ESET analiza un chatbot que automatiza acciones en la computadora del usuario. Esta combinación de innovación y autonomía explica su popularidad, pero también introduce riesgos de seguridad que no pueden ignorarse.
OpenClaw es un agente de inteligencia artificial personal de código abierto que se volvió muy popular en los últimos días. De hecho, cambió de nombre dos veces en pleno auge —comenzó como Clawdbot y pasó por Moltbot—, lo que incluso le dio mayor visibilidad. A diferencia de los chatbots tradicionales que esperan instrucciones puntuales, este se ejecuta de forma local en la máquina del usuario, lo que le permite gestionar correos electrónicos, enviar mensajes a través de aplicaciones como WhatsApp, automatizar tareas del sistema y controlar archivos locales.
Pero, como suele ocurrir con las herramientas que crecen de manera acelerada, también puede acarrear consecuencias no deseadas, muchas de ellas vinculadas a la seguridad. A continuación, ESET, compañía líder en detección proactiva de amenazas, presenta los principales riesgos asociados al uso de OpenClaw y de qué manera puede utilizarse de forma responsable y segura.
OpenClaw es un agente de IA diseñado para ejecutar acciones de forma autónoma en el entorno del usuario, por lo que puede integrarse con aplicaciones, servicios y el sistema operativo. Fue creado por Peter Steinberger y cuenta con una página oficial activa. Su principal diferencia respecto de los chatbots actuales es que no solo responde consultas, sino que también puede realizar diversas tareas e incluso tomar decisiones encadenadas, sin necesidad de que el usuario intervenga de manera constante.
Al ejecutarse localmente, puede interactuar —por ejemplo— con correos electrónicos, navegadores, archivos del sistema, aplicaciones de mensajería y calendarios. Un dato clave a tener en cuenta es que utiliza los permisos del sistema para operar.
Su funcionamiento se estructura de la siguiente manera:
El usuario define objetivos o tareas.
OpenClaw interpreta la intención.
Organiza la tarea en pasos.
Ejecuta las acciones con las herramientas disponibles.
Ajusta su comportamiento según los resultados obtenidos.
“Este chatbot funciona como una torre de control que se apoya en modelos de terceros. La ‘inteligencia’ proviene de esos modelos; la capacidad de acción, de OpenClaw. Para ello necesita diversos accesos, como cuentas de correo y mensajería, historiales, archivos locales, tokens, claves y sesiones activas. Todo esto deja en evidencia la cantidad y calidad de información que entra en juego al usarlo”, explica Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
El tipo de información a la que este chatbot puede acceder incluye datos que el usuario entrega de forma explícita —por ejemplo, cuando le pide que responda un correo—, así como información necesaria para actuar, como acceso a cuentas de correo electrónico, servicios de mensajería, contactos, calendarios, navegadores, archivos locales y sesiones activas. También involucra datos de autenticación y sesión, como tokens de acceso, cookies, claves API y credenciales, que le permiten actuar como si fuera el propio usuario.
A esto se suma el historial y contexto acumulado, ya que OpenClaw trabaja continuamente con conversaciones previas, acciones realizadas y hábitos del usuario, además de metadatos como horarios de actividad, frecuencia de uso y relaciones entre contactos. Incluso puede acceder a información de terceros que no utilizan este agente de IA, como mensajes recibidos o documentos compartidos.
Desde ESET advierten que permitir el acceso a este volumen de información puede exponer a los usuarios a diversos riesgos de seguridad. El principal problema no reside en una falla puntual, sino en el nivel de permisos necesarios para que la herramienta cumpla su función. Entre los riesgos identificados se destacan la centralización de múltiples accesos en un único punto, la dependencia directa de la seguridad del dispositivo donde se ejecuta, la posible manipulación a través de contenido externo y el acceso persistente y silencioso mediante tokens activos.
También preocupa la exposición de historiales completos, rutinas y hábitos, así como la dependencia de las configuraciones que realice el propio usuario. Un error en la gestión de claves API, permisos o integraciones puede derivar en una exposición involuntaria de datos.
Como suele suceder con herramientas novedosas que ganan popularidad en Internet, los cibercriminales no tardaron en aprovechar el contexto. ESET identificó desde sitios que suplantan la identidad del proyecto hasta extensiones falsas, distribución de malware y ataques de ingeniería social. Entre los ejemplos detectados figuran dominios no oficiales que se presentan como descargas legítimas, así como “extras” y supuestas mejoras que en realidad pueden ocultar software malicioso.
“El atractivo de OpenClaw para el engaño radica en que el usuario confía en que actúe por él, le entrega permisos y centraliza información sensible. Para un ciberdelincuente, es un objetivo tentador, porque resulta más rentable que atacar una sola cuenta”, agrega Micucci.
Desde el equipo de investigación de ESET aclaran que OpenClaw no es peligroso en sí mismo. El riesgo aparece cuando se utiliza sin los recaudos necesarios o sin contemplar criterios básicos de seguridad. Entre las recomendaciones figuran descargar la herramienta solo desde fuentes oficiales, otorgar los permisos mínimos indispensables, no compartir información sensible innecesaria, proteger el dispositivo donde se ejecuta el agente, cuidar especialmente las claves API, desconfiar de plugins o scripts de origen dudoso y monitorear de manera periódica las acciones que realiza el asistente.
