OpenClaw: La Verdad Tras el Hype, Riesgos y Vulnerabilidades

En la última semana de enero de 2026, internet explotó con discusiones sobre un nuevo agente de IA que cambió varias veces de nombre: Clawdbot → Moltbot → y finalmente OpenClaw.

En pocos días, el proyecto acumuló más de 146,000 estrellas en GitHub, coincidió temporalmente con un repunte especulativo en acciones tecnológicas (incluyendo Cloudflare), y generó una oleada de publicaciones en Twitter con desempaquetados de Mac Mini. Los memes sobre que el Mac Mini “se vende más rápido que el iPhone” en China se propagaron como la pólvora.

El proyecto ha sido renombrado oficialmente como OpenClaw y ahora está disponible en openclaw.ai. Este es ya su tercer nombre: primero fue Clawd (Anthropic solicitó el cambio por su similitud con Claude), luego Moltbot (no caló en la comunidad), y ahora OpenClaw, una combinación de apertura y el legado “langostero” del proyecto. El nuevo nombre ha superado la verificación de marcas registradas.

Analicemos en orden: qué es OpenClaw (Clawdbot), de dónde surgió el hype, por qué el mito del Mac Mini es precisamente eso, un mito, qué vulnerabilidades documentadas amenazan tus datos y cuándo deberías optar por alternativas a OpenClaw consolidadas.

Los principales riesgos de seguridad de OpenClaw identificados por expertos son:
Skills Maliciosas: Plugins con malware como infostealers que se distribuyen a través de repositorios públicos no verificados.
Gusanos de Prompt: Inyecciones de prompts autorreplicantes que pueden propagarse entre agentes de IA, llevando a comportamientos no deseados.
Vulnerabilidades de Arquitectura: Fallos de autenticación críticos que exponen claves API, tokens y datos sensibles a través de internet.
Acceso no controlado al sistema: Permisos de ejecución ilimitados que convierten al agente en un objetivo de alto valor para los atacantes.

Riesgos de seguridad de OpenClaw al instalar skills maliciosas — Las skills de repositorios no auditados pueden ocultar malware que compromete tus datos sensibles.

¿Qué sucedió durante la semana de caos?
¿Qué es OpenClaw?: la realidad técnica sin marketing
- Diferencias clave con los chatbots convencionales
Cientos de 'skills' maliciosas descubiertas en OpenClaw
- La Campaña ClawHavoc y el Malware
- El Payload Técnico:
Prompts peligrosos: La era de los "Gusanos de Prompt"
Fallos de Arquitectura en OpenClaw: Exposición de Secretos
- Omisión de autenticación documentada
- La magnitud del problema
El mito del Mac Mini: donde el marketing se desvía de la realidad
- El coste real de propiedad
Evaluación honesta: Riesgos de OpenClaw en entornos empresariales
Conclusión: protégete del hype, monitorea la evolución
- Mitigación de riesgos recomendada:

Tabla de Contenido

¿Qué sucedió durante la semana de caos?
¿Qué es OpenClaw?: la realidad técnica sin marketing
- Diferencias clave con los chatbots convencionales
Cientos de 'skills' maliciosas descubiertas en OpenClaw
- La Campaña ClawHavoc y el Malware
- El Payload Técnico:
Prompts peligrosos: La era de los "Gusanos de Prompt"
Fallos de Arquitectura en OpenClaw: Exposición de Secretos
- Omisión de autenticación documentada
- La magnitud del problema
El mito del Mac Mini: donde el marketing se desvía de la realidad
- El coste real de propiedad
Evaluación honesta: Riesgos de OpenClaw en entornos empresariales
Conclusión: protégete del hype, monitorea la evolución
- Mitigación de riesgos recomendada:

¿Qué sucedió durante la semana de caos?

La historia de la transición de Moltbot a OpenClaw no es solo un cambio de nombre. Según dev.to, el proyecto experimentó:

Secuestro de cuentas: ataques a las cuentas de desarrolladores y contribuidores.
Estafas con criptomonedas: los estafadores atacaron deliberadamente a la comunidad del proyecto.
Servidores públicos sin protección: descubrimiento masivo de instancias vulnerables.
Auditoría de seguridad seria: la atención de los investigadores se centró en las vulnerabilidades.

Lo que sobrevivió: la base de código, la comunidad, la visión principal y el momentum.

Lo que no sobrevivió: el enfoque casual hacia la seguridad y la práctica de “lo arreglaremos después”.

Las promesas son atractivas: un agente de IA autónomo que realiza tareas por ti, funciona a través de tus aplicaciones de mensajería habituales y tiene acceso ilimitado a tu ordenador. Un solo desarrollador realiza 6,600 commits en un mes, más de lo que la mayoría de los equipos envían en un trimestre. Parece que por fin hemos conseguido una “verdadera IA” que no solo genera texto, sino que actúa de verdad.

Pero, ¿qué hay detrás de estas cifras y promesas? ¿Por qué el Mac Mini se convirtió en el símbolo de Clawdbot, aunque técnicamente no es necesario? ¿Qué problemas críticos de seguridad han descubierto los investigadores? ¿Y cuándo tienen sentido realmente los agentes de IA autónomos para las empresas, y cuándo son simplemente un experimento costoso con consecuencias impredecibles?

¿Qué es OpenClaw?: la realidad técnica sin marketing

OpenClaw es un agente de IA autónomo y de código abierto que se ejecuta localmente en un ordenador para realizar tareas reales, no solo generar texto. A diferencia de los chatbots, tiene acceso completo al sistema de archivos y se controla a través de apps de mensajería como Telegram o Slack, manteniendo una memoria a largo plazo de las interacciones.

OpenClaw (antes Clawdbot/Moltbot) se diferencia fundamentalmente de ChatGPT o Claude.ai en un aspecto crítico: ejecuta acciones, no solo aconseja. Como lo describen sus creadores: “Una plataforma de agente abierta que funciona en tu máquina y se integra con las aplicaciones de chat que ya usas”. No es un chatbot que genera texto, es un agente autónomo que opera como un proceso en segundo plano en tu ordenador y tiene acceso completo al sistema.

Imagina un asistente al que le escribes por WhatsApp o Telegram: “Organiza todos los archivos en la carpeta de descargas”, “Envía un correo electrónico al equipo con el informe de la semana”, “Busca en internet los últimos datos sobre el mercado de IA y guárdalos en un documento”. OpenClaw no solo te escribirá las instrucciones, sino que ejecutará estas acciones por sí mismo.

Últimas actualizaciones (febrero de 2026):

Añadido soporte para Twitch y Google Chat.
Nuevos modelos: KIMI K2.5 y Xiaomi MiMo-V2-Flash.
Interfaz de chat web con soporte para imágenes.
34 commits centrados en la seguridad en OpenClaw.

Diferencias clave con los chatbots convencionales

Acceso ilimitado al sistema. A diferencia de los chatbots tradicionales con “function calling” limitado, Clawdbot puede “controlar prácticamente por completo tu ordenador” sin las restricciones convencionales. Acceso al sistema de archivos, ejecución de comandos, control del navegador, lanzamiento de scripts: todo lo que una persona sentada frente al teclado puede hacer.

Memoria a largo plazo. Cada interacción se registra y se agrega continuamente a una memoria estructurada. El agente construye una comprensión de tus preferencias, comportamiento y flujos de trabajo con el tiempo. Esto lo distingue fundamentalmente de las interfaces de chat stateless que “olvidan” el contexto después de cada sesión.

Interfaz a través de mensajería. Todo el trabajo se realiza a través de aplicaciones habituales: WhatsApp, Telegram, Slack, Discord, iMessage, Signal, Teams, y ahora también Twitch y Google Chat. Simplemente escribes una instrucción y el agente la ejecuta, manteniendo el contexto a través de las plataformas y el historial de mensajes.

Bajo el capó, OpenClaw utiliza los modelos Claude de Anthropic (principalmente Opus para razonamientos complejos y Sonnet para tareas rápidas), y también es compatible con KIMI K2.5 y Xiaomi MiMo-V2-Flash. El proyecto es completamente open-source y fue creado por un único desarrollador, Peter Steinberger, un ingeniero austriaco que previamente fundó PSPDFKit.

Cientos de ‘skills’ maliciosas descubiertas en OpenClaw

Aquí es donde la realidad golpea al hype. Se han detectado numerosos problemas de seguridad en OpenClaw y su ecosistema. Investigadores han identificado más de 340 skills maliciosas en OpenClaw utilizadas para distribuir ladrones de información (infostealers).

Las ‘skills’ (habilidades) para OpenClaw son plugins que extienden las capacidades del asistente. El problema reside en que el repositorio oficial, ClawHub, está abierto por defecto. Cualquier persona puede subir contenido; la única restricción es que la cuenta de GitHub debe tener una antigüedad mínima de una semana.

Diagrama del ataque de una skill maliciosa de OpenClaw que exfiltra datos del usuario — El ataque ocurre sin interacción adicional del usuario tras instalar la skill, exponiendo credenciales y datos sensibles.

La Campaña ClawHavoc y el Malware

Según informes públicos y análisis técnicos publicados por investigadores de Koi Security, entre el 27 de enero y el 1 de febrero, aparecieron más de 230 ‘skills’ maliciosas para OpenClaw en ClawHub y GitHub. Los investigadores realizaron una auditoría de las 2857 ‘skills’ disponibles en ese momento en ClawHub y contabilizaron 341 maliciosas asociadas a una única campaña denominada ClawHavoc.

Análisis recientes de laboratorios de seguridad confirman esta tendencia, indicando que una proporción significativa de las ‘skills’ analizadas presenta comportamientos maliciosos. Algunas de ellas fueron descargadas miles de veces, y la ‘skill’ maliciosa más popular, “What Would Elon Do” («¿Qué haría Elon?»), redirigía datos a servidores externos mientras ocupaba el primer lugar en la clasificación gracias a la manipulación de votos.

El esquema de infección es similar a los ataques ClickFix. Cada ‘skill’ contiene documentación detallada donde se menciona repetidamente una herramienta independiente, AuthTool, supuestamente necesaria para su funcionamiento. En realidad, es un mecanismo de distribución de malware, tal como detalla un informe de SC Media.

El Payload Técnico:

Para los usuarios de macOS, se trata de un comando de shell codificado en base64 que descarga el payload desde una dirección externa. El malware para macOS es una variante de Atomic Stealer (AMOS), que evade Gatekeeper mediante el comando:

xattr -c

y solicita un amplio acceso al sistema de archivos. El stealer busca claves API de intercambios de criptomonedas, datos de monederos de criptomonedas y frases semilla, extensiones de navegador, datos del Llavero (Keychain), contraseñas de navegadores, claves SSH, credenciales de la nube, cuentas de Git y archivos .env.

Según los investigadores, todas las ‘skills’ utilizan una única infraestructura de control, vinculada a la dirección IP 91.92.242[.]30.

Las ‘skills’ maliciosas se camuflan como:

Typosquatting de ClawHub (clawhub1, clawhubb, clawhubcli, clawwhub).
Herramientas de criptomonedas (solana-wallet-tracker, polymarket-trader).
Utilidades de YouTube (youtube-summarize, youtube-thumbnail-grabber).
Actualizadores automáticos (auto-updater-agent, update, updater).
Herramientas financieras (yahoo-finance-pro, x-trends-tracker).
Google Workspace (Gmail, Calendar, Sheets, Drive).

Además de las ‘skills’ con distribución directa de malware, los especialistas encontraron ‘skills’ con reverse shells integradas (better-polymarket, polymarket-all-in-one), así como una que enviaba credenciales de bots desde ~/.clawdbot/.env a webhook[.]site (la ‘skill’ rankaj).

Para mitigar esto, Bitdefender ha desarrollado AI Skills Checker, una herramienta gratuita diseñada para automatizar la evaluación del riesgo asociado a las ‘skills’ de inteligencia artificial. Además, los analistas han creado un escáner online gratuito en el que puedes insertar la URL de una ‘skill’ para obtener un informe sobre su seguridad.

Prompts peligrosos: La era de los “Gusanos de Prompt”

Mientras unos especialistas estudiaban las ‘skills’ de OpenClaw, investigadores del Simula Research Laboratory identificaron en Moltbook múltiples publicaciones que contenían inyecciones de prompts ocultas dentro de una muestra representativa del contenido analizado.

En opinión de los analistas, estos son los primeros signos de la aparición de “gusanos de prompt” (prompt worms), instrucciones autorreplicantes que pueden transmitirse entre agentes. Este tipo de manipulación es uno de los ataques a agentes de IA más novedosos y se detalla en el OWASP Top 10 para LLMs.

Con la aparición de OpenClaw, los vectores para ataques similares se han multiplicado. Por ejemplo, a un agente se le instala una ‘skill’ de ClawHub, y esta le ordena publicar contenido en Moltbook. Otros agentes leen ese contenido, que contiene instrucciones. Los agentes siguen estas instrucciones, lo que incluye publicar contenido similar para otros agentes. Finalmente, la cadena se completa y el prompt se convierte en un virus entre los agentes de IA, como demuestra este paper académico sobre el comportamiento de agentes.

Los especialistas en seguridad de la información señalan que actualmente OpenClaw funciona principalmente a través de las API de OpenAI y Anthropic. Esto implica que estas empresas pueden observar patrones de uso y aplicar mecanismos de mitigación centralizados, como bloqueos de cuentas, limitaciones de acceso o suspensión de servicios ante comportamientos sospechosos.

Sin embargo, esta ventana de oportunidad se está cerrando. Los LLM locales (como Mistral, DeepSeek y Qwen) mejoran constantemente. Es probable que en los próximos años, ejecutar un agente potente en hardware local sea accesible para los entusiastas. Después de eso, ya no habrá un “interruptor de emergencia”.

Fallos de Arquitectura en OpenClaw: Exposición de Secretos

Bajo la prometedora apariencia de Clawdbot se esconde un panorama de seguridad que los expertos describen como “preocupante para un despliegue en producción”.

Omisión de autenticación documentada

La firma de seguridad blockchain SlowMist y el investigador Jamieson O’Reily descubrieron de forma independiente una grave vulnerabilidad en el sistema de autenticación del gateway de Clawdbot.

El problema surge de un error de configuración común: la arquitectura de OpenClaw concede a las conexiones de localhost una autenticación automática sin verificación, un fallo catalogado como CVE-2026-25253.

Cuando se despliega detrás de un proxy inverso (nginx, Caddy), un esquema de implementación estándar, todas las conexiones del proxy inverso parecen originarse en 127.0.0.1. Esto hace que el sistema otorgue al tráfico externo el mismo acceso sin autenticación destinado únicamente a los procesos locales.

La magnitud del problema

O’Reily realizó un escaneo de toda la red de internet con Shodan e identificó cientos de paneles de control de Clawdbot accesibles públicamente sin autenticación. En segundos, utilizando una única consulta de búsqueda (“Clawdbot Control”), encontró instancias que exponían datos de configuración completos: claves de API de Anthropic, tokens de bots de Telegram, credenciales OAuth de Slack y meses de historial de conversaciones privadas.

En dos casos especialmente preocupantes, las conexiones WebSocket proporcionaron acceso inmediato a los datos de autenticación. Un usuario tenía configurado Signal (un servicio de mensajería privada) con credenciales de emparejamiento almacenadas en archivos temporales legibles globalmente en un servidor de Clawdbot de acceso público. Este tipo de ciberataques autónomos aprovecha configuraciones débiles a gran escala.

El mito del Mac Mini: donde el marketing se desvía de la realidad

Una de las distorsiones más significativas en torno a Clawdbot es la supuesta necesidad de hardware caro de Mac.

Los requisitos técnicos son en realidad modestos: 1 GB de RAM, un núcleo de procesador y compatibilidad con Linux/Windows/macOS. Esto significa que Clawdbot funciona en una Raspberry Pi 5 (~70 dólares), en un servidor privado virtual por 5-12 dólares al mes, o en hardware que acumula polvo en tu armario.

Sin embargo, la narrativa del mercado se desplazó hacia la compra de Mac Mini de 600-1,200 dólares.

El coste real de propiedad

Aquí tienes una comparación del primer año de propiedad para diferentes escenarios:

Escenario	Coste 1er año	Hardware	Hosting	Electricidad	Configuración	API
Mac Mini	2,150 $	600 $	0 $	50 $	900 $	600 $
VPS (recomendado)	1,602 $	0 $	102 $	0 $	900 $	600 $
Raspberry Pi	1,600 $	70 $	0 $	30 $	900 $	600 $

El despliegue en un VPS o Raspberry Pi supone un ahorro de aproximadamente el 25 % en comparación con el enfoque publicitado del Mac Mini, proporcionando una ejecución de tareas funcionalmente idéntica (siempre que no necesites las integraciones de macOS).

Los años siguientes muestran un coste recurrente dominado por consumo de API y mantenimiento, que puede oscilar ampliamente según uso, modelos y volumen de automatización: los gastos dominantes siguen siendo el uso de la API de Claude, no la infraestructura.

Curiosamente, la mayoría de las publicaciones sobre “ahorrar tiempo con Clawdbot” olvidan mencionar estas cifras.

Evaluación honesta: Riesgos de OpenClaw en entornos empresariales

La dimensión del problema no afecta exclusivamente a los usuarios individuales. Según observaciones de la división ‘enterprise’ de Bitdefender, OpenClaw está comenzando a aparecer también en contextos profesionales.

Esta posible difusión en el ámbito corporativo amplifica el impacto potencial de las ‘skills’ maliciosas, dado que en entornos profesionales el acceso a información sensible, sistemas críticos y datos confidenciales es mucho más amplio que en contextos domésticos. El riesgo de exposición de credenciales corporativas es significativo.

OpenClaw es adecuado para:

Desarrollo experimental: cuando exploras las capacidades de los agentes autónomos y estás preparado para un comportamiento impredecible.
Tareas de automatización específicas: donde la destrucción de los resultados es aceptable.
Integraciones especializadas con el ecosistema macOS: (AppleScript, Atajos, iMessage).
Profesionales técnicos dispuestos a invertir horas en el perfeccionamiento iterativo de prompts.

OpenClaw NO es adecuado para:

Organizaciones que manejan datos personales sensibles o tienen requisitos de cumplimiento normativo.
Automatización crítica para el negocio, donde la inestabilidad y el consumo de tokens hacen que los SLA sean inalcanzables.
Aplicaciones sensibles al coste, donde el consumo de tokens destruye la rentabilidad unitaria a escala.
Cualquier caso de uso de OpenClaw en producción donde no le darías a un contratista humano acceso root a tu ordenador.

Conclusión: protégete del hype, monitorea la evolución

OpenClaw (antes Clawdbot/Moltbot) representa una verdadera innovación en cómo los agentes de IA pueden operar localmente, mantener un contexto persistente y ejecutar tareas reales a través del lenguaje natural.

Sin embargo, el momento viral enmascara limitaciones fundamentales para la mayoría de los contextos empresariales. Para un despliegue en producción, la herramienta sigue siendo un software en fase alfa con graves vulnerabilidades de seguridad y características de fiabilidad que garantizan fallos a escala.

El estudio de los ataques a agentes de IA es un campo en crecimiento, como demuestra esta investigación sobre benchmarks de seguridad.

Arquitectura de seguridad en capas para una implementación segura de OpenClaw — Cada capa reduce el impacto incluso si una de las defensas falla, protegiendo el agente OpenClaw.

Mitigación de riesgos recomendada:

Si aun así decides experimentar con OpenClaw:

Despliégalo solo en hardware dedicado y aislado, sin datos personales sensibles.
Trátalo como una cuenta con acceso root.
Aíslalo en contenedores Docker o en un VPS separado, si es posible.
Implementa una configuración estricta del proxy inverso (confía explícitamente solo en fuentes específicas de X-Forwarded-For).
Audita todas las instancias de acceso público y aplica medidas de protección de inmediato.
Asume que las credenciales están comprometidas y rota las claves de API regularmente.

Este último punto es de vital importancia. Pregúntate: ¿le darías a un desconocido acceso administrativo completo a tu máquina de trabajo? Si la respuesta es no, ¿por qué dárselo a un agente de IA impredecible?

Burp Suite Pro: Guía Completa de Pentesting Web Avanzado

Pruebas de Penetración en Exchange Server: Guía Técnica

Exegol: La Guía Definitiva del Entorno Docker para Seguridad Ofensiva

Análisis de OpenClaw: Riesgos, Skills Maliciosas y Seguridad

Guía de Escritorio Remoto Seguro sin Abrir Puertos

BFU vs. AFU: Cómo Superar la Revisión de Móvil en la Aduana

Desactivar la IA de Windows 11: Guía del Script RemoveWindowsAI

iPhone 13 Pro Max: ¿Vale la Pena Comprarlo en 2025?

Cómo solucionar el Explorador de Archivos lento en Windows 11

Guía para Convertir Presentaciones PDF de NotebookLM a PowerPoint Editable

Nikto: Qué es y para qué sirve un escáner de vulnerabilidades

Los Mejores Gadgets para Hacking Ético en 2026

Seguridad en Criptomonedas: Análisis de Riesgos y Vulnerabilidades

10 Mujeres Hackers que Cambiaron la Historia (y Debes Conocer)

Grey Hat SEO: Guía Técnica de Estrategias y Riesgos

Análisis de OpenClaw: Riesgos, Skills Maliciosas y Seguridad

¿Qué sucedió durante la semana de caos?

¿Qué es OpenClaw?: la realidad técnica sin marketing

Diferencias clave con los chatbots convencionales