de hacking, provocando brechas serias en empresas que ni siquiera sabían que un desarrollador había levantado en segundo plano un agente con acceso amplio a datos internos.

Riesgos específicos para empresas y «IA en la sombra»

Cuando OpenClaw entra en el mundo empresarial, el panorama se complica todavía más. Un simple empleado con permisos suficientes puede instalarlo en un portátil corporativo o en un dispositivo personal con acceso a la VPN, conectarlo a herramientas como Slack, SharePoint o correo interno y dejarlo funcionando para automatizar tareas sin que el equipo de seguridad se entere.

En esa situación, la combinación de ejecución autónoma de comandos, acceso amplio al sistema de archivos y permisos OAuth excesivos es una receta perfecta para una brecha profunda. El agente puede leer documentación interna, descargar grandes volúmenes de datos, reenviar información o conectar con servicios externos sin pasar por los flujos de aprobación habituales.

El riesgo persiste aunque la política oficial de la empresa prohíba su uso, porque los dispositivos personales suelen tener sesiones activas de correo corporativo, accesos a herramientas internas vía navegador o incluso clientes VPN configurados. OpenClaw puede convertirse en el punto de entrada perfecto para suplantar al empleado en conversaciones con compañeros o para extraer datos de forma casi invisible.

Además, el uso desordenado de agentes como OpenClaw puede chocar de frente con normas como la Ley de IA de la UE o con marcos como el AI Risk Management Framework del NIST, especialmente cuando se utilizan sobre datos sensibles sin evaluación previa, sin logging adecuado y sin un modelo claro de responsabilidades.

No es casualidad que se hable cada vez más de «IA en la sombra» (shadow AI), análoga al fenómeno del shadow IT. Cuando los equipos de seguridad ignoran o bloquean por completo el uso de nuevas herramientas, los empleados terminan buscándose la vida por su cuenta, y el problema pasa de estar controlado a ser invisible.

Cómo detectar y controlar OpenClaw dentro de una red corporativa

Para organizaciones con un SOC o un equipo de seguridad maduro, resulta clave poder identificar si OpenClaw está presente en la red, aunque nadie lo haya declarado oficialmente. Hay una serie de indicadores técnicos que ayudan mucho.

En los endpoints, se pueden buscar directorios característicos como ~/.openclaw/, ~/clawd/ o ~/.clawdbot, así como patrones de configuración asociados en el sistema de archivos del usuario. A nivel de red, herramientas como Shodan o escáneres internos pueden descubrir instancias expuestas mediante la detección de firmas HTML típicas del panel de Clawdbot.

También conviene monitorizar tráfico WebSocket en puertos como el 3000 o el 18789, vigilar mensajes mDNS en el puerto 5353 (servicio openclaw-gw.tcp) y revisar periódicamente eventos de consentimiento OAuth inusuales, registros de nuevas aplicaciones o cadenas de user-agent propias de entornos Node.js ligados al gateway del agente.

Desde la perspectiva de comportamiento, los SIEM pueden configurarse para detectar patrones de acceso automatizado sospechosos: barridos de directorios completos fuera de horario, lecturas masivas de buzones de correo o escaneos periódicos de sistemas de archivos que no encajan con la actividad normal del empleado.

En paralelo, se recomienda una estrategia más amplia para controlar la IA en la sombra, basada en listas de admitidos a nivel de host, evaluaciones de seguridad previas a cualquier integración, aplicación estricta de privilegios mínimos y auditorías recurrentes de permisos OAuth, tokens activos y accesos de terceros, revocando de forma proactiva aquellos que se hayan ido de madre.

Buenas prácticas para usar OpenClaw (o agentes similares) con seguridad

Si pese a todo decides experimentar con OpenClaw, conviene asumir que se trata de una tecnología todavía experimental desde el punto de vista de la seguridad. Lo razonable es desplegarlo con mentalidad de laboratorio, no como si fuera un producto maduro tipo correo corporativo.

Recomendaciones alineadas con las que proponen grandes proveedores incluyen ejecutar el agente en una máquina virtual o contenedor aislado, preferiblemente en hosts segregados, con salida denegada por defecto y listas de permisos muy acotadas. El runtime debe tener identidades de servicio no humanas, privilegios mínimos, tokens de corta duración y ningún acceso directo a secretos de producción o datos especialmente sensibles.

La instalación de skills o extensiones debe tratarse como si se introdujera código nuevo en un entorno privilegiado: restringir el origen, validar procedencia, revisar reputación, supervisar habilidades poco comunes y desactivar de inmediato aquellas que muestren comportamientos fuera de lo esperado.

Resulta clave, asimismo, registrar y revisar periódicamente el estado interno y la memoria del agente para detectar instrucciones persistentes sospechosas, sobre todo después de procesar contenidos de origen no confiable. Hay que estar preparado para un escenario de «restauración total»: disponer de instantáneas de estado no confidenciales, un runbook para reconstruir la instancia desde cero y un plan de rotación de todas las credenciales implicadas.

En el plano más clásico, nunca sobra ejecutar soluciones antimalware actualizadas capaces de detectar infostealers y malware que puedan estar buscando específicamente archivos, rutas y tokens relacionados con OpenClaw, algo que ya están haciendo varias familias conocidas.

Despliegue experimental seguro y cultura interna en torno a la IA

Para empresas que sí necesiten probar agentes de IA autónomos, la mejor estrategia pasa por acotar al máximo el entorno de pruebas. Esto implica desplegar estos agentes en una subred aislada, con reglas de entrada y salida claras, usando datos sintéticos que reproduzcan la estructura de los datos reales pero sin incluir información de producción.

Es buena idea que cada prueba cuente con cuentas de servicio dedicadas, tokens de acceso de muy corta duración y permisos mínimos estrictos. Todo acceso debe ir acompañado de un sistema de logging detallado que recoja scripts ejecutados, parámetros, acciones sobre archivos y llamadas a APIs, integrando estas trazas en el SIEM corporativo.

Las reglas de detección deberían tratar a OpenClaw y herramientas similares como si se tratase de un servidor expuesto que manipula datos sensibles. Eso incluye aplicar técnicas habituales contra ataques de tipo Living off the Land (LotL), detectar comportamientos anómalos y bloquear automáticamente acciones que se salgan del patrón de uso acordado.

Un pilar que a menudo se subestima es la política corporativa y la formación de empleados. Prohibir todo a cal y canto rara vez funciona: la gente buscará atajos. Es más efectivo definir políticas claras de «sí, con condiciones» que expliquen qué datos se pueden procesar con IA y cuáles no, ilustrando con ejemplos concretos lo fácil que es que un agente reenvié información sensible por una simple instrucción en un correo.

Ofrecer alternativas seguras controladas por la organización —como asistentes aprobados, con logging, gestión centralizada de credenciales y revisión de plugins— suele reducir muchísimo la tentación de montar OpenClaw por libre en un portátil escondido debajo de la mesa.

OpenClaw simboliza como pocas herramientas el salto desde las IA que solo responden a preguntas hacia agentes que toman decisiones y ejecutan acciones por su cuenta; ese salto, que promete productividad y comodidad brutales, también implica asumir que estamos poniendo un software aún inmaduro en el centro de nuestra vida digital. Entender a fondo sus capacidades, sus vulnerabilidades y las medidas necesarias para domarlo es la diferencia entre aprovecharlo como un aliado potente o convertirlo, sin querer, en la principal vía de entrada de la próxima brecha de seguridad.