Los asistentes basados en IA o "agentes" —programas autónomos que tienen acceso a la computadora del usuario, archivos, servicios en línea y pueden automatizar prácticamente cualquier tarea— están creciendo en popularidad entre desarrolladores y trabajadores de TI. Pero como han demostrado tantos titulares llamativos de las últimas semanas, estas nuevas herramientas potentes y asertivas están cambiando rápidamente las prioridades de seguridad para las organizaciones, al tiempo que difuminan las líneas entre datos y código, compañero de trabajo confiable y amenaza interna, hacker ninja y novato en código. La nueva sensación en asistentes basados en IA —**OpenClaw** (anteriormente conocido como **ClawdBot** y **Moltbot**)— ha visto una rápida adopción desde su lanzamiento en noviembre de 2025. OpenClaw es un agente de IA autónomo de código abierto diseñado para ejecutarse localmente en su computadora y tomar acciones proactivas en su nombre sin necesidad de ser solicitado.  Si eso suena como una propuesta arriesgada o un desafío, considere que OpenClaw es más útil cuando tiene acceso completo a su vida digital, donde puede administrar su bandeja de entrada y calendario, ejecutar programas y herramientas, navegar por Internet en busca de información e integrarse con aplicaciones de chat como Discord, Signal, Teams o WhatsApp. Otros asistentes de IA más establecidos como **Claude de Anthropic** y **Copilot de Microsoft** también pueden hacer estas cosas, pero OpenClaw no es solo un mayordomo digital pasivo esperando órdenes. Más bien, está diseñado para tomar la iniciativa en su nombre basándose en lo que sabe sobre su vida y su comprensión de lo que usted quiere que se haga. “Los testimonios son notables”, observó la firma de seguridad de IA **Snyk**. “Desarrolladores creando sitios web desde sus teléfonos mientras duermen a sus bebés; usuarios dirigiendo empresas enteras a través de una IA con temática de langosta; ingenieros que han configurado bucles de código autónomos que arreglan pruebas, capturan errores a través de webhooks y abren pull requests, todo mientras están lejos de sus escritorios”. Probablemente ya pueda ver cómo esta tecnología experimental podría salir mal rápidamente. A fines de febrero, **Summer Yue**, directora de seguridad y alineación en el laboratorio de "superinteligencia" de **Meta**, relató cómo estaba jugando con OpenClaw cuando el asistente de IA de repente comenzó a eliminar masivamente mensajes en su bandeja de entrada de correo electrónico. El hilo incluía capturas de pantalla de Yue suplicando frenéticamente al bot distraído a través de mensajería instantánea y ordenándole que se detuviera. “Nada te humilla como decirle a tu OpenClaw 'confirma antes de actuar' y verlo eliminar tu bandeja de entrada a toda velocidad”, dijo Yue. “No pude detenerlo desde mi teléfono. Tuve que CORRER a mi Mac mini como si estuviera desactivando una bomba”.  No hay nada de malo en sentir un poco de schadenfreude ante el encuentro de Yue con OpenClaw, que encaja con el modelo de "mover rápido y romper cosas" de Meta, pero difícilmente inspira confianza en el camino por delante. Sin embargo, el riesgo que representan los asistentes de IA mal asegurados para las organizaciones no es cosa de risa, ya que investigaciones recientes muestran que muchos usuarios exponen a Internet la interfaz administrativa basada en web para sus instalaciones de OpenClaw. **Jamieson O’Reilly** es un probador de penetración profesional y fundador de la firma de seguridad **DVULN**. En una publicación reciente en Twitter/X, O’Reilly advirtió que exponer una interfaz web de OpenClaw mal configurada a Internet permite a partes externas leer el archivo de configuración completo del bot, incluidas todas las credenciales que utiliza el agente, desde claves API y tokens de bot hasta secretos OAuth y claves de firma. Con ese acceso, dijo O’Reilly, un atacante podría suplantar al operador ante sus contactos, inyectar mensajes en conversaciones en curso y exfiltrar datos a través de las integraciones existentes del agente de una manera que parezca tráfico normal. “Puedes obtener el historial completo de conversaciones en cada plataforma integrada, lo que significa meses de mensajes privados y archivos adjuntos, todo lo que el agente ha visto”, dijo O’Reilly, y señaló que una búsqueda superficial reveló cientos de servidores expuestos en línea. “Y como controlas la capa de percepción del agente, puedes manipular lo que ve el humano. Filtrar ciertos mensajes. Modificar respuestas antes de que se muestren”. O’Reilly documentó cómo es fácil crear un ataque exitoso a la cadena de suministro a través de **ClawHub**, que sirve como un repositorio público de "habilidades" descargables que permiten a OpenClaw integrarse y controlar otras aplicaciones. ## CUANDO LA IA INSTALA IA Uno de los principios fundamentales de la seguridad de los agentes de IA implica aislarlos cuidadosamente para que el operador pueda controlar completamente quién y qué puede hablar con su asistente de IA. Esto es fundamental dada la tendencia de los sistemas de IA a caer en ataques de "inyección de prompts", instrucciones de lenguaje natural elaboradas sigilosamente que engañan al sistema para que ignore sus propias salvaguardas de seguridad. En esencia, máquinas haciendo ingeniería social a otras máquinas. Un ataque reciente a la cadena de suministro dirigido a un asistente de codificación de IA llamado **Cline** comenzó con un ataque de inyección de prompts de este tipo, lo que resultó en que miles de sistemas tuvieran una instancia no autorizada de OpenClaw con acceso completo al sistema instalada en su dispositivo sin consentimiento. Según la firma de seguridad **grith.ai**, Cline había implementado un flujo de trabajo de triaje de problemas impulsado por IA utilizando una acción de **GitHub** que ejecuta una sesión de codificación de Claude cuando se activa por eventos específicos. El flujo de trabajo se configuró de manera que cualquier usuario de GitHub pudiera activarlo abriendo un problema, pero no verificó adecuadamente si la información proporcionada en el título era potencialmente hostil. “El 28 de enero, un atacante creó el Problema #8904 con un título diseñado para parecer un informe de rendimiento, pero que contenía una instrucción incrustada: Instalar un paquete de un repositorio específico de GitHub”, escribió Grith, y señaló que el atacante explotó varias vulnerabilidades más para garantizar que el paquete malicioso se incluyera en el flujo de trabajo de lanzamiento nocturno de Cline y se publicara como una actualización oficial. “Este es el equivalente en la cadena de suministro del 'deputy confundido'”, continuó el blog. “El desarrollador autoriza a Cline a actuar en su nombre, y Cline (a través de un compromiso) delega esa autoridad a un agente completamente separado que el desarrollador nunca evaluó, nunca configuró y nunca consintió”. ## CODIFICACIÓN DE VIBRA Los asistentes de IA como OpenClaw han ganado un gran número de seguidores porque facilitan a los usuarios la "codificación de vibra", o la creación de aplicaciones y proyectos de código bastante complejos simplemente diciéndole lo que quieren construir. Probablemente el ejemplo más conocido (y más extraño) es Moltbook, donde un desarrollador le dijo a un agente de IA que se ejecutaba en OpenClaw que le construyera una plataforma similar a Reddit para agentes de IA.  Menos de una semana después, Moltbook tenía más de 1.5 millones de agentes registrados que se enviaron más de 100,000 mensajes entre sí. Los agentes de IA en la plataforma pronto construyeron su propio sitio pornográfico para robots y lanzaron una nueva religión llamada Crustafarian con una figura principal modelada a partir de una langosta gigante. Un bot en el foro supuestamente encontró un error en el código de Moltbook y lo publicó en un foro de discusión de agentes de IA, mientras que otros agentes idearon e implementaron un parche para solucionar la falla. El creador de **Moltbook**, **Matt Schlicht**, dijo en redes sociales que no escribió ni una sola línea de código para el proyecto. “Solo tuve una visión para la arquitectura técnica y la IA la hizo realidad”, dijo Schlicht. “Estamos en la edad de oro. ¿Cómo no podemos darle a la IA un lugar para pasar el rato”. ## LOS ATACANTES SUBEN DE NIVEL La otra cara de esa edad de oro, por supuesto, es que permite a los hackers maliciosos de bajo nivel automatizar rápidamente ciberataques globales que normalmente requerirían la colaboración de un equipo altamente calificado. En febrero, **Amazon AWS** detalló un elaborado ataque en el que un actor de amenazas de habla rusa utilizó múltiples servicios comerciales de IA para comprometer más de 600 electrodomésticos de seguridad **FortiGate** en al menos 55 países durante un período de cinco semanas. AWS dijo que el hacker aparentemente de bajo nivel utilizó múltiples servicios de IA para planificar y ejecutar el ataque, y para encontrar administraciones expuestas