Una herramienta de IA con un nombre curioso ha causado bastante revuelo últimamente, incluyendo algunas acusaciones de conciencia artificial, así que aquí tienes un análisis detallado de OpenClaw.
Lanzado en noviembre de 2025, OpenClaw es un agente de inteligencia artificial (IA) autónomo y de código abierto que se diseñó para ejecutarse localmente en tu propio ordenador, lo que le permite gestionar tareas, interactuar con aplicaciones y leer y escribir archivos directamente. Actúa como un asistente digital personal, integrándose con aplicaciones de chat como WhatsApp y Discord para automatizar correos electrónicos, escanear calendarios y buscar información en Internet.
OpenClaw se conocía anteriormente como ClawdBot, pero el proyecto entró en conflicto con el gran desarrollador de IA Anthropic, debido a su propia herramienta llamada «Claude». En respuesta, el desarrollador de OpenClaw rápidamente cambió el nombre del proyecto a «Moltbot», lo que provocó campañas de suplantación de identidad por parte de ciberdelincuentes. Los problemas con la marca registrada y los abusos que siguieron dañaron la reputación de OpenClaw.
Otro revés se produjo cuando Hudson Rock publicó un artículo sobre el primer caso observado de un ladrón de información que robó una configuración completa de OpenClaw de un sistema infectado, saqueando efectivamente la «identidad» de un agente de IA personal en lugar de solo las contraseñas del navegador.
El caso pone de relieve un peligro inminente, no solo para OpenClaw, sino también para otros agentes de IA. Los ladrones de información están empezando a recopilar no solo credenciales, sino también identidades completas de IA, además de sus «llaves maestras» criptográficas, lo que convierte a un agente comprometido en un punto clave para la apropiación total de cuentas y la creación de perfiles a largo plazo.
Como ya he mencionado anteriormente en un contexto más amplio, los adversarios están empezando a atacar los sistemas de IA a nivel de la cadena de suministro, contaminando silenciosamente los datos de entrenamiento e insertando puertas traseras que solo se activan en condiciones específicas. OpenClaw se encuentra de lleno en esta zona de riesgo emergente: es de código abierto, evoluciona rápidamente y está cada vez más conectado a buzones de correo, unidades en la nube y flujos de trabajo empresariales, mientras que su modelo de seguridad sigue siendo improvisado.
En esta etapa de su desarrollo, considerar OpenClaw como una herramienta de productividad consolidada es una ilusión, ya que se comporta más bien como un becario demasiado entusiasta, con un carácter aventurero, buena memoria y sin comprender realmente lo que debe mantenerse en privado.
Los investigadores y reguladores ya han documentado los riesgos de inyección inmediata, el envenenamiento de registros y los casos expuestos en los que los atacantes obtienen credenciales o tokens en texto plano a través de correos electrónicos, sitios web o registros envenenados que el agente procesa diligentemente.
Cómo utilizar OpenClaw de forma segura
Para cualquiera que esté pensando en utilizar OpenClaw en producción, el panorama general es aún menos alentador. OpenClaw se ejecuta localmente, pero está diseñado para ser aventurero: puede navegar, ejecutar comandos de shell, leer y escribir archivos, y encadenar «habilidades» sin que un humano compruebe cada paso. Los permisos mal configurados, las habilidades con privilegios excesivos y la cultura de «simplemente dale acceso para que pueda ayudar» hacen que el agente a menudo se sitúe en el centro de tus cuentas, tokens y documentos, con muy pocas barreras de protección.
De hecho, una empleada de Meta que trabaja en seguridad y alineación de IA compartió recientemente en la plataforma de redes sociales X no pudo evitar que ClawBot borrara una parte importante de su bandeja de entrada de correo electrónico.
Además, la autoridad neerlandesa de protección de datos (Autoriteit Persoonsgegevens) advirtió a las organizaciones que no implementaran agentes experimentales como OpenClaw en sistemas que manejan datos confidenciales o regulados, señalando que la combinación de acceso local privilegiado, ingeniería de seguridad inmadura y un ecosistema en rápido crecimiento de complementos de terceros dudosos era una especie de caballo de Troya en el punto final.
Microsoft proporcionó una lista de recomendaciones en este campo que tienen mucho sentido. No están dirigidas específicamente a OpenClaw, pero proporcionan una base conservadora para agentes autohospedados y conectados a Internet con credenciales duraderas. (Si estas recomendaciones parecen demasiado técnicas, es porque el uso seguro de un agente de IA con amplio acceso sigue siendo un proceso experimental y técnico).
- Ejecute OpenClaw (o agentes similares) en una máquina virtual o contenedor aislado en hosts aislados, con salida denegada por defecto y listas de permisos con un alcance muy limitado.
- Asigne al tiempo de ejecución sus propias identidades de servicio no humanas, privilegios mínimos, tokens de corta duración y sin acceso directo a secretos de producción o datos confidenciales.
- Trate la instalación de habilidades/extensiones como si se tratara de introducir código nuevo en un entorno privilegiado: restrinja los registros, valide la procedencia y supervise las habilidades poco comunes o nuevas.
- Registre y revise periódicamente la memoria/estado y el comportamiento del agente para detectar cambios duraderos en las instrucciones, especialmente después de incorporar contenido no fiable o fuentes compartidas.
- Comprenda y prepárese para el caso en que sea necesario realizar una restauración completa: mantenga a mano instantáneas del estado no confidenciales, documente un manual de reconstrucción y rotación de credenciales, y ensáyelo.
- Ejecute una solución antimalware actualizada en tiempo real que pueda detectar ladrones de información y otro malware.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
