135.000 agentes autónomos expuestos y nadie en la sala de crisis
A finales de enero de 2026, un investigador de seguridad rastreó internet con Shodan, una herramienta estándar de reconocimiento, y encontró casi 1.000 instalaciones de OpenClaw abiertas al público, sin contraseña, sin autenticación, sin ningún mecanismo de contención. No hacía falta explotar una vulnerabilidad sofisticada: bastaba con saber dónde buscar. Desde esas puertas abiertas, otro investigador accedió a claves de API de Anthropic, tokens de bots de Telegram, cuentas de Slack, historiales de conversación y ejecutó comandos con privilegios de administrador. Semanas después, SecurityScorecard publicó la dimensión completa del desastre: más de 135.000 instancias de OpenClaw expuestas en 82 países, de las cuales más de 50.000 eran vulnerables a ejecución remota de código y más de 53.000 estaban vinculadas a brechas previas.
Esto no es una historia sobre un fallo de software. Es la radiografía de un modelo de negocio que estructuró su crecimiento sobre una premisa peligrosa: que la adopción masiva y la seguridad podían ser problemas secuenciales. Primero crecer, después proteger. El mercado demostró, con una precisión implacable, que esa secuencia tiene un costo que no paga el desarrollador.
Cuando el producto estrella es la llave de tu casa
OpenClaw, rebautizado desde Clawdbot en los meses previos, sedujo al mercado con una propuesta concreta: un agente autónomo capaz de ejecutar comandos en el sistema operativo, gestionar archivos, conectarse a aplicaciones de mensajería y operar mediante un mercado abierto de habilidades llamado ClawHub. Su diferencial no era la interfaz ni el modelo de lenguaje subyacente, sino el nivel de privilegios que obtenía sobre el sistema del usuario. Acceso nativo al shell. Integración directa con credenciales almacenadas. Conectividad sin fricción con servicios externos.
Esa arquitectura de privilegios máximos, combinada con configuraciones predeterminadas que confiaban ciegamente en conexiones desde localhost sin autenticación, creó una superficie de ataque sin precedentes. Cuando esas instalaciones quedaban detrás de proxies inversos mal configurados, la interfaz de administración quedaba expuesta a cualquier conexión externa. No era un error de usuario: era el comportamiento esperado del sistema por defecto.
Una auditoría realizada a finales de enero de 2026, cuando la plataforma aún operaba como Clawdbot, identificó 512 vulnerabilidades, ocho de ellas críticas. Entre los vectores documentados: inyección de prompts a través de vistas previas de enlaces en mensajes, que permitían exfiltrar datos hacia dominios controlados por atacantes sin que el usuario hiciera clic en nada; cadenas de vulnerabilidades que permitían la toma completa del agente desde una página web, sin necesidad de instalar ningún complemento; y ausencia de límites en los intentos de autenticación, que facilitaba el acceso por fuerza bruta.
Entre el 27 de enero y el 1 de febrero de 2026, un período que los investigadores llamaron internamente "ClawHavoc", se publicaron más de 230 extensiones maliciosas en ClawHub y GitHub, descargadas miles de veces. Reco.ai confirmó que 341 de 2.857 habilidades registradas en el repositorio eran maliciosas, un 12% del catálogo total, diseñadas para imitar herramientas de trading y finanzas mientras instalaban en segundo plano programas para robar credenciales, frases semilla de billeteras cripto y datos de sesión del navegador.
El mercado abierto como vector de riesgo sistémico
ClawHub era, sobre el papel, la ventaja competitiva de OpenClaw. Un repositorio abierto donde cualquier desarrollador podía publicar habilidades que otros usuarios instalarían con un clic. El modelo replica la lógica de los marketplaces de aplicaciones móviles, con una diferencia estructural que lo hace incomparable en términos de riesgo: las habilidades de OpenClaw no operan en un entorno aislado. Ejecutan comandos directamente en el sistema operativo del usuario.
Cuando Cisco aplicó su herramienta de análisis a varias de estas habilidades, encontró dos de criticidad máxima y cinco de severidad alta. Algunas ejecutaban comandos `curl` para exfiltrar datos hacia servidores externos durante operaciones aparentemente rutinarias. Otras empleaban inyección de prompts para eludir los mecanismos de seguridad internos del agente. Kaspersky fue directo en su evaluación: OpenClaw era, en ese estado, inseguro para cualquier uso.
La analogía más cercana no es la de un navegador con extensiones maliciosas. Es la de un empleado con acceso total a todos los sistemas de una empresa, al que cualquier persona de la calle puede dar instrucciones por escrito, y que seguirá esas instrucciones porque sus reglas internas no distinguen órdenes legítimas de órdenes manipuladas. La inyección de prompts convierte el lenguaje natural, la interfaz de OpenClaw, en un vector de ataque. Y un mercado sin moderación efectiva convierte ese vector en infraestructura criminal lista para escalar.
El CEO de Archestra.AI demostró en condiciones controladas cómo un correo electrónico podía provocar que el agente extrajera claves privadas. Un usuario de Reddit replicó el resultado sin necesidad de ningún prompt específico. Oasis Security documentó una cadena completa de vulnerabilidades que permitía la toma silenciosa del agente desde cualquier sitio web, clasificada como de alta severidad, que fue parcheada en 24 horas tras su divulgación en la versión 2026.2.25. CNCERT, el organismo de respuesta a emergencias cibernéticas de China, emitió alertas formales. Las autoridades chinas prohibieron OpenClaw en computadoras gubernamentales, empresas estatales y dispositivos de familias militares.
La economía del riesgo externalizado
Aquí es donde el análisis de modelo de negocio se vuelve incómodo. OpenClaw no diseñó sus configuraciones predeterminadas inseguras por negligencia estética. Las diseñó para minimizar la fricción de instalación y maximizar la velocidad de adopción. Cada paso de configuración adicional en el proceso de onboarding reduce la tasa de conversión. Cada decisión que el usuario debe tomar antes de empezar a usar el producto es una oportunidad para que abandone. Esa lógica, perfectamente racional desde la perspectiva del crecimiento de usuarios, transfiere el costo del riesgo hacia quien menos capacidad tiene de gestionarlo: el usuario final.
Las más de 50.000 instancias vulnerables a ejecución remota de código no representan un fallo de los usuarios. Representan el resultado predecible de un modelo que optimizó una sola variable, la adopción, y dejó todas las demás como problemas del ecosistema. Las empresas del sector financiero y energético que CNCERT señaló como especialmente expuestas no eligieron conscientemente aceptar ese riesgo. Lo heredaron de una arquitectura que nunca les preguntó si querían asumirlo.
El costo real de ese riesgo externalizado no aparece en el balance de OpenClaw. Aparece en los equipos de seguridad de las empresas que desplegaron el agente, en los presupuestos de respuesta a incidentes, en los datos de clientes comprometidos, en las claves de API revocadas y regeneradas, en las horas de auditoría forense. La velocidad de adopción de OpenClaw fue, en parte, financiada involuntariamente por sus propios usuarios.
Esto no es exclusivo de OpenClaw. Es el patrón estructural de cualquier plataforma que monetiza la distribución sin internalizar el costo de la confiabilidad. Los mercados de repositorios abiertos, desde extensiones de navegador hasta paquetes de código, han demostrado repetidamente que la moderación no escala de forma gratuita. El 12% de habilidades maliciosas en ClawHub no es una anomalía estadística; es el resultado esperado de un sistema sin incentivos económicos alineados para detectarlas y retirarlas antes de que acumulen miles de descargas.
Privilegios máximos, responsabilidad mínima
Los agentes autónomos de IA representan un salto cualitativo respecto a los modelos de lenguaje conversacionales. Un chatbot que responde mal genera una respuesta incorrecta. Un agente autónomo con acceso al sistema operativo que opera bajo instrucciones manipuladas puede exfiltrar archivos, ejecutar código arbitrario, destruir datos de forma irreversible o comprometer todas las credenciales almacenadas en el dispositivo. La superficie de daño no es proporcional a la del software convencional.
Esa asimetría entre capacidad y responsabilidad es la brecha estratégica que ningún parche de software resuelve por sí solo. OpenClaw emitió el CVE-2026-25253 el 29 de enero, lo parcheó el 30 en la versión 2026.1.29, y cerró la cadena de Oasis en la 2026.2.25 en menos de 24 horas. La velocidad de respuesta técnica fue notable. Pero los 135.000 nodos expuestos no se actualizan solos, y las 341 habilidades maliciosas ya descargadas no se desinstalan con un boletín de seguridad.
Las empresas que están evaluando desplegar agentes autónomos en sus operaciones enfrentan una decisión de arquitectura, no de tecnología. Otorgar a un sistema autónomo privilegios de nivel administrador sobre infraestructura crítica, sin aislar esas capacidades en entornos contenidos, sin auditar cada habilidad instalada y sin monitoreo continuo de comportamiento anómalo, es transferir el control operativo a un sistema cuya superficie de manipulación es el lenguaje natural. Y el lenguaje natural no tiene firewall.
El mandato para cualquier C-Level evaluando esta categoría de herramientas es claro: el modelo de negocio de un proveedor de agentes autónomos debe revelar explícitamente cómo internaliza el costo de la seguridad, quién paga la moderación del marketplace, qué mecanismos de aislamiento están activos por defecto y qué ocurre cuando un agente opera bajo instrucciones manipuladas. Si esas respuestas no están en el contrato, están en el presupuesto de respuesta a incidentes del cliente. Los líderes que desplieguen estas herramientas como si fueran software de productividad convencional descubrirán que el precio real de la autonomía lo fija el atacante, no el proveedor.
