Cibersecurity.io

OpenClaw: el agente de IA que está poniendo en jaque la seguridad empresarial en 2026

Cibersecurity.io

Si trabajas en ciberseguridad, es muy probable que ya hayas oído hablar de OpenClaw, el asistente de inteligencia artificial de código abierto que arrasa en popularidad desde principios de 2026 . Anteriormente conocido como Clawdbot y luego como Moltbot, este agente puede instalarse localmente en cualquier máquina, conectarse a plataformas como WhatsApp, Telegram, Signal, Discord o Slack, y ejecutar comandos directamente sobre el sistema de archivos, el calendario, el correo electrónico e incluso el sistema operativo a través del shell .

Dicho así, no hace falta ser experto para que se te encoja el estómago.

¿Qué es OpenClaw y por qué preocupa tanto?

OpenClaw es, en esencia, una puerta de enlace para agentes de IA que acepta instrucciones a través de apps de chat o una interfaz web y las delega en los modelos de lenguaje (LLM) locales o en la nube que el usuario haya configurado . La primera versión —Clawdbot— se lanzó en noviembre de 2025. En enero de 2026 se había vuelto viral. Y con la viralidad llegaron los problemas .

En solo una semana se revelaron varias vulnerabilidades críticas, aparecieron habilidades maliciosas en su directorio público y se filtraron secretos del ecosistema Moltbook. Por si fuera poco, la cuenta oficial en X fue secuestrada para promover estafas de criptomonedas y Anthropic presentó una demanda por infracción de marca . Algunos expertos ya lo califican como la mayor amenaza interna de 2026.

Vulnerabilidades conocidas de OpenClaw

CVE-2026-25253: compromiso total de la puerta de enlace

La vulnerabilidad más grave tiene una puntuación CVSS de 8.8. Si un agente visita un sitio web malicioso —o el usuario hace clic en un enlace trampa—, se filtra el token de autenticación principal . Con ese token, el atacante obtiene control administrativo completo sobre la puerta de enlace. Se corrigió en la versión 2026.1.29, pero muchos sistemas siguen sin actualizar.

Además, se documentaron dos vulnerabilidades de inyección de comandos: CVE-2026-24763 y CVE-2026-25157 .

Configuración predeterminada peligrosa

OpenClaw viene de fábrica con una configuración que facilita los ataques :

  • La autenticación está desactivada por defecto, exponiendo la puerta de enlace a internet
  • Acepta conexiones WebSocket sin verificar el origen
  • Las conexiones desde localhost se consideran de confianza automáticamente
  • El modo Invitado permite acceder a herramientas sensibles
  • Los parámetros críticos se difunden por la red local mediante mensajes mDNS

Secretos en texto plano

La configuración, la memoria y los registros de chat de OpenClaw almacenan claves API, contraseñas y credenciales sin ningún tipo de cifrado . Esto ya ha llamado la atención de grupos de malware: versiones de los infostealers RedLine y Lumma han incorporado rutas de archivos de OpenClaw a sus listas de robo, y el infostealer Vidar fue detectado extrayendo secretos del agente .

Habilidades maliciosas en ClawHub

El ecosistema de OpenClaw permite ampliar sus funciones mediante «habilidades» publicadas en ClawHub. Al ser un repositorio abierto, actores maliciosos introdujeron centenares de habilidades con el infostealer AMOS para macOS camuflado en su interior . Los desarrolladores firmaron un acuerdo con VirusTotal para analizar las cargas, aunque ellos mismos reconocen que no es una solución definitiva.

Los cinco problemas estructurales que no tienen parche

Más allá de los bugs corregibles, OpenClaw arrastra defectos de diseño que lo hacen intrínsecamente arriesgado :

  1. Acceso privilegiado a datos confidenciales del sistema y cuentas personales del propietario
  2. Exposición total a datos no confiables: correos, webs, mensajes de chat procesados de forma autónoma
  3. Incapacidad de los LLM para separar comandos de datos, lo que abre la puerta a la inyección de prompts
  4. Memoria contaminable: una sola inyección exitosa puede alterar el comportamiento del agente a largo plazo
  5. Capacidad de exfiltración: puede enviar correos, hacer llamadas API y extraer datos al exterior

Cabe destacar que estos cinco problemas no son exclusivos de OpenClaw: son comunes a casi cualquier agente de IA de propósito general.

Riesgos específicos para las organizaciones

Si un empleado instala OpenClaw en un dispositivo corporativo y lo conecta a servicios como Slack y SharePoint, la combinación de ejecución autónoma de comandos, acceso amplio al sistema de archivos y permisos OAuth excesivos crea las condiciones perfectas para una brecha profunda en la red .

El riesgo no desaparece aunque la empresa prohíba la instalación en equipos de trabajo, porque el agente puede estar en el dispositivo personal del empleado :

  • Los dispositivos personales suelen contener acceso a VPN corporativa o tokens de navegador para el correo y herramientas internas
  • El agente puede convertirse en objetivo de ingeniería social, facilitando la suplantación de identidad del empleado en chats con compañeros
  • Si el agente tiene acceso a cualquier servicio corporativo, los atacantes pueden manipularlo para exfiltrar datos de forma prácticamente indetectable

Además, el uso de OpenClaw en entornos empresariales podría incumplir directamente la Ley de IA de la UE y el Marco de Gestión de Riesgos de IA del NIST, con el consiguiente riesgo de multas y fallos en auditorías .

Cómo detectar OpenClaw en tu red

Los equipos SOC pueden buscar señales de presencia de OpenClaw con las siguientes técnicas :

  • Buscar los directorios ~/.openclaw/~/clawd/ o ~/.clawdbot en los endpoints
  • Escanear la red con herramientas como Shodan para identificar huellas HTML de paneles Clawdbot
  • Monitorizar tráfico WebSocket en los puertos 3000 y 18789
  • Vigilar mensajes mDNS en el puerto 5353 (openclaw-gw.tcp)
  • Detectar eventos de consentimiento OAuth inusuales, nuevos registros de ID de aplicaciones o cadenas de user-agent típicas de Node.js
  • Identificar patrones de acceso automatizado: lecturas masivas de archivos o correos, o análisis de directorios a intervalos fijos fuera del horario laboral

Cómo controlar la IA en la sombra

Para reducir el riesgo de que OpenClaw u otros agentes similares operen sin control en tu organización, estas prácticas son esenciales :

  • Lista de admitidos a nivel de host: solo aplicaciones e integraciones aprobadas, incluidos complementos verificados para productos extensibles
  • Evaluación de seguridad previa a cualquier producto o servicio con acceso a recursos corporativos
  • Principio de privilegios mínimos para todos los usuarios e identidades técnicas
  • Auditorías periódicas de integraciones OAuth, tokens activos y permisos de terceros, con revocación proactiva de los excesivos
  • Tratar a los agentes de IA con los mismos requisitos de seguridad que a servidores públicos que manejan datos sensibles

Despliegue seguro si decides usar agentes de IA

Si tu organización necesita experimentar con agentes de IA, hazlo con estas salvaguardas :

  • Despliega en una subred aislada con reglas de entrada y salida estrictas
  • Usa tokens de acceso de corta duración y con permisos mínimos; crea cuentas de servicio dedicadas para cada prueba
  • Realiza pruebas con datos sintéticos que imiten la estructura de los datos reales, nunca con producción
  • Configura logging detallado de todas las acciones del agente: eventos, parámetros de línea de comandos y artefactos de razonamiento
  • Configura tu SIEM para detectar actividad anómala, aplicando las mismas reglas de detección que para ataques Living off the Land (LotL)
  • Si usas servidores MCP o habilidades externas, analízalos con herramientas como skill-scannermcp-scanner o mcp-scan

Política corporativa y formación: el eslabón humano

Prohibir todas las herramientas de IA raramente funciona: los empleados buscan alternativas, y el problema se vuelve invisible . La clave está en el equilibrio:

  • Define políticas claras y transparentes sobre qué datos pueden procesar los servicios de IA externos. Una política de «sí, con condiciones» siempre se respeta más que un «no» sin explicación
  • Usa ejemplos reales en las formaciones: mostrar cómo un agente con acceso al correo puede reenviar información confidencial por una sola instrucción en un email entrante hace que la amenaza sea tangible
  • Ofrece alternativas seguras: si los empleados necesitan un asistente de IA, proporciónales uno aprobado con administración centralizada, logging y control de acceso OAuth

OpenClaw es, quizás, el ejemplo más extremo hasta la fecha de lo que puede salir mal cuando un agente de IA diseñado para la comodidad llega a entornos corporativos sin los controles adecuados . Pero también es una señal de alarma útil: los equipos de seguridad que aprendan de este caso estarán mucho mejor preparados para gestionar la próxima ola de agentes de IA que, inevitablemente, llegará a sus organizaciones.

Etiquetas:

, , ,

Fecha:

A continuación:

Antes: