Por si alguien estuvo desconectado del mundo virtual durante estos días y no sabe de qué se trata OpenClaw, va un pequeño resumen: es un agente de IA personal de código abierto cuyas aptitudes van más allá de responder preguntas.

A diferencia de los chatbots tradicionales que esperan instrucciones, OpenClaw se ejecuta localmente en la máquina del usuario y así puede gestionar correos electrónicos, enviar mensajes a través de aplicaciones como WhatsApp, automatizar tareas del sistema y controlar archivos locales. Sí actúa de manera autónoma en tu máquina.

Si bien cambió de nombre dos veces en pleno auge (comenzó como Clawdbot y pasó por Moltbot), su popularidad no se detuvo, sino que hasta le dio más visibilidad.

Pero cuidado: como todo lo que se vuelve popular de manera acelerada, puede acarrear consecuencias no tan deseadas, muchas de ellas vinculadas a la seguridad. A continuación, presentaremos los principales riesgos asociados al uso de OpenClaw, y de qué manera se lo puede utilizar de una manera responsable y segura.

¿Qué es OpenClaw y cómo funciona?

OpenClaw es un agente de IA diseñado para ejecutar acciones de forma autónoma en el entorno del usuario, y por eso puede integrarse con apps, servicios y el sistema operativo. Creado por Peter Steinberger, la herramienta cuenta con una página oficial activa.

openclaw-moltbot-clawbot-ai-agents-risk-1
Imagen 1. Sitio oficial de OpenClaw.

Algo que llamó la atención es que cambió su nombre dos veces en pleno auge. Primero pasó de Clawdbot a Moltbot, por posibles conflictos de marca registrada, simplemente. Y el 30 de enero volvieron a transformarlo en OpenClaw.

¿Qué lo diferencia de los chatbots actuales? Que no solo se limita a responder consultas, sino que puede realizar diversas tareas y hasta puede tomar decisiones encadenadas. Todo esto, sin la necesidad de que el usuario intervenga constantemente.

Se ejecuta localmente en la máquina del usuario, y puede (por ejemplo), interactuar con los correos electrónicos, navegadores, archivos del sistema, apps de mensajería, calendarios, etc. Un dato a tener en cuenta: utiliza los permisos del sistema para operar.

En concreto, funciona así:

1 - El usuario define objetivos o tareas.
2 - OpenClaw interpreta la intención.
3 - Organiza la tarea en pasos.
4 - Ejecuta esas acciones con las herramientas disponibles.
5 - Ajusta el comportamiento según los resultados obtenidos.

Aquí un punto importante para entender qué es OpenClaw: funciona como una torre de control que se apoya en modelos de terceros. La “inteligencia” viene de terceros; la capacidad de acción, de OpenClaw. Para eso, necesita diversos accesos, como:

-Cuentas (correo, mensajería).
-Historiales.
-Archivos locales.
-Tokens, claves y sesiones activas.

Qué tipo de información entra en juego al usar OpenClaw

Todo lo mencionado anteriormente deja en evidencia la cantidad y calidad de información que entra en juego al usarlo.

  • Información que el usuario entrega de forma explícita: Este punto es el más obvio: por ejemplo, si un usuario le pide a OpenClaw que responda cierto correo, ya hay información que ya le está dando voluntariamente. Esto puede involucrar también mensajes, archivos, notas y cualquier otro tipo de información.
  • Información a la que accede para poder actuar: Esta información puede no ser tan visible, pero aquí se le está dando el acceso a la cuenta de correo electrónico, a los servicios de mensajería (chats, historial), contactos, calendarios, navegadores, archivos locales y hasta sesiones activas.
  • Datos de autenticación y sesión: Este apartado incluye tokens de acceso, cookies de sesión, claves API y credenciales. En concreto, son elementos que le permiten a OpenClaw actuar como si fuera el usuario.
  • Historial y contexto acumulado: Para funcionar de la manera que lo hace, trabaja continuamente con el historial de acciones, conversaciones previas, las decisiones tomadas anteriormente, y también con el contexto sobre hábitos y rutinas.
  • Metadatos y hábitos: Si bien pueden no ser percibidos como datos per se, OpenClaw también utiliza horarios de actividad, frecuencia de uso, prioridades implícitas y relaciones entre contactos. Toda esta información combinada puede ser muy reveladora.
  • Información de terceros: Un punto clave que puede pasar desapercibido: OpenClaw puede acceder a datos de contactos que no usan este agente de IA, mensajes recibidos de otras personas, y hasta documentos compartidos por terceros.

Riesgos de seguridad vinculados a OpenClaw

Ahora bien, que OpenClaw tenga acceso a toda esta información puede exponer a los usuarios a diversos riesgos de seguridad. Y aquí un punto importante: el principal problema no está en una falla puntual, sino en el nivel de acceso que necesita para cumplir su función.

Muchos accesos en un único punto

Podemos decir que OpenClaw actúa como un nodo central, en el que confluyen correo, mensajería, archivos, calendarios, sesiones activas, claves API. ¿El problema? Si se ve comprometido, el impacto es transversal y no se limita solamente a una cuenta. De hecho, una investigación de seguridad detectó paneles de administración de OpenClaw que quedaron accesibles públicamente, debido a configuraciones incorrectas.

Eslabón crítico

Como se ejecuta localmente, la seguridad de OpenClaw depende directamente de la seguridad del equipo. Así, malware, troyanos o accesos remotos pueden heredar los mismos permisos, y aquí no existe un “aislamiento” como en algunos servicios cloud. Dicho de otra manera, un atacante no necesita vulnerar OpenClaw, le alcanza con acceder al dispositivo.

Manipulación a través de contenido externo

Se documentaron casos en los que un correo electrónico fue suficiente para inducir a OpenClaw a filtrar información privada, ya que interpretó el contenido del mensaje como una instrucción legítima. Cuando el bot tiene acceso a leer y enviar correos, un texto malicioso incrustado en mensajes externos puede disparar acciones no deseadas, como resumir información sensible o reenviarla, sin que el usuario lo autorice explícitamente.

Acceso persistente y silencioso

OpenClaw se vale de tokens y sesiones que permanecen activos. Y no solo eso, muchas acciones no requieren confirmación humana, por lo que un uso indebido puede pasar desapercibido, lo que puede favorecer a un abuso prolongado sin que el usuario lo note.

Exposición de información

La criticidad de este punto se basa en que OpenClaw tiene acceso a historiales completos, conversaciones previas, rutinas y hábitos… Y justamente es ese contexto acumulado el que potencia el valor de la información para un ciberatacante.

Dependencia de configuraciones del usuario

Como también sucede con otras herramientas digitales, la seguridad real de OpenClaw depende de cómo se gestionan las claves API, en qué lugar se almacenan los tokens, qué permisos se conceden y qué servicios se integran. Un error de configuración puede generar una exposición de datos involuntaria.

Los problemas del hype: sitios falsos, malware y robo de datos

No es novedad: cuando un tema rompe Internet, tal como está pasando con OpenClaw, los cibercriminales no dejan pasar la oportunidad: desde sitios que suplantan la identidad, a extensiones falsas para distribuir malware y ataques de ingeniería social, entre otras amenazas.

Sitios y descargas falsas

Tal es interés en OpenClaw, que ya existe páginas que buscan suplantar a la original, enlaces patrocinados engañosos o descargas que prometen ser la versión correcta. Por si fuera poco, el cambio de nombre de Clawdbot a Moltbot y luego a OpenClaw generó dudas que también fueron aprovechadas por los cibercriminales.

Estos ejemplos actuales ilustran este punto:

-molt-bot.io
-molt-bot.net
-moltbotai.cloud
-clawdbotai.app
-clawdbot.online
-clawdbot.win

Si bien el usuario cree que está bajando OpenClaw, en realidad se trata de sitios no oficiales y potencialmente maliciosos para atraer personas.

openclaw-moltbot-clawbot-ai-agents-risk-2
Imagen 2. Ya existen sitios potencialmente maliciosos que buscan suplantar la identidad del agente anteriormente llamado Moltbot.

“Extras” que prometen mejorar OpenClaw

El interés y curiosidad que despierta OpenClaw también puede derivar en la búsqueda de atajos o mejoras para sus funcionalidades, como plugins, scripts y configuraciones especiales.

Pero cuidado: muchos de estos agregados pueden no provenir del proyecto oficial, sino tratarse de herramientas desarrolladas por el cibercrimen para infectar a los usuarios con malware.

Mensajes que juegan con la urgencia

Este creciente interés puede dar lugar a correos y mensajes que jueguen con la urgencia e intriga de los usuarios. Los señuelos pueden ser varios: desde “Actualiza OpenClaw ahora” hasta “Configuración recomendada para nuevos usuarios”.

En caso de caer en el engaño, el ciberatacante podría acceder a información sensible como correo, sesiones abiertas, credenciales e historiales completos.

Contenido manipulado para inducir acciones no autorizadas

El cibercrimen también puede aprovechar la lógica de funcionamiento de OpenClaw, y enviar contenido diseñado (como un correo) para que el bot lo interprete como una orden válida.

De esta forma, sin explotar vulnerabilidades técnicas ni instalar malware, un actor malicioso puede lograr que el asistente lea información privada y la envíe a terceros, aprovechando los permisos que el propio usuario le otorgó.

OpenClaw es especialmente atractivo para engañar, porque quien lo usa confía en que actúe por él, entrega permisos, y centraliza información sensible. Para el ciberdelincuente es tentador vulnerarlo porque es mucho más rentable que atacar a una sola cuenta.

Buenas prácticas a la hora de usar OpenClaw

Como sucede con cualquier tipo de tecnología o herramienta, OpenClaw no es peligroso en sí: el riesgo aparece cuando se usa sin los recaudos necesarios o no se contemplan ciertos criterios básicos de seguridad.

  • Descargar solo desde fuentes oficiales: Si bien parece una obviedad, este suele ser el error más común de los usuarios, más con herramientas que ganan popularidad de manera exponencial. Lo ideal es verificar el sitio oficial, revisar que el repositorio sea el correcto, y desconfiar de cualquier enlace alternativo o patrocinado. Ante la duda, mejor no descargar nada.
  • Entregar los permisos mínimos necesarios: No todo tiene que estar conectado desde el primer día. Lo recomendable es integrar un servicio a la vez, evitando los accesos innecesarios y revisando qué puede hacer realmente el bot.
  • No compartir información sensible innecesaria: Esto aplica en realidad a cualquier tipo de IA: no subir contraseñas y/o datos financieros, ni usarlo para manejar información crítica sin comprender los riesgos a los que pueden estar expuestos. El hecho de querer automatizar ciertas cosas no debe ser sinónimo de delegar todo.
  • Proteger el dispositivo donde corre OpenClaw: Dado que el bot hereda la seguridad del equipo, es necesario que el sistema operativo esté actualizado, que cuente con una solución de seguridad, que se implementen contraseñas fuertes y bloqueo automático, y evitar usarlo en equipos compartidos.
  • Cuidar especialmente las claves API: Hay que tratarlas como lo que son: llaves maestras. Por eso es ideal no guardarlas en texto plano, cambiarlas periódicamente y limitar su alcance cuando sea posible. Un recordatorio fundamental: una clave filtrada puede abrir más de una puerta.
  • Desconfiar de plugins, scripts y “mejoras milagro”: Si promete demasiado, probablemente no sea legítimo. Por eso, se debe revisar quién lo creó, leer los comentarios y experiencias de otros usuarios, y evitar integraciones de origen dudoso.
  • Revisar qué hace OpenClaw: Aunque automatice diversas tareas, es aconsejable monitorear sus acciones, revisar historiales y detectar comportamientos extraños. Este punto es crítico si se tiene en cuenta la experiencia compartida en Medium, la cual demostró cómo es posible engañar a OpenClaw con un correo electrónico especialmente redactado para que el asistente IA filtrara información privada.