OpenClaw

Mar 4, 2026 — 5 minutos

OpenClaw: el asistente de IA que todo el mundo quiere y que ningún CISO aprobaría

El agente de IA más viral de la historia es también una de las mayores amenazas de ciberseguridad de 2026.

Y probablemente ya está instalado en el ordenador de alguien de tu equipo.

En solo tres meses, OpenClaw ha pasado de ser un proyecto open source desconocido a convertirse en el proyecto con más estrellas de GitHub (más de 180.000), superando incluso a React.


Las alertas de seguridad no han tardado en llegar:

  • Gartner lo ha calificado como un riesgo “inaceptable”
  • Microsoft recomienda tratarlo como “ejecución de código no fiable con credenciales persistentes”
  • The Register lo describe directamente como un “dumpster fire” de seguridad

El 2 de marzo, además, se parcheó la última vulnerabilidad crítica: ClawJacked, que permitía a una web maliciosa secuestrar cualquier instancia de OpenClaw con acceso total al sistema.

Mientras tanto, según la firma de ciberseguridad Token Security, el 22 % de sus clientes empresariales ya tienen empleados usando OpenClaw en dispositivos corporativos, probablemente sin que IT lo sepa.

Esto no es ciencia ficción.

Es lo que está pasando ahora mismo.


Qué es OpenClaw (y por qué importa)


OpenClaw es un agente de IA autónomo open source que se instala en tu ordenador y se conecta prácticamente a todo:

  • correo electrónico
  • Slack
  • WhatsApp
  • Telegram
  • calendario
  • archivos
  • navegador
  • terminal


A diferencia de un chatbot tradicional, que espera a que le hagas una pregunta, OpenClaw actúa.

Ejecuta comandos.

Gestiona archivos.

Envía mensajes.

Automatiza tareas.

Y lo hace de forma autónoma, 24/7.


Su creador, el ingeniero austríaco Peter Steinberger, lo diseñó como un asistente personal con acceso total.

Y funciona. Ahí está la parte buena.


La parte mala es que, para funcionar, necesita acceso administrativo a tu máquina y credenciales de todos tus servicios.

Credenciales que, según múltiples investigadores, se almacenan en texto plano en archivos Markdown y JSON.

La analogía más precisa es esta:

" OpenClaw es como darle las llaves de tu casa, tu oficina y todas tus cuentas bancarias a un asistente extremadamente competente… que deja la puerta abierta".

El investigador Simon Willison lo describe como la “tríada letal”:

  • acceso a datos privados
  • exposición a contenido no fiable
  • capacidad de comunicación externa

Cuando un agente combina las tres, es vulnerable por diseño.

Palo Alto Networks añade otro problema: gracias a la memoria persistente de OpenClaw, los ataques pueden quedar latentes y activarse días o semanas después.


Las vulnerabilidades: no es un fallo, es la arquitectura


Lo que hace especialmente peligroso a OpenClaw no es un bug aislado.

Es su diseño. Los problemas documentados por Cisco, Microsoft, CrowdStrike, Oasis Security, Endor Labs, Snyk, Zenity, Koi Security, Palo Alto Networks y Gartner incluyen:


Ejecución remota de código (RCE)


El CVE-2026-25253, con una puntuación CVSS de 8.8, permite a un atacante ejecutar código arbitrario en la máquina del usuario con un solo clic.

La cadena de ataque es sencilla:

  • El usuario abre un enlace malicioso
  • El token de autenticación se envía al atacante
  • El atacante conecta al WebSocket local
  • Desactiva el sandboxing
  • Obtiene ejecución completa de comandos

En menos de una semana se publicaron cinco CVEs de alta severidad.

La versión 2026.2.12 corrigió más de 40 vulnerabilidades de golpe.

Y seis nuevas fueron reveladas por Endor Labs el 27 de febrero.


ClawJacked (2 de marzo de 2026)


Descubierta por Oasis Security.

Una web maliciosa puede abrir una conexión WebSocket silenciosa al gateway local de OpenClaw.

Como el servidor no aplica rate limiting en localhost, permite cientos de intentos de fuerza bruta por segundo desde JavaScript del navegador.

Una vez adivinada la contraseña:

  • volcado de credenciales
  • ejecución de comandos
  • control total del sistema

Zero-click.


Cadena de suministro envenenada


OpenClaw funciona mediante “skills”, plugins que amplían sus capacidades.

Koi Security auditó inicialmente 2.857 skills en ClawHub.

Resultado: 341 maliciosos.

Semanas después, Dark Reading reportó más de 820 skills maliciosos.

Entre ellos:

  • Atomic Stealer (AMOS)
  • reverse shells
  • keyloggers
  • robo de credenciales y wallets crypto

Snyk analizó casi 4.000 skills y descubrió que el 7,1 % expone credenciales sensibles hardcodeadas.

OpenClaw ha integrado VirusTotal para escanear plugins automáticamente, aunque ellos mismos reconocen:

“It is not a silver bullet.”


Inyección de prompts vía documentos y correo


Zenity demostró cómo un Google Doc con instrucciones ocultas puede hacer que OpenClaw cree una integración con un bot de Telegram controlado por el atacante.

Desde ahí, el atacante puede:

  • leer archivos
  • exfiltrar datos
  • borrar contenido

Todo sin que el usuario vea nada.

Cualquier documento compartido, correo o invitación de calendario puede convertirse en un vector de ataque.


135.000 instancias expuestas en internet


SecurityScorecard identificó más de 135.000 instancias de OpenClaw expuestas públicamente.

Más de 15.000 vulnerables a ejecución remota de código.

Bitsight detectó otras 30.000.

La causa: OpenClaw escucha por defecto en todas las interfaces de red.


El problema real: Shadow AI en la empresa


La amenaza más grave no viene de un atacante externo. Viene de dentro.

Microsoft es claro en su guía publicada el 19 de febrero:

OpenClaw debe tratarse como “ejecución de código no fiable con credenciales persistentes”.Si una organización decide evaluarlo, debe desplegarse solo en un entorno completamente aislado.


Bitdefender ha documentado el fenómeno de Shadow AI: empleados que despliegan agentes con acceso total a sus máquinas corporativas.

No son hackers.

Son ingenieros.

Personas de marketing.

Finanzas.

Operaciones.


Los datos:

  • 22 % de empresas ya tienen empleados usando OpenClaw sin autorización
  • 820+ skills maliciosos detectados
  • 135.000 instancias expuestas
  • malware como RedLine, Lumma y Vidar ya lo atacan activamente


Lo que significa para tu empresa


Si diriges una empresa o un departamento financiero, esto es lo importante:

1. Tu perímetro de seguridad se ha ampliado sin tu permiso

Un empleado que conecta un agente de IA a correo, calendario y Slack crea un punto único de fallo.


2. Una sola credencial comprometida tiene un radio de explosión enorme

Un agente agrega:

tokens OAuth

claves API

permisos SaaS

Una brecha significa acceso simultáneo a todo el stack digital.


3. Las herramientas de seguridad tradicionales no lo detectan

La prompt injection convierte texto en canal de control.

Para las herramientas tradicionales de seguridad, parece tráfico legítimo.


4. El riesgo regulatorio es real

Con el EU AI Act y el NIST AI RMF, ejecutar agentes autónomos sin gobernanza puede constituir incumplimiento normativo.


La IA no es el problema. La falta de protección sí.


OpenClaw no es intrínsecamente malicioso.

Es una herramienta poderosa que muestra hacia dónde va la tecnología.

Los agentes autónomos de IA son inevitables.

La pregunta no es si tu empresa los usará.

La pregunta es si estará preparada cuando lo haga.


Aquí es donde entra Axyom


La mayoría de empresas no tienen un CISO.

No pueden permitirse uno.

Pero amenazas como OpenClaw exigen exactamente eso:

Alguien que evalúe riesgos, implemente controles y prepare a la empresa para incidentes.

Axyom AI CISO funciona como un CISO continuo y autónomo.

  • evalúa tu exposición
  • prioriza los riesgos críticos
  • genera un plan de acción mensual
  • produce evidencia verificable de controles de seguridad

Si además necesitas un ciberseguro, se integra como un módulo adicional.

Todo desde 99 €/mes.


Qué puedes hacer ahora mismo


Si eres CEO, CFO o CIO:

  • Visibilidad

Averigua si alguien en tu empresa está usando agentes de IA autónomos.

  • Política

Define reglas claras sobre el uso de agentes de IA.

  • Protección real

Tu empresa necesita capacidad de CISO, aunque no contrates uno.


El futuro es agéntico


OpenClaw es solo el principio.

En los próximos meses veremos una explosión de agentes de IA autónomos cada vez más integrados y potentes.


Las empresas que sobrevivirán serán las que combinen:

innovación + protección operativa real


Eso es exactamente lo que hacemos en Axyom.

AI CISO: protección continua, con seguro integrado cuando lo necesites.


Para que puedas innovar sin miedo.



Fuentes: Microsoft Security Blog, Cisco AI Threat Research, CrowdStrike, Oasis Security, SecurityScorecard, Bitsight, Endor Labs, Koi Security, Snyk, Zenity, Palo Alto Networks, Bitdefender, Token Security, Gartner, VirusTotal, Dark Reading, Infosecurity Magazine, The Register, The Hacker News.