OpenClaw, el agente de IA que automatiza acciones y amplía riesgos de seguridad

OpenClaw es un agente de IA personal de código abierto que, en los últimos días, ganó popularidad y cambió de nombre dos veces durante ese proceso: comenzó como Clawdbot y pasó por Moltbot antes de adoptar su denominación actual. A diferencia de los chatbots tradicionales que esperan instrucciones, se ejecuta localmente en la máquina del usuario y puede gestionar correos electrónicos, enviar mensajes a través de aplicaciones como WhatsApp, automatizar tareas del sistema y controlar archivos locales.

Creado por Peter Steinberger, el asistente está diseñado para ejecutar acciones de forma autónoma en el entorno del usuario, por lo que puede integrarse con aplicaciones, servicios y el sistema operativo. Su funcionamiento se apoya en una secuencia de cinco pasos: el usuario define objetivos o tareas, OpenClaw interpreta la intención, organiza la tarea en pasos, ejecuta acciones con las herramientas disponibles y ajusta el comportamiento según los resultados obtenidos.

En esa lógica, el acceso a información y credenciales se vuelve un componente central. “Este chat bot funciona como una torre de control que se apoya en modelos de terceros. La “inteligencia” viene de terceros; la capacidad de acción, de OpenClaw.”, dijo Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.

La herramienta puede operar con información que el usuario entrega de forma explícita —por ejemplo, al pedirle que responda un correo— y con datos a los que accede para actuar: cuenta de correo electrónico, servicios de mensajería (chats e historial), contactos, calendarios, navegadores, archivos locales y hasta sesiones activas. También utiliza datos de autenticación y sesión, como tokens de acceso, cookies de sesión, claves API y credenciales; además de historial y contexto acumulado, metadatos y hábitos (horarios de actividad, frecuencia de uso, prioridades implícitas y relaciones entre contactos) e información de terceros, como mensajes o documentos compartidos.

Los riesgos asociados se concentran en el nivel de acceso requerido. OpenClaw funciona como un nodo central donde confluyen correo, mensajería, archivos, calendarios, sesiones activas y claves API, lo que amplifica el impacto si el entorno se ve comprometido. Una investigación de seguridad detectó paneles de administración de OpenClaw accesibles públicamente por configuraciones incorrectas. Al ejecutarse localmente, su seguridad depende de la del equipo: malware, troyanos o accesos remotos pueden heredar permisos sin un aislamiento equivalente al de algunos servicios en la nube.

También se documentaron casos en los que un correo electrónico indujo al asistente a filtrar información privada al interpretar el contenido como una instrucción legítima. “OpenClaw es especialmente atractivo para engañar, porque quien lo usa confía en que actúe por él, entrega permisos, y centraliza información sensible.”, dijo Micucci, investigador de Seguridad Informática de ESET Latinoamérica.

En paralelo, la popularidad acelerada habilitó intentos de suplantación, extensiones falsas para distribuir malware y ataques de ingeniería social. Entre las prácticas recomendadas figuran descargar solo desde fuentes oficiales, otorgar permisos mínimos, no compartir información sensible, proteger el dispositivo donde corre, cuidar especialmente las claves API, desconfiar de plugins, scripts y “mejoras milagro”, y revisar qué acciones ejecuta el agente.