Qué está pasando con OpenClaw
OpenClaw se convirtió en uno de los agentes autónomos de inteligencia artificial más populares de los últimos meses, acumulando millones de usuarios en diferentes países. Conocido anteriormente como Clawdbot y Moltbot, el proyecto es open-source y se ejecuta directamente en la máquina local del usuario, lo que le otorga acceso privilegiado al sistema operativo para ejecutar tareas de forma autónoma. Sin embargo, una alerta emitida por el CNCERT — el equipo nacional de respuesta a emergencias de redes informáticas de China — sacó a la luz un escenario bastante preocupante. El informe, publicado a través de WeChat, señala fallas críticas que van desde prompt injection hasta mecanismos de exfiltración de datos que funcionan sin ninguna interacción del usuario. Esto significa que información sensible de personas y empresas puede estar vulnerable en este preciso momento, y justamente ahí es donde está el peligro.
Las configuraciones de seguridad por defecto de OpenClaw son descritas como inherentemente débiles por la comunidad de investigadores y por el propio CNCERT, lo que amplía considerablemente la superficie de ataque. En la práctica, los atacantes logran explotar estas brechas para tomar el control del dispositivo, robar datos confidenciales y, en los casos más graves, paralizar sistemas enteros. Este tipo de amenaza cibernética no es exactamente nuevo en el universo de la inteligencia artificial, pero adquiere una dimensión diferente cuando hablamos de un agente que tiene permisos para leer archivos, ejecutar comandos en la terminal e interactuar con APIs externas sin supervisión humana constante. El hecho de que millones de personas estén usando la herramienta a diario hace la situación aún más urgente.
Cómo funciona el ataque de Prompt Injection en OpenClaw
El prompt injection es una técnica en la que un atacante inserta instrucciones maliciosas dentro de un texto que el agente de IA va a procesar. En el caso de OpenClaw, esto puede ocurrir de formas sorprendentemente simples. Imagina que le pides al agente analizar un documento recibido por correo electrónico o resumir el contenido de una página web. Si ese contenido contiene instrucciones ocultas — algo como un comando disfrazado en texto invisible o formato especial — OpenClaw puede interpretar ese fragmento como una orden legítima y ejecutarla. Esto sucede porque el modelo de lenguaje detrás del agente no siempre logra distinguir entre lo que es una instrucción del usuario y lo que es contenido externo potencialmente malicioso. La falla es estructural y afecta la forma en que el agente procesa cualquier tipo de entrada.
Esta variación se conoce técnicamente como indirect prompt injection (IDPI) o cross-domain prompt injection (XPIA). A diferencia del prompt injection directo, donde el atacante interactúa directamente con el modelo de lenguaje, en el IDPI los adversarios explotan funcionalidades legítimas y aparentemente inofensivas del agente — como la sumarización de páginas web o el análisis de contenido — para inyectar instrucciones manipuladas. El abanico de consecuencias es amplio: investigadores ya han documentado escenarios que van desde la evasión de sistemas de revisión de anuncios basados en IA y la manipulación de decisiones de reclutamiento automatizado, hasta envenenamiento de SEO y generación de respuestas sesgadas mediante la supresión de reseñas negativas.
La propia OpenAI reconoció la gravedad de este tipo de ataque en una publicación reciente en su blog. La empresa destacó que los ataques estilo prompt injection están evolucionando más allá de la simple inserción de instrucciones en contenido externo, incorporando ahora elementos de ingeniería social. En palabras de la compañía, los agentes de IA están cada vez más capacitados para navegar por la web, recuperar información y ejecutar acciones en nombre del usuario — capacidades que son útiles, pero que también crean nuevas vías para que los atacantes intenten manipular el sistema.
El informe del CNCERT detalla que variaciones más sofisticadas de este ataque logran encadenar múltiples comandos, creando lo que los investigadores llaman cadena de explotación. Funciona así: la primera instrucción inyectada hace que OpenClaw desactive algún mecanismo de verificación interna, la segunda solicita acceso a un directorio específico del sistema y la tercera envía los datos recopilados a un servidor externo. Todo esto puede ocurrir en cuestión de segundos, sin que el usuario perciba ningún comportamiento anormal en la interfaz. Es un escenario que preocupa especialmente a empresas que adoptaron OpenClaw para la automatización de tareas internas, ya que documentos compartidos entre equipos pueden convertirse en vectores de ataque involuntarios.
Reciba el mejor contenido sobre innovación en su correo electrónico.
Todas las noticias, consejos, tendencias y recursos que buscas, directamente en tu bandeja de entrada.
Al suscribirte al boletín informativo, aceptas recibir comunicaciones de Método Viral. Nos comprometemos a proteger y respetar siempre tu privacidad.
Además, investigadores independientes ya demostraron que el prompt injection en OpenClaw puede utilizarse para modificar el comportamiento del agente de forma persistente durante toda una sesión de uso. Esto significa que, tras procesar un único archivo comprometido, el agente pasa a seguir las instrucciones del atacante en todas las interacciones posteriores, incluso cuando el usuario proporciona comandos completamente diferentes. Esta persistencia hace la detección mucho más difícil, porque las respuestas del agente siguen pareciendo normales para quien lo está usando, mientras que entre bastidores está ejecutando acciones no autorizadas. La seguridad del entorno completo queda comprometida a partir de un único punto de entrada.
Exfiltración de datos sin clic del usuario
Quizás el aspecto más alarmante del informe sea la descripción detallada de cómo la exfiltración de datos puede ocurrir sin ninguna acción por parte del usuario. Investigadores de PromptArmor descubrieron el mes pasado que la función de previsualización de enlaces en aplicaciones de mensajería como Telegram y Discord puede transformarse en un canal de exfiltración de datos cuando el usuario se comunica con OpenClaw mediante prompt injection indirecto.
La mecánica del ataque es ingeniosa. El agente de IA es manipulado para generar una URL controlada por el atacante. Esa URL contiene parámetros de consulta generados dinámicamente que llevan datos sensibles que el modelo conoce sobre el usuario. Cuando esa URL se renderiza en la aplicación de mensajería como una previsualización de enlace, el propio mecanismo de preview realiza la solicitud automáticamente, transmitiendo la información confidencial al dominio del atacante — todo esto sin que el usuario necesite hacer clic en nada. PromptArmor explicó que, en sistemas agénticos con previsualización de enlaces, la exfiltración de datos puede ocurrir inmediatamente cuando el agente de IA responde al usuario.
OpenClaw, por diseño, tiene la capacidad de acceder al sistema de archivos local, ejecutar scripts y realizar solicitudes de red para completar las tareas solicitadas. El problema es que esas mismas capacidades pueden ser secuestradas mediante las vulnerabilidades identificadas. Un atacante que logre inyectar comandos en el agente puede instruirlo para localizar archivos con extensiones específicas — como hojas de cálculo, documentos de texto y bases de datos — comprimirlos silenciosamente y enviarlos a un endpoint remoto. Como el tráfico de red generado por OpenClaw durante su funcionamiento normal ya incluye solicitudes externas a APIs y servicios variados, esta transmisión maliciosa se camufla en el flujo legítimo de datos.
El CNCERT clasificó este vector de ataque como particularmente peligroso para sectores que manejan propiedad intelectual, datos financieros e información personal sensible. La entidad china fue enfática al afirmar que, para sectores críticos como finanzas y energía, estas violaciones pueden llevar a la filtración de datos empresariales esenciales, secretos comerciales y repositorios de código, o incluso resultar en la parálisis completa de sistemas de negocio enteros, causando pérdidas incalculables. Despachos de abogados, empresas de tecnología, instituciones financieras y organizaciones de salud están entre los más expuestos, justamente porque tienden a almacenar grandes volúmenes de datos confidenciales en máquinas locales donde OpenClaw puede estar ejecutándose. La exfiltración de datos en este contexto no es solo una molestia técnica — es un riesgo regulatorio significativo, especialmente para organizaciones que necesitan cumplir con legislaciones como la LGPD en Brasil o el GDPR en Europa. 😬
Otras amenazas identificadas por el CNCERT
Además de los riesgos de prompt injection y exfiltración, el CNCERT destacó otros tres vectores de ataque preocupantes relacionados con OpenClaw:
- Eliminación accidental e irreversible de datos críticos: el agente puede interpretar incorrectamente instrucciones del usuario y terminar borrando información esencial de forma permanente. Como OpenClaw opera con permisos elevados en el sistema, una simple mala interpretación de un comando puede tener consecuencias devastadoras.
- Skills maliciosas en repositorios como ClawHub: actores malintencionados pueden subir habilidades (skills) comprometidas a marketplaces y repositorios públicos. Cuando son instaladas por usuarios desprevenidos, estas skills ejecutan comandos arbitrarios o implantan malware directamente en el sistema.
- Explotación de vulnerabilidades de seguridad recién divulgadas: fallas en el código de OpenClaw que fueron hechas públicas recientemente pueden ser explotadas por atacantes para comprometer sistemas y robar información sensible antes de que se apliquen los parches.
Cada uno de estos vectores, por sí solo, ya sería motivo de preocupación. Combinados, forman un ecosistema de riesgos que exige atención inmediata tanto de los desarrolladores como de los usuarios finales.
China restringe el uso de OpenClaw en organismos gubernamentales
La gravedad de la situación llevó a las autoridades chinas a tomar medidas concretas. Según un reportaje de Bloomberg, el gobierno de China comenzó a restringir el uso de OpenClaw en empresas estatales y agencias gubernamentales, prohibiendo la ejecución de aplicaciones basadas en el agente en computadoras de trabajo. La medida busca contener los riesgos de seguridad identificados por el CNCERT y por otros organismos de fiscalización. La prohibición, incluso, se extiende a los familiares de militares, lo que da una idea del nivel de preocupación de las autoridades.
Esta decisión refleja una tendencia más amplia de gobiernos alrededor del mundo reevaluando la adopción de herramientas de IA autónomas en entornos sensibles. La popularidad viral de OpenClaw trajo ganancias de productividad innegables, pero también expuso a organizaciones a riesgos que muchos gestores de TI simplemente no previeron. El equilibrio entre innovación y seguridad nunca fue tan delicado.
Campañas de malware aprovechan la popularidad de OpenClaw
Como si las vulnerabilidades técnicas no fueran suficientes, la fama de OpenClaw también atrajo a criminales que no tienen nada que ver con las fallas del software en sí. Según Huntress, actores malintencionados crearon repositorios maliciosos en GitHub que se hacen pasar por instaladores legítimos de OpenClaw para distribuir malwares como Atomic Stealer, Vidar Stealer y un malware de proxy basado en Golang llamado GhostSocks. Las instrucciones de instalación utilizan técnicas estilo ClickFix para convencer a los usuarios de ejecutar comandos que descargan e instalan el software malicioso.
La campaña no apuntó a un sector específico, sino que afectó ampliamente a usuarios que intentaban instalar OpenClaw. Los repositorios maliciosos contenían instrucciones de descarga tanto para entornos Windows como para macOS. Lo que hizo esta campaña particularmente eficaz fue el hecho de que el malware estaba alojado en GitHub — una plataforma generalmente considerada confiable — y de que el repositorio malicioso se convirtió en la principal sugerencia en los resultados de búsqueda por IA de Bing para la instalación de OpenClaw en Windows. Este detalle muestra cómo la convergencia entre buscadores alimentados por IA e ingeniería social puede crear trampas sofisticadas que engañan incluso a usuarios más experimentados.
Herramientas que usamos a diario
Qué se puede hacer ahora para reducir los riesgos
La buena noticia es que existen medidas prácticas y accesibles para minimizar la exposición a estas amenazas cibernéticas mientras el equipo de desarrollo de OpenClaw trabaja en correcciones más robustas. El propio CNCERT listó recomendaciones claras que vale la pena seguir:
- Reforzar los controles de red: impedir que el puerto de gestión por defecto de OpenClaw quede expuesto a internet es el primer paso para evitar accesos no autorizados.
- Aislar el servicio en un contenedor: ejecutar OpenClaw dentro de un entorno aislado — como un contenedor Docker o una máquina virtual — impide que, incluso en caso de compromiso vía prompt injection, el atacante logre acceder a datos sensibles del sistema principal.
- No almacenar credenciales en texto plano: claves de API, contraseñas y tokens de acceso nunca deben guardarse en archivos de texto simple accesibles por el agente.
- Descargar skills solo de fuentes confiables: evitar repositorios desconocidos y verificar la procedencia de cada extensión antes de la instalación reduce significativamente el riesgo de compromiso vía ClawHub.
- Desactivar las actualizaciones automáticas de skills: esto garantiza que ninguna alteración maliciosa sea aplicada sin revisión manual previa.
- Mantener el agente siempre actualizado: la comunidad open-source ha respondido rápidamente a las vulnerabilidades con parches y correcciones.
También vale la pena revisar cuidadosamente qué extensiones, plugins e integraciones están habilitadas en tu entorno de OpenClaw. Cada integración adicional representa una superficie de ataque extra, y muchas de ellas pueden no haber pasado por el mismo nivel de auditoría de seguridad que el núcleo de la herramienta. Desactivar todo lo que no sea esencial para tu flujo de trabajo es una forma directa de reducir riesgos. Para equipos y empresas, implementar un proceso de revisión de contenido antes de alimentar al agente con documentos externos es igualmente importante, ya que esto ayuda a identificar posibles intentos de prompt injection antes de que lleguen al modelo.
Configurar reglas de firewall que limiten las conexiones de salida de OpenClaw únicamente a los dominios y endpoints estrictamente necesarios también es una capa de protección relevante, bloqueando cualquier intento de envío de datos a servidores desconocidos. Herramientas de análisis de texto que detectan patrones sospechosos en documentos ya existen y pueden integrarse al pipeline de trabajo sin gran esfuerzo.
La realidad es que los agentes autónomos de IA llegaron para quedarse y ofrecen ganancias de productividad reales, pero la adopción necesita venir acompañada de una postura consciente respecto a la seguridad. Seguir los canales oficiales del proyecto y los informes publicados por entidades como el CNCERT garantiza que estés al tanto de nuevos descubrimientos y puedas actuar rápidamente. Las amenazas cibernéticas evolucionan a la misma velocidad que la tecnología, y estar preparado es la mejor defensa que cualquier persona u organización puede tener en este momento. 🔒
