POR MARIO MICUCCI, INVESTIGADOR ESET LATINOAMÉRICA
OpenClaw es un agente de IA personal de código abierto que se volvió muy popular en los últimos días, de hecho cambió de nombre dos veces en pleno auge (comenzó como Clawdbot y pasó por Moltbot) lo que hasta le dio más visibilidad. A diferencia de los chatbots tradicionales que esperan instrucciones, este se ejecuta localmente en la máquina del usuario y así puede gestionar correos electrónicos, enviar mensajes a través de aplicaciones como WhatsApp, automatizar tareas del sistema y controlar archivos locales. Pero, como todo lo que se vuelve popular de manera acelerada, puede acarrear consecuencias no tan deseadas, muchas de ellas vinculadas a la seguridad.
OpenClaw es un agente de IA diseñado para ejecutar acciones de forma autónoma en el entorno del usuario, y por eso puede integrarse con apps, servicios y el sistema operativo. Se ejecuta localmente en la máquina del usuario, y puede (por ejemplo), interactuar con los correos electrónicos, navegadores, archivos del sistema, apps de mensajería, calendarios, etc. Un dato para tener en cuenta: utiliza los permisos del sistema para operar.
Este chat bot funciona como una torre de control que se apoya en modelos de terceros. La "inteligencia" viene de terceros; la capacidad de acción, de OpenClaw. Para eso, necesita diversos accesos, como cuentas (correo, mensajería), Historiales, Archivos locales, Tokens, claves y sesiones activas. Todo lo mencionado anteriormente deja en evidencia la cantidad y calidad de información que entra en juego al usarlo.
El tipo de información a la que a este chatbot se le da acceso es información que el usuario entrega de forma explícita, por ejemplo, si un usuario le pide a OpenClaw que responda un correo, es información que se le está dando voluntariamente y puede involucrar también mensajes, archivos, notas y cualquier otro tipo de información. Información a la que accede para poder actuar. Se le da el acceso a la cuenta de correo electrónico, a los servicios de mensajería (chats, historial), contactos, calendarios, navegadores, archivos locales y hasta sesiones activas. Datos de autenticación y sesión, incluye tokens de acceso, cookies de sesión, claves API y credenciales, son elementos que le permiten actuar como si fuera el usuario. Historial y contexto acumulado: Para funcionar, trabaja continuamente con el historial de acciones, conversaciones previas, decisiones tomadas anteriormente, y también con el contexto sobre hábitos y rutinas.
Para que OpenClaw tenga acceso a toda esta información puede exponer a los usuarios a diversos riesgos de seguridad. Desde Eset destacamos que el principal problema no está en una falla puntual, sino en el nivel de acceso que necesita para cumplir su función.
Los riesgos de seguridad vinculados a OpenClaw, son muchos accesos en un único punto. OpenClaw actúa como un nodo central, en el que confluyen correo, mensajería, archivos, calendarios, sesiones activas, claves API. El problema es que si se ve comprometido, el impacto es transversal y no se limita solamente a una cuenta.
Como se ejecuta localmente, la seguridad de OpenClaw depende directamente de la seguridad del equipo. Así, malware, troyanos o accesos remotos pueden heredar los mismos permisos, y no existe un "aislamiento" como en algunos servicios cloud. Dicho de otra manera, un atacante no necesita vulnerar OpenClaw, le alcanza con acceder al dispositivo.
Manipulación a través de contenido externo. Se documentaron casos en los que un correo electrónico fue suficiente para inducir a OpenClaw a filtrar información privada, ya que interpretó el contenido del mensaje como una instrucción legítima. Cuando el bot tiene acceso a leer y enviar correos, un texto malicioso incrustado en mensajes externos puede disparar acciones no deseadas, como resumir información sensible o reenviarla, sin que el usuario lo autorice explícitamente.
OpenClaw se vale de tokens y sesiones que permanecen activos. Muchas acciones no requieren confirmación humana, por lo que un uso indebido puede pasar desapercibido, lo que puede favorecer a un abuso prolongado sin que el usuario lo note.
Exposición de información. La criticidad de este punto se basa en que OpenClaw tiene acceso a historiales completos, conversaciones previas, rutinas y hábitos. Ese contexto acumulado es el que potencia el valor de la información para un ciberatacante.
Como suele suceder cuando es muy novedoso en Internet, tal como está pasando con OpenClaw, los cibercriminales no dejan pasar la oportunidad. Se han identificado desde sitios que suplantan la identidad, a extensiones falsas para distribuir malware y ataques de ingeniería social.
Sitios y descargas falsas: Ya existe páginas que buscan suplantar a la original, enlaces patrocinados engañosos o descargas que prometen ser la versión correcta. Por si fuera poco, el cambio de nombre de Clawdbot a Moltbot y luego a OpenClaw generó dudas que también fueron aprovechadas por los cibercriminales. Estos ejemplos actuales ilustran este punto: molt-bot.io; molt-bot.net; moltbotai.cloud; clawdbotai.app; clawdbot.online; clawdbot.win. Si bien el usuario cree que está bajando OpenClaw, en realidad se trata de sitios no oficiales y potencialmente maliciosos para atraer personas.
El interés y curiosidad que despierta OpenClaw también puede derivar en la búsqueda de atajos o mejoras para sus funcionalidades, como plugins, scripts y configuraciones especiales. Pero desde Eset aconsejan avanzar con cuidado ya que muchos de estos agregados pueden no provenir del proyecto oficial, sino tratarse de herramientas desarrolladas por el cibercrimen para infectar a los usuarios con malware.
Mensajes que juegan con la urgencia: Este creciente interés puede dar lugar a correos y mensajes que jueguen con la urgencia e intriga de los usuarios. Los señuelos pueden ser varios: desde "Actualiza OpenClaw ahora" hasta "Configuración recomendada para nuevos usuarios". En caso de caer en el engaño, el ciberatacante podría acceder a información sensible como correo, sesiones abiertas, credenciales e historiales completos.
El cibercrimen también puede aprovechar la lógica de funcionamiento de OpenClaw, y enviar contenido diseñado (como un correo) para que el bot lo interprete como una orden válida. De esta forma, sin explotar vulnerabilidades técnicas ni instalar malware, un actor malicioso puede lograr que el asistente lea información privada y la envíe a terceros, aprovechando los permisos que el propio usuario le otorgó.
OpenClaw es especialmente atractivo para engañar, porque quien lo usa confía en que actúe por él, entrega permisos, y centraliza información sensible. Para el ciberdelincuente es tentador vulnerarlo porque es mucho más rentable que atacar a una sola cuenta.
OpenClaw no es peligroso en sí, el riesgo aparece cuando se usa sin los recaudos necesarios o no se contemplan ciertos criterios básicos de seguridad como descargar solo desde fuentes oficiales; no compartir información sensible innecesaria; proteger el dispositivo donde corre OpenClaw; cuidar especialmente las claves API. Un recordatorio fundamental para tener presente es que una clave filtrada abre más de una puerta. Desconfiar de plugins, scripts y "mejoras milagro". Si promete demasiado, probablemente no sea legítimo.
