OpenClaw es un agente de IA personal de código abierto que se volvió muy popular en los últimos días, de hecho cambió de nombre dos veces en pleno auge (comenzó como Clawdbot y pasó por Moltbot) lo que hasta le dio más visibilidad. A diferencia de los chatbots tradicionales que esperan instrucciones, este se ejecuta localmente en la máquina del usuario y así puede gestionar correos electrónicos, enviar mensajes a través de aplicaciones como WhatsApp, automatizar tareas del sistema y controlar archivos locales. Pero, como todo lo que se vuelve popular de manera acelerada, puede acarrear consecuencias no tan deseadas, muchas de ellas vinculadas a la seguridad. A continuación, ESET, compañía líder en detección proactiva de amenazas, presenta los principales riesgos asociados al uso de OpenClaw, y de qué manera se lo puede utilizar de una manera responsable y segura.
OpenClaw es un agente de IA diseñado para ejecutar acciones de forma autónoma en el entorno del usuario, y por eso puede integrarse con apps, servicios y el sistema operativo. Creado por Peter Steinberger, la herramienta cuenta con una página oficial activa. Su diferencia de los chatbots actuales es que no solo se limita a responder consultas, sino que puede realizar diversas tareas y hasta puede tomar decisiones encadenadas, sin la necesidad de que el usuario intervenga constantemente.
Se ejecuta localmente en la máquina del usuario, y puede (por ejemplo), interactuar con los correos electrónicos, navegadores, archivos del sistema, apps de mensajería, calendarios, etc. Un dato para tener en cuenta: utiliza los permisos del sistema para operar.
Su funcionamiento es el siguiente:
1 - El usuario define objetivos o tareas.
2 - OpenClaw interpreta la intención.
3 - Organiza la tarea en pasos.
4 - Ejecuta esas acciones con las herramientas disponibles.
5 - Ajusta el comportamiento según los resultados obtenidos.
“Este chat bot funciona como una torre de control que se apoya en modelos de terceros. La “inteligencia” viene de terceros; la capacidad de acción, de OpenClaw. Para eso, necesita diversos accesos, como: Cuentas (correo, mensajería), Historiales, Archivos locales, Tokens, claves y sesiones activas. Todo lo mencionado anteriormente deja en evidencia la cantidad y calidad de información que entra en juego al usarlo”, comenta Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
El tipo de información a la que a este chatbot se le da acceso, es: Información que el usuario entrega de forma explícita: Por ejemplo, si un usuario le pide a OpenClaw que responda un correo, es información que se le está dando voluntariamente y puede involucrar también mensajes, archivos, notas y cualquier otro tipo de información. Información a la que accede para poder actuar: se le da el acceso a la cuenta de correo electrónico, a los servicios de mensajería (chats, historial), contactos, calendarios, navegadores, archivos locales y hasta sesiones activas. Datos de autenticación y sesión: incluye tokens de acceso, cookies de sesión, claves API y credenciales, son elementos que le permiten actuar como si fuera el usuario. Historial y contexto acumulado: Para funcionar, trabaja continuamente con el historial de acciones, conversaciones previas, decisiones tomadas anteriormente, y también con el contexto sobre hábitos y rutinas. Metadatos y hábitos: utiliza horarios de actividad, frecuencia de uso, prioridades implícitas y relaciones entre contactos. Información de terceros: puede acceder a datos de contactos que no usan este agente de IA, mensajes recibidos de otras personas, y hasta documentos compartidos por terceros.
Para que OpenClaw tenga acceso a toda esta información puede exponer a los usuarios a diversos riesgos de seguridad. Desde ESET destacan que el principal problema no está en una falla puntual, sino en el nivel de acceso que necesita para cumplir su función. Los riesgos de seguridad vinculados a OpenClaw, según ESET, son:
• Muchos accesos en un único punto: OpenClaw actúa como un nodo central, en el que confluyen correo, mensajería, archivos, calendarios, sesiones activas, claves API. El problema es que si se ve comprometido, el impacto es transversal y no se limita solamente a una cuenta. De hecho, una investigación de seguridad detectó paneles de administración de OpenClaw que quedaron accesibles públicamente, debido a configuraciones incorrectas.
• Eslabón crítico: Como se ejecuta localmente, la seguridad de OpenClaw depende directamente de la seguridad del equipo. Así, malware, troyanos o accesos remotos pueden heredar los mismos permisos, y no existe un “aislamiento” como en algunos servicios cloud. Dicho de otra manera, un atacante no necesita vulnerar OpenClaw, le alcanza con acceder al dispositivo.
• Manipulación a través de contenido externo: Se documentaron casos en los que un correo electrónico fue suficiente para inducir a OpenClaw a filtrar información privada, ya que interpretó el contenido del mensaje como una instrucción legítima. Cuando el bot tiene acceso a leer y enviar correos, un texto malicioso incrustado en mensajes externos puede disparar acciones no deseadas, como resumir información sensible o reenviarla, sin que el usuario lo autorice explícitamente.
• Acceso persistente y silencioso: OpenClaw se vale de tokens y sesiones que permanecen activos. Muchas acciones no requieren confirmación humana, por lo que un uso indebido puede pasar desapercibido, lo que puede favorecer a un abuso prolongado sin que el usuario lo note.
• Exposición de información: La criticidad de este punto se basa en que OpenClaw tiene acceso a historiales completos, conversaciones previas, rutinas y hábitos. Ese contexto acumulado es el que potencia el valor de la información para un ciberatacante.
• Dependencia de configuraciones del usuario: Como también sucede con otras herramientas digitales, la seguridad real de OpenClaw depende de cómo se gestionan las claves API, en qué lugar se almacenan los tokens, qué permisos se conceden y qué servicios se integran. Un error de configuración puede generar una exposición de datos involuntaria.
Desde ESET también advierten que como suele suceder cuando es muy novedoso en Internet, tal como está pasando con OpenClaw, los cibercriminales no dejan pasar la oportunidad. Se han identificado desde sitios que suplantan la identidad, a extensiones falsas para distribuir malware y ataques de ingeniería social, entre otras amenazas:
• Sitios y descargas falsas: Ya existe páginas que buscan suplantar a la original, enlaces patrocinados engañosos o descargas que prometen ser la versión correcta. Por si fuera poco, el cambio de nombre de Clawdbot a Moltbot y luego a OpenClaw generó dudas que también fueron aprovechadas por los cibercriminales. Estos ejemplos actuales ilustran este punto: molt-bot.io; molt-bot.net; moltbotai.cloud; clawdbotai.app; clawdbot.online; clawdbot.win. Si bien el usuario cree que está bajando OpenClaw, en realidad se trata de sitios no oficiales y potencialmente maliciosos para atraer personas.
• “Extras” que prometen mejorar OpenClaw: El interés y curiosidad que despierta OpenClaw también puede derivar en la búsqueda de atajos o mejoras para sus funcionalidades, como plugins, scripts y configuraciones especiales. Pero desde ESET aconsejan avanzar con cuidado ya que muchos de estos agregados pueden no provenir del proyecto oficial, sino tratarse de herramientas desarrolladas por el cibercrimen para infectar a los usuarios con malware.
• Mensajes que juegan con la urgencia: Este creciente interés puede dar lugar a correos y mensajes que jueguen con la urgencia e intriga de los usuarios. Los señuelos pueden ser varios: desde “Actualiza OpenClaw ahora” hasta “Configuración recomendada para nuevos usuarios”. En caso de caer en el engaño, el ciberatacante podría acceder a información sensible como correo, sesiones abiertas, credenciales e historiales completos.
• Contenido manipulado para inducir acciones no autorizadas: El cibercrimen también puede aprovechar la lógica de funcionamiento de OpenClaw, y enviar contenido diseñado (como un correo) para que el bot lo interprete como una orden válida. De esta forma, sin explotar vulnerabilidades técnicas ni instalar malware, un actor malicioso puede lograr que el asistente lea información privada y la envíe a terceros, aprovechando los permisos que el propio usuario le otorgó.
“OpenClaw es especialmente atractivo para engañar, porque quien lo usa confía en que actúe por él, entrega permisos, y centraliza información sensible. Para el ciberdelincuente es tentador vulnerarlo porque es mucho más rentable que atacar a una sola cuenta”, agrega Micucci de ESET.
