Un asistente de IA que lee tus mensajes, almacena tus contraseñas, ejecuta comandos en tu sistema y mantiene memoria persistente. Ahora imagina que más de 42.000 instancias de ese asistente están expuestas a Internet sin autenticación. No es ciencia ficción. Es Clawdbot.
En apenas dos meses, este agente de IA pasó de proyecto open source prometedor a la mayor crisis de seguridad en agentes autónomos de 2026. Si estás pensando en instalarlo — o ya lo has hecho — necesitas leer esto antes de continuar.
Qué Es Clawdbot: El Agente IA Que Pide las Llaves de Tu Casa
Clawdbot nació en noviembre de 2025 como un asistente personal de IA de código abierto creado por el desarrollador austriaco Peter Steinberger. La idea era simple y atractiva: un “mayordomo virtual” que se instala localmente en tu dispositivo, se integra con tus plataformas de mensajería y automatiza tareas cotidianas.
El nombre hacía un guiño a “Claude” (el modelo de Anthropic), con una estética de crustáceo como logotipo. Eso fue, precisamente, lo que provocó el primer problema.
La cronología del caos
| Fecha | Evento |
|---|---|
| Nov 2025 | Lanzamiento de Clawdbot en GitHub |
| Ene 2026 (24-27) | Explosión viral: +100.000 estrellas en GitHub en 3 días |
| Ene 2026 | Anthropic envía cease-and-desist por similitud con “Claude” |
| Ene 2026 | Rebrand a Moltbot (referencia a la muda de crustáceos) |
| Ene 2026 | Criptoestafadores secuestran los handles abandonados |
| Ene-Feb 2026 | Investigadores revelan vulnerabilidades críticas masivas |
| Feb 2026 | Segundo rebrand a OpenClaw |
Los 5 Peligros Reales de Clawdbot/OpenClaw
1. Bypass de Autenticación: 42.000+ Instancias Expuestas
La vulnerabilidad más grave reside en la lógica de autenticación del gateway. El sistema aprueba automáticamente las conexiones localhost sin requerir credenciales. En teoría, esto tiene sentido: si estás en tu propia máquina, eres tú.
El problema aparece cuando el software corre detrás de un proxy inverso en el mismo servidor. Todas las conexiones externas se presentan como locales y el sistema las autoriza sin verificación.
Los números son alarmantes:
- 42.665 instancias expuestas públicamente en Internet (según escaneos Shodan)
- 5.194 instancias verificadas activamente como vulnerables
- 93,4% de las instancias verificadas presentan bypass de autenticación crítico
- Acceso completo a claves API, tokens de bot, secretos OAuth y claves de firma
De las instancias examinadas manualmente por investigadores, ocho estaban completamente abiertas, sin autenticación alguna, exponiendo historiales completos de conversaciones de todas las plataformas integradas.
2. Ataque de Supply Chain: Skills Envenenadas
ClawdHub es la biblioteca de “skills” (habilidades) del agente — plugins que extienden su funcionalidad. Un investigador de seguridad llamado O’Reilly demostró que el sistema carece de sandbox robusto, lo que permite ejecución remota de código (RCE) en la máquina host.
Su prueba de concepto fue directa:
- Subió una skill pública a ClawdHub
- Infló artificialmente el contador de descargas a más de 4.000
- Desarrolladores de 7 países descargaron el paquete envenenado
La skill era benigna — era una demostración. Pero podría haber ejecutado cualquier comando en cada instancia de Moltbot que la instaló. Se identificaron casos concretos de malware, como un plugin de “pronóstico del tiempo” que exfiltraba silenciosamente archivos de configuración privados.
3. Credenciales en Texto Plano
El software almacena credenciales de usuario en archivos de texto plano, sin cifrado en reposo. Esto significa que cualquier atacante que acceda al sistema de archivos — ya sea por la vulnerabilidad de autenticación, un skill malicioso, o cualquier otro vector — obtiene acceso inmediato a:
- Contraseñas almacenadas
- Claves API de servicios conectados
- Tokens de acceso OAuth
- Cookies de sesión del navegador
- Historial completo del navegador
4. Envenenamiento de Memoria e Inyección de Prompts
Clawdbot mantiene memoria persistente entre sesiones. Lo que podría ser una funcionalidad útil se convierte en un vector de ataque sofisticado:
Inyección de prompt retardada: Un atacante no necesita ejecutar su payload inmediatamente. Puede fragmentar instrucciones maliciosas en inputs aparentemente inocuos que se almacenan en la memoria a largo plazo del agente. Posteriormente, estos fragmentos se ensamblan en un conjunto ejecutable de instrucciones.
Esto habilita tres tipos de ataque:
- Inyección de prompt temporal: El payload se activa días después de ser inyectado
- Envenenamiento de memoria: Corrompe el contexto del agente de forma permanente
- Bombas lógicas: Activación condicional basada en eventos específicos
Los investigadores también documentaron intentos de ataques agente-a-agente: instancias de Moltbot realizando inyección de prompt contra otros agentes para robar claves API.
5. Estafa Cripto Aprovechando el Rebrand
Cuando Anthropic forzó el cambio de nombre de Clawdbot a Moltbot, los handles originales de GitHub y X (Twitter) quedaron disponibles durante aproximadamente 10 segundos. Criptoestafadores estaban esperando.
Secuestraron las cuentas abandonadas y lanzaron un token “Claude” en Solana, haciendo astroturfing en redes sociales para inflar su valor. Usuarios legítimos que creían seguir el proyecto oficial perdieron dinero comprando un token sin afiliación real.
Por Qué Este Problema Es Estructural, No Accidental
“Moltbot podría ser la señal de la próxima crisis de seguridad en IA.” — Palo Alto Networks
El problema de fondo es arquitectónico, no de implementación:
Para funcionar como está diseñado, el agente necesita acceso a:
- Archivos raíz del sistema
- Credenciales de autenticación (contraseñas y secretos API)
- Historial y cookies del navegador
- Todos los archivos y carpetas del sistema
Esta combinación — alto privilegio, adopción viral y confusión de identidad — convierte una herramienta de automatización en un objetivo de alto valor para atacantes.
La tensión es fundamental: para ser útil, un agente autónomo debe leer mensajes, almacenar credenciales, ejecutar comandos y mantener estados persistentes. Estos requisitos violan inherentemente los modelos de seguridad establecidos.
Cómo Protegerte Si Ya Usas OpenClaw
Si ya tienes una instancia corriendo, estas son las medidas mínimas de seguridad que deberías aplicar ahora mismo:
Medidas inmediatas
| Acción | Prioridad | Detalle |
|---|---|---|
| Cerrar puertos admin al exterior | Crítica | Firewall o VPN obligatorio |
| Habilitar autenticación fuerte | Crítica | No depender del bypass localhost |
| Cifrar secretos en reposo | Alta | Nunca almacenar credenciales en texto plano |
| Sandboxear el runtime | Alta | Contenedor Docker con permisos mínimos |
| Restringir acceso al filesystem | Alta | Solo directorios estrictamente necesarios |
| Auditar y fijar skills instaladas | Alta | Verificar, firmar y versionar cada plugin |
| Monitorizar tráfico de red | Media | Detectar exfiltración de datos |
Configuración de firewall básica
# Bloquear acceso externo al puerto admin de OpenClaw
sudo ufw deny from any to any port 3000
sudo ufw allow from 127.0.0.1 to any port 3000
# Si necesitas acceso remoto, usa VPN
# NUNCA expongas el puerto admin directamente a InternetVerificación de instancia expuesta
# Comprobar si tu instancia es accesible desde Internet
# Ejecutar desde una máquina externa
curl -s http://tu-servidor:3000/api/health
# Si responde sin pedir autenticación, estás expuestoLa Lección para el Ecosistema de Agentes IA
Clawdbot no es un caso aislado. Es el primer ejemplo masivo de lo que ocurre cuando la adopción supera a la seguridad en el ecosistema de agentes autónomos.
Los expertos en seguridad son claros: los agentes autónomos de IA deben tratarse como infraestructura privilegiada, no como herramientas de productividad. Si no puedes endurecerlo y monitorizarlo, no lo expongas.
Antes de instalar cualquier agente de IA con acceso a tu sistema, hazte estas preguntas:
- ¿Qué permisos necesita realmente? Si requiere acceso root, piénsalo dos veces
- ¿Dónde almacena las credenciales? Si es texto plano, descártalo
- ¿Tiene sandbox para plugins? Sin aislamiento, cada plugin es un vector de ataque
- ¿Quién audita el código? Popularidad en GitHub no equivale a seguridad
- ¿Puedo restringir su acceso a red? Un agente que necesita Internet sin restricciones es una bomba de relojería
Conclusión
Clawdbot demuestra que la velocidad de adopción de la IA está superando nuestra capacidad de asegurarla. Un proyecto con más de 100.000 estrellas en GitHub, cobertura en Wired, CNET y Axios, resultó tener vulnerabilidades que exponen credenciales, permiten ejecución remota de código y facilitan ataques de cadena de suministro.
La pregunta no es si deberías usar agentes de IA — el futuro va claramente en esa dirección. La pregunta es si estás preparado para tratarlos con el mismo rigor de seguridad que aplicas a cualquier otra pieza de infraestructura crítica.
Si la respuesta es no, Clawdbot acaba de darte 42.665 razones para empezar.
¿Quieres proteger tu infraestructura frente a las nuevas amenazas de los agentes IA? Contacta conmigo para una consultoría de seguridad personalizada.
Artículos relacionados
- Comercio Agéntico y AEO en 2026 — Cómo la IA agéntica está transformando el ecommerce (y por qué la seguridad importa)
- Tendencias Ecommerce 2026: IA y PrestaShop — El papel de la IA en el comercio electrónico actual
Fuentes y referencias
- Clawdbot becomes Moltbot, but can’t shed security concerns — The Register
- Clawdbot: Hyped AI agent risks leaking personal data — Trending Topics
- The Sovereign AI Security Crisis: 42,000+ Exposed OpenClaw Instances — Medium
- Why Moltbot May Signal the Next AI Security Crisis — Palo Alto Networks
- The Moltbot/Clawdbot Epidemic — SOC Prime
- When Automation Becomes a Digital Backdoor — Vectra AI