En apenas unos días, OpenClaw se ha convertido en uno de esos nombres que circulan por chats de trabajo y grupos de tecnología con la misma velocidad con la que se comparte una nueva app “imprescindible”. Se presenta como un agente de IA que “hace cosas”, no solo responde preguntas: puede gestionar el calendario, hacer el check-in de un vuelo o limpiar la bandeja de entrada. Ese enfoque práctico, más cercano a un asistente que se arremanga que a un chatbot conversacional, explica parte de su tirón.
La otra parte es su promesa técnica: se ejecuta localmente en el dispositivo. Para muchas personas, “local” suena a control, privacidad y menos dependencia de la nube. Es como cocinar en casa frente a pedir comida: sabes (o crees saber) qué ingredientes entran en la receta. OpenClaw, que antes se conoció como Clawdbot y después como Moltbot, también facilita el acceso por apps de mensajería como WhatsApp, Telegram o iMessage, lo que baja aún más la fricción: hablar con tu asistente donde ya hablas con tu familia o tu equipo.
La potencia de lo local… y el precio de los permisos
El problema es que un agente que “hace cosas” necesita manos, y esas manos son permisos. En este tipo de herramientas, la diferencia entre un asistente útil y un riesgo serio suele estar en el nivel de acceso que se le concede. En el caso de OpenClaw, hay usuarios que le están dando capacidad para leer y escribir archivos, ejecutar scripts y lanzar comandos de shell. Traducido a la vida cotidiana: no le estás pidiendo a alguien que te recoja un paquete en portería, le estás entregando las llaves de casa, el mando del garaje y el PIN de la alarma.
Con ese alcance, incluso si el programa base fuese impecable, la superficie de ataque crece: cualquier fallo, cualquier configuración descuidada o cualquier extensión con malas intenciones puede convertirse en una vía de entrada. Y ahí es donde aparece el siguiente ingrediente: el ecosistema de skills.
El hub de skills como “tienda de accesorios” y como vector de ataque
Una plataforma de extensiones suele venderse como una ventaja: más funciones, más creatividad de la comunidad, más rapidez para cubrir necesidades específicas. En OpenClaw, ese papel lo cumple ClawHub, el mercado donde los usuarios publican “skills” para ampliar capacidades.
Según contó Emma Roth en The Verge, la popularidad repentina de OpenClaw viene acompañada de un aviso serio: investigadores de seguridad detectaron cientos de add-ons maliciosos camuflados como habilidades legítimas. El comentario más llamativo llegó desde 1Password: su vicepresidente de producto, Jason Meller, describió el hub de skills como una “attack surface”, y advirtió de que el complemento más descargado funcionaba como un vehículo de entrega de malware. Cuando la extensión más popular puede estar repartiendo veneno, el problema deja de ser anecdótico.
En estas “tiendas de accesorios”, el riesgo no es solo el bug técnico; también es el modelo mental del usuario. Mucha gente instala una skill con la misma ligereza con la que instala un tema de teclado o un paquete de iconos. Con un agente de IA que puede ejecutar comandos, esa ligereza es una invitación a problemas.
Lo que encontraron los investigadores: fechas, volumen y patrón
La plataforma OpenSourceMalware, dedicada a rastrear malware en el ecosistema open source, documentó un pico especialmente preocupante en ClawHub. Identificó 28 skills maliciosas publicadas entre el 27 y el 29 de enero de 2026, y luego detectó 386 add-ons maliciosos subidos entre el 31 de enero y el 2 de febrero de 2026. El patrón sugiere algo más que “un par de manzanas podridas”: cuando aparecen decenas y luego cientos en pocos días, normalmente hay intención, automatización y una apuesta clara por aprovechar el momento de crecimiento.
Este tipo de campañas se alimenta del entusiasmo. Cuando un producto explota en popularidad “la semana pasada”, como señalaba la pieza de The Verge, se crea una ventana perfecta: hay usuarios nuevos, todavía no conocen los riesgos, buscan atajos y descargan lo primero que promete resultados rápidos.
El cebo perfecto: criptomonedas y automatización
OpenSourceMalware indicó que muchas skills se hacían pasar por herramientas de automatización de trading de criptomonedas. Tiene lógica: si alguien instala un bot que “optimiza” operaciones, ya está predispuesto a concederle acceso a credenciales, a APIs y a información sensible. Es el equivalente digital de un supuesto asesor financiero que te pide “solo un momento” tu tarjeta y tu móvil “para configurarlo”.
Según el análisis citado, estas skills entregaban malware ladrón de información y empujaban a la víctima a ejecutar código malicioso. El bot, bajo apariencia de utilidad, buscaba piezas de gran valor: claves API de exchanges, claves privadas de wallets, credenciales SSH y contraseñas almacenadas en el navegador. Es un botín muy específico y muy rentable. No es “hacer travesuras” en el sistema; es ir directo a la caja fuerte.
Cuando hablamos de robo de claves privadas o API keys, conviene aterrizarlo: es como si alguien copiara tu firma, consiguiera acceso a tu banco y se llevara también la libreta donde guardas el número de la caja fuerte. No necesitas estar “metido en cripto” para entender el impacto; basta con pensar en cualquier cuenta con acceso privilegiado.
El detalle técnico que complica todo: skills en Markdown
Meller también señaló un aspecto especialmente inquietante: muchas skills se suben como archivos Markdown. A primera vista suena inocente, casi aburrido: texto con formato. El problema es lo que ese texto puede contener en un contexto de agente. Un Markdown puede incluir instrucciones pensadas para que el usuario copie y pegue comandos, o puede estar redactado de manera que el propio agente de IA lo interprete como pasos a ejecutar. Es el truco del “manual envenenado”: no necesitas colarte por una vulnerabilidad sofisticada si consigues que la víctima siga un tutorial falso.
Aquí el riesgo se vuelve híbrido: parte ingeniería social, parte automatización. Un humano lee “ejecuta esto para habilitar la función premium” y lo hace. Un agente con permisos amplios podría leer “para completar la tarea, ejecuta este script” y hacerlo con disciplina mecánica. Es como dejar una nota en la nevera que dice “si falta leche, abre la puerta a quien llame y pida entrar”; no falla la cerradura, falla la instrucción.
Qué cambia este caso para el futuro de los agentes de IA
Lo de OpenClaw no es solo una noticia puntual: es una señal de cómo cambian los riesgos cuando pasamos de “IA que conversa” a IA que actúa. Un chatbot típico puede equivocarse, inventar o confundir; un agente con acceso a archivos y terminal puede equivocarse y, al mismo tiempo, causar daño real. Por eso la discusión no debería quedarse en “había malware en una tienda”, sino en cómo se diseña la confianza.
Si un mercado de skills acepta contenido con fricción mínima, si el sistema no limita permisos por defecto y si los usuarios aprenden a “dar acceso total para que funcione”, el resultado es predecible. La seguridad deja de ser un cinturón y pasa a ser un airbag: solo lo notas cuando ya hubo golpe.
En este escenario, hay dos responsabilidades que deberían caminar juntas. La plataforma necesita controles más estrictos en publicación y distribución de skills, verificación de autores, análisis automático de comportamientos sospechosos y límites claros de permisos para que una habilidad no tenga, por defecto, acceso a todo el dispositivo. El usuario, por su parte, gana mucho si trata cada skill como trataría una app bancaria: con cautela, revisando qué pide, desconfiando de promesas rápidas y evitando ejecutar comandos que no entiende, especialmente si están orientados a criptomonedas o acceso remoto.
La popularidad de OpenClaw sugiere que los agentes locales han encontrado una fórmula atractiva. Este episodio recuerda que, cuando un asistente se vuelve útil de verdad, también se vuelve un objetivo de verdad.