OpenClaw: Crisis de seguridad de agentes IA que se desata ahora mismo
Probablemente ya hayas oído hablar de OpenClaw. Este agente de IA de código abierto se ha convertido rápidamente en uno de los repositorios de mayor crecimiento en la historia de GitHub, acumulando más de 135 000 estrellas en cuestión de semanas. Sin embargo, también ha provocado la primera gran crisis de seguridad de agentes de IA de 2026. Reco puede ayudarte a identificar si está presente en tu entorno.
El fenómeno OpenClaw
OpenClaw (anteriormente conocido como Clawdbot y Moltbot tras disputas de marcas registradas) es un agente de IA de código abierto creado por el desarrollador Peter Steinberger. A diferencia de los asistentes de IA tradicionales que solo responden preguntas, OpenClaw es autónomo. Puede ejecutar comandos de shell, leer y escribir archivos, navegar por la web, enviar correos electrónicos, administrar calendarios y realizar acciones en tu vida digital.
Los usuarios interactúan con OpenClaw a través de plataformas de mensajería como WhatsApp, Slack, Telegram, Discord e iMessage. El agente se ejecuta localmente y se conecta a grandes modelos de lenguaje como Claude o GPT. Su función de "memoria persistente" significa que recuerda el contexto entre sesiones, aprendiendo tus preferencias y hábitos con el tiempo.
El atractivo es claro: un asistente de IA que actúa por ti. La gente compra hardware dedicado solo para ejecutar OpenClaw las 24 horas. Sin embargo, esta capacidad conlleva graves consecuencias, que no tardaron en aparecer.
Una cascada de fallos de seguridad
En tan solo dos semanas tras hacerse viral, OpenClaw se asoció con un número creciente de incidentes de seguridad que escalaron tanto en alcance como en gravedad. Estos problemas abarcaban desde vulnerabilidades tradicionales hasta interfaces de gestión expuestas y la distribución de habilidades maliciosas. Individualmente, cada uno sería preocupante. En conjunto, ilustran por qué los agentes de IA con amplio acceso al sistema representan una categoría de riesgo fundamentalmente nueva.
27-29 de enero de 2026 - ClawHavoc
Los atacantes distribuyeron 335 habilidades maliciosas a través de ClawHub, la plataforma pública de OpenClaw. Estas habilidades utilizaban documentación profesional y nombres inofensivos como "solana-wallet-tracker" para aparentar legitimidad, y luego instruían a los usuarios a ejecutar código externo que instalaba keyloggers en Windows o el malware Atomic Stealer en macOS. Los investigadores confirmaron posteriormente un total de 341 habilidades maliciosas de 2857, lo que significa que aproximadamente el 12 % del registro estaba comprometido.
30 de enero de 2026 - Un parche discreto
OpenClaw lanzó la versión 2026.1.29, que parcheaba la vulnerabilidad CVE-2026-25253 antes de su divulgación pública. La vulnerabilidad permitía la ejecución remota de código con un solo clic a través de un enlace malicioso. La vulnerabilidad explotó la confianza de la interfaz de control en los parámetros de URL sin validación, lo que permitió a los atacantes secuestrar instancias mediante el secuestro de WebSockets entre sitios, incluso aquellas configuradas para escuchar solo en el host local.
31 de enero de 2026 - Exposición masiva
Censys identificó 21 639 instancias expuestas accesibles públicamente en internet, frente a las aproximadamente 1000 de tan solo unos días antes. Estados Unidos registró la mayor proporción de implementaciones expuestas, seguido de China, donde se estima que el 30 % de las instancias se ejecutaban en Alibaba Cloud. Se encontraron instancias mal configuradas que filtraban claves API, tokens OAuth y credenciales de texto sin formato.
31 de enero de 2026 - Filtración de Moltbook
Esa misma semana, se descubrió que Moltbook (una red social creada exclusivamente para agentes de OpenClaw) tenía una base de datos no segura que exponía 35 000 direcciones de correo electrónico y 1,5 millones de tokens API de agentes. La plataforma, que había crecido hasta superar los 770.000 agentes activos, demostró la rapidez con la que un ecosistema sin verificar puede agravar el riesgo.
3 de febrero de 2026 - Divulgación completa
La vulnerabilidad CVE-2026-25253 se divulgó públicamente con una puntuación CVSS de 8,8. Ese mismo día, OpenClaw emitió tres avisos de seguridad de alto impacto: la vulnerabilidad de RCE con un solo clic y dos vulnerabilidades de inyección de comandos. Los investigadores de seguridad confirmaron que la cadena de ataque tarda "milisegundos" después de que la víctima visita una sola página web maliciosa.
Por qué esto es importante para su organización
Estos problemas técnicos son alarmantes por sí mismos, pero el problema más profundo es lo que sucede cuando los empleados conectan herramientas personales de IA a los sistemas corporativos, a menudo sin la visibilidad del equipo de seguridad.
OpenClaw se integra con plataformas de correo electrónico, calendarios, documentos y mensajería. Al conectarse a aplicaciones SaaS corporativas, como Slack o Google Workspace, el agente puede acceder a mensajes y archivos de Slack, correos electrónicos, entradas de calendario, documentos almacenados en la nube, datos de aplicaciones integradas y tokens OAuth que permiten el movimiento lateral.
Para colmo, la memoria persistente del agente implica que cualquier dato al que acceda permanece disponible en todas las sesiones. Si el agente se ve comprometido (mediante una habilidad maliciosa, inyección de prompt o explotación de vulnerabilidades), los atacantes heredan todo ese acceso.
Esto es básicamente IA en la sombra con privilegios elevados. Los empleados otorgan acceso a los agentes de IA a los sistemas corporativos sin el conocimiento ni la aprobación del equipo de seguridad, y la superficie de ataque crece con cada nueva integración.
Identificación de OpenClaw en su entorno
Las herramientas de seguridad tradicionales tienen dificultades para detectar agentes de IA.
