En resumen: OpenClaw (antes conocido como Clawdbot/Moltbot) es un marco de IA agentiva de código abierto con más de 247 000 estrellas en GitHub y fallos de seguridad documentados. La vulnerabilidad CVE-2026-25253 (CVSS 8,8) reveló una cadena de ejecución remota de código con un solo clic. Snyk descubrió que el 36 % de las habilidades de ClawHub contienen inyección de comandos. SecurityScorecard identificó más de 135 000 instancias expuestas a la red pública. Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos y Trend Micro han publicado avisos de seguridad. China lo ha prohibido en las agencias estatales. Si tu organización está evaluando la IA agentiva, primero debes comprender estos riesgos.
¿Qué es OpenClaw?
OpenClaw es un marco de trabajo gratuito y de código abierto para agentes de IA creado por el desarrollador austriaco Peter Steinberger. Se ejecuta localmente en el ordenador del usuario y se conecta a modelos de lenguaje grande (LLM) como Claude, GPT o DeepSeek a través de plataformas de mensajería: WhatsApp, Telegram, Slack, Discord y otras.
El atractivo es evidente. Le dices a OpenClaw que organice tu bandeja de entrada, reserve vuelos, gestione calendarios o ejecute comandos de terminal, y lo hace. Steinberger lo describe como una IA que «realmente hace cosas». El agente divide las tareas en pasos, elige las herramientas adecuadas y las ejecuta con una supervisión mínima.
Por eso también es peligroso en un contexto empresarial. OpenClaw almacena los datos de configuración y el historial de interacciones de forma local, mantiene la memoria persistente entre sesiones y puede acceder a cuentas de correo electrónico, calendarios, plataformas de mensajería y sistemas de archivos locales. Cuando está mal configurado (lo cual era la configuración predeterminada hasta enero de 2026), crea un entorno de ejecución con privilegios que los equipos de seguridad no pueden ver ni controlar.
Los problemas de seguridad: una cronología
Los problemas de seguridad de OpenClaw no son solo teoría. Casi todos los principales proveedores de ciberseguridad los han documentado en unas seis semanas.
CVE-2026-25253: Ejecución remota de código con un solo clic (CVSS 8,8)
Descubierta por el investigador Mav Levin y corregida el 30 de enero de 2026, esta vulnerabilidad aprovechaba un fallo de diseño en la forma en que la interfaz de usuario de Control gestionaba el gatewayUrl parámetro de consulta. Como Detalles del análisis de Kaspersky, la interfaz de usuario aceptó este parámetro sin validarlo e inició automáticamente una conexión WebSocket, transmitiendo el token de autenticación del usuario durante el protocolo de establecimiento de conexión.
La cadena de ataque se completó en milisegundos: primero se sustrajo el token y luego se comprometió por completo la puerta de enlace. Un atacante podía ejecutar comandos arbitrarios en el equipo de la víctima. Incluso las instancias limitadas a localhost eran vulnerables.
ClawHub: Contaminación de la cadena de suministro de habilidades
El análisis de seguridad de Conscia detectó 341 scripts maliciosos en ClawHub pocas semanas después del repunte viral de OpenClaw (el 12 % del registro en ese momento), que distribuían principalmente el malware Atomic macOS Stealer. Los análisis más recientes revelaron que el número había aumentado a más de 800 scripts maliciosos, lo que supone aproximadamente el 20 % de todas las publicaciones.
Las habilidades de OpenClaw no son scripts aislados. Son paquetes de código ejecutable que se ejecutan con los mismos privilegios que el propio agente. Una habilidad maliciosa llegó incluso a aparecer en la página principal de ClawHub antes de que la eliminaran.
Auditoría de Snyk ToxicSkills
La auditoría de Snyk sobre ClawHub reveló que el 36 % de todas las habilidades contienen inyección de comandos detectable. De las muestras maliciosas confirmadas, el 91 % combina la inyección de comandos con técnicas tradicionales de malware, eludiendo tanto los mecanismos de seguridad de la IA como la seguridad convencional de los puntos finales.
El 2,9 % de las habilidades recuperan y ejecutan contenido de forma dinámica desde puntos de acceso externos durante el tiempo de ejecución. La habilidad publicada parece inofensiva durante la revisión, pero los atacantes pueden modificar su comportamiento en cualquier momento actualizando el contenido alojado.
Más de 135 000 casos detectados
El equipo STRIKE de SecurityScorecard identificó más de 135 000 instancias de OpenClaw expuestas a la red pública en 82 países. Muchas funcionaban sin autenticación, que era la configuración predeterminada antes de la versión 2026.1.29.
Prohibición del Gobierno chino
En marzo de 2026, las autoridades chinas prohibieron a las empresas estatales y a los organismos gubernamentales utilizar OpenClaw en los ordenadores de la oficina. El CNCERT emitió una advertencia oficial sobre las deficientes configuraciones de seguridad predeterminadas de la plataforma y los riesgos de inyección de comandos.
La trifecta letal: por qué los agentes de IA son intrínsecamente peligrosos
El investigador en seguridad Simon Willison acuñó el término «trifecta letal» para describir la combinación que hace que la IA autónoma sea peligrosa. OpenClaw cumple los tres requisitos:
- Acceso a datos privados: OpenClaw lee archivos, correos electrónicos, calendarios y credenciales en el equipo local.
- Exposición a contenido no fiable: el agente recibe mensajes a través de aplicaciones de chat, navega por páginas web y procesa datos externos de forma autónoma.
- Permisos: OpenClaw puede enviar correos electrónicos, realizar API , ejecutar comandos de shell y modificar archivos.
El director de seguridad de la información de Sophos lo dejó claro: un ataque de inyección instantáneo podría ser tan sencillo como enviar un mensaje a una cuenta de correo controlada por un agente pidiéndole que responda con el contenido de tu gestor de contraseñas. Cualquiera que pueda enviar un mensaje al agente obtiene, en la práctica, los mismos permisos que tiene el agente.
blog de seguridad de Microsoft fue aún más directo: OpenClaw debe considerarse como «ejecución de código no fiable con credenciales persistentes».
El problema de la IA en la sombra
El verdadero riesgo para la empresa no es que alguien instale OpenClaw de forma oficial. Es que los empleados lo instalen en sus propios ordenadores sin que el departamento de TI lo sepa.
Los datos de telemetría de Bitdefender confirman que esto ya está ocurriendo: los empleados están instalando OpenClaw en los dispositivos de la empresa mediante comandos de instalación de una sola línea, sin revisión de seguridad y sin que el SOC tenga visibilidad. Trend Micro señala que muchas organizaciones tienen OpenClaw en funcionamiento sin la aprobación del departamento de TI, y el primer reto para los equipos de seguridad es, sencillamente, saber qué hay ahí.
CyberArk lo presenta como una nueva superficie de ataque para la seguridad de la identidad. Cuando un desarrollador accede a su entorno OpenClaw desde un equipo de la empresa, o lo implementa dentro de la red corporativa para integrarlo con Slack o Salesforce, crea una puerta de entrada por la que los agentes autónomos operan al margen de los controles tradicionales de gestión de identidades y accesos.
Kaspersky llegó incluso a calificar a OpenClaw como «la mayor amenaza interna de 2026».
¿Se puede reforzar OpenClaw para su uso en empresas?
OpenClaw ha lanzado importantes actualizaciones de seguridad desde que se dieron a conocer los primeros detalles. La versión 2026.2.12 corrigió más de 40 vulnerabilidades. La versión 2026.2.23 añadió encabezados de seguridad HTTP, reforzó la gestión de sesiones y cambió la política SSRF del navegador al modo «trusted-network» de forma predeterminada.
Pero el problema fundamental de arquitectura sigue ahí. OpenClaw está diseñado como una herramienta personal con un único límite de operador de confianza. Su propio desarrollador advirtió en Discord: «Si no sabes cómo usar la línea de comandos, este proyecto es demasiado peligroso como para que lo uses con seguridad».
El análisis de Sophos concluyó lo siguiente: OpenClaw debe considerarse un proyecto de investigación interesante que solo puede ejecutarse «de forma segura» en un entorno aislado desechable sin acceso a datos confidenciales. Incluso a las organizaciones con amplia experiencia en IA y seguridad les resultará complicado configurar OpenClaw de manera que se reduzca el riesgo de vulnerabilidades sin perder el valor en términos de productividad.
Lo que deberían hacer las empresas en su lugar
La demanda que hay detrás de OpenClaw es real. Las empresas quieren agentes de IA que ejecuten tareas, accedan a los datos de la empresa y funcionen en distintos canales de comunicación. El error es intentar obtener esas capacidades de una herramienta diseñada para desarrolladores individuales.
Las plataformas de IA con agentes de nivel empresarial resuelven el mismo problema incorporando medidas de seguridad desde el principio. Esto es lo que debes tener en cuenta:
- Gestión centralizada: controles de acceso basados en roles, registros de auditoría y paneles de control para administradores que permiten al equipo de TI ver exactamente lo que están haciendo los agentes.
- Aislamiento de datos: los datos de la empresa se almacenan en una infraestructura que controlas (a ser posible, en servidores alojados en la UE y que cumplan con el RGPD) y nunca se utilizan para entrenar modelos.
- Certificaciones de seguridad: SOC 2, ISO 27001 y cumplimiento de la Ley de IA de la UE como requisito mínimo.
- Acceso a múltiples modelos sin tener que gestionar API : Accede a GPT, Claude, Gemini y otros modelos a través de una pasarela gestionada, para que tu equipo nunca tenga que manejar API sin procesar.
- Creación de agentes sin código: los equipos sin conocimientos técnicos deberían poder crear e implementar agentes sin necesidad de acceder a la línea de comandos.
- Controles de conectores: permisos detallados sobre lo que los agentes pueden leer, escribir o actualizar en CRM, CMS, Slack, Teams y otros sistemas de terceros.
TextCortex: Infraestructura de IA empresarial segura
TextCortex se creó precisamente para este tipo de situaciones. Es una plataforma de infraestructura de IA empresarial con sede en la UE donde las organizaciones implementan y gestionan agentes de IA sobre sus propios datos corporativos. La plataforma se conecta a sistemas de terceros, como CRM y CMS, y se integra en aplicaciones de trabajo como Slack y Microsoft Teams. Los administradores controlan totalmente los permisos de cada agente: lo que puede acceder, escribir o actualizar está siempre en manos del usuario.
Certificaciones de seguridad: ISO 27001, SOC 2 Tipo II, conforme al RGPD y a la Ley de IA de la UE. Todos los datos se almacenan en una infraestructura alojada en la UE. Nunca se utilizan datos para el entrenamiento de modelos. Documentación completa sobre seguridad en trust.textcortex.com.


MAHLE (proveedor automovilístico del DAX 40) implementó TextCortex alcanzó una tasa de adopción del 65 % en menos de un mes, lo que supuso un ahorro de más de 5 horas a la semana por usuario, con agentes que funcionan con datos de SharePoint. b2venture (empresa de capital riesgo, con más de 800 millones de euros en activos bajo gestión) multiplicó por siete el uso de la IA en su equipo de inversiones, con más de 10 agentes especializados.
Preguntas frecuentes
¿Es OpenClaw seguro para uso empresarial?
Según las evaluaciones de seguridad de Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos y Trend Micro: no, no en su forma actual. OpenClaw está diseñado como una herramienta personal con un único límite de operador de confianza. Microsoft recomienda tratarlo como ejecución de código no confiable, y Sophos afirma que solo debería ejecutarse en entornos aislados desechables sin acceso a datos confidenciales.
¿Qué es CVE-2026-25253?
Una vulnerabilidad crítica (CVSS 8,8) en la interfaz de usuario de control de OpenClaw que permitía la ejecución remota de código con un solo clic. La falla permitía a los atacantes sustraer tokens de autenticación mediante la creación de una URL maliciosa y, a continuación, tomar el control total de la pasarela. Se corrigió en la versión 2026.1.29 el 30 de enero de 2026.
¿Qué es la «tríada letal» en la seguridad de los agentes de IA?
Es un término acuñado por el investigador en seguridad Simon Willison que describe las tres características que, al combinarse, hacen que los agentes de IA sean peligrosos: el acceso a datos privados, la exposición a contenido no fiable y la autoridad para actuar en nombre del usuario. OpenClaw reúne las tres.
¿Puedo reforzar la seguridad de OpenClaw para uso corporativo?
Puedes mejorar su nivel de seguridad activando la autenticación, restringiendo el alcance del sistema de archivos, desactivando los permisos generales de los terminales, ejecutándolo en máquinas virtuales aisladas y auditando todos los servicios conectados. Pero el problema fundamental (la inyección de comandos contra agentes que procesan contenido no fiable) no se puede solucionar con un simple parche. Requiere una gestión a nivel de plataforma.
¿Cuál es una alternativa más segura a OpenClaw para las empresas?
Plataformas de agentes de IA para empresas como TextCortex ofrecen las mismas capacidades de agente (ejecución de tareas, integración de bases de conocimiento, implementación multicanal) con una gestión centralizada, certificación SOC 2 e ISO 27001, alojamiento en la UE conforme al RGPD y controles de administración sobre los permisos de los agentes.
¿Por qué prohibió China OpenClaw?
En marzo de 2026, las autoridades chinas prohibieron a los organismos estatales y a las empresas estatales utilizar OpenClaw en los ordenadores de sus oficinas. El CNCERT señaló las deficientes configuraciones de seguridad predeterminadas de la plataforma y los riesgos de inyección de comandos que podrían dar lugar a la filtración de datos.
