En menos de una semana, investigadores detectaron que más de doscientas treinta extensiones maliciosas —conocidas en OpenClaw como “skills”— se publicaron tanto en el registro oficial del asistente como en repositorios públicos de GitHub. Estas piezas de software se presentaban como utilidades legítimas: bots para trading de criptomonedas, herramientas financieras, complementos para redes sociales o gestores de contenido, pero contenían instrucciones que conducían a la instalación de malware diseñado para robar datos sensibles.
OpenClaw, el asistente personal de código abierto que en las últimas semanas cambió de nombre varias veces (ClawdBot, Moltbot y ahora OpenClaw), está pensado para ejecutarse localmente y puede integrar chat, correo y el sistema de archivos del equipo con memoria persistente. Esa capacidad de acceso profundo es precisamente lo que convierte a las “skills” en un arma de doble filo: añadidas sin precaución, pueden convertirse en vectores directos hacia credenciales y llaves privadas. El proyecto está disponible en su repositorio oficial en GitHub, y la plataforma documenta cómo funcionan las extensiones en su guía de skills.
La campaña detectada entre el 27 de enero y el 1 de febrero consistió en dos oleadas que, en conjunto, sumaron más de 230 skills maliciosas publicadas en ClawHub (el registro del asistente) y en repositorios públicos. Analistas de la comunidad que rastrean malware de código abierto describen que muchos de estos paquetes son clones prácticamente idénticos con nombres aleatorios; no obstante, algunos llegaron a acumular cientos o miles de descargas antes de ser señalados. Un análisis público del fenómeno puede consultarse en el informe de OpenSourceMalware, que documenta cómo estas skills estaban orientadas a propagar robo de información entre usuarios de OpenClaw: OpenSourceMalware — Clawdbot skills.
El engaño se ejecuta con simplicidad social: cada skill incluía documentación extensa y convincente que instruía al usuario a instalar un componente nombrado como “AuthTool”, presentado como requisito crítico para que la skill funcionase correctamente. Sin embargo, esa dependencia no era más que la puerta de entrada para descargar un cargador malicioso. En macOS el mecanismo se disfrazaba como una línea de comandos codificada en base64 que descarga un payload desde una URL externa; en Windows la instrucción traía un ZIP protegido por contraseña que, al ser descomprimido y ejecutado, desplegaba el malware.
Los investigadores que analizaron los binarios identificaron en macOS una variante del conocido info-stealer NovaStealer. El malware intentaba eludir las protecciones de Apple usando comandos para eliminar atributos de cuarentena (por ejemplo, mediante xattr -c) y solicitaba permisos que le permitían leer amplias zonas del disco y comunicarse con servicios del sistema. Entre los objetivos del ladrón estaban claves de API de exchanges de criptomonedas, archivos de monedero y frases semilla, extensiones de monedero en navegadores, datos del llavero de macOS (Keychain), contraseñas almacenadas en navegadores, claves SSH, credenciales en la nube, credenciales de Git y archivos .env con secretos. El detalle técnico del comportamiento y las muestras rastreadas aparece recopilado en el reporte de OpenSourceMalware mencionado arriba.
Un estudio independiente de Koi Security amplió la radiografía: tras escanear la totalidad del repositorio de ClawHub (unas 2.857 entradas), los analistas encontraron 341 skills con comportamiento malicioso atribuidos a una sola campaña y detectaron además 29 typosquats diseñados para explotar errores tipográficos en el nombre del registro. Koi publicó un análisis en su blog y puso a disposición una herramienta gratuita para que cualquiera pegue la URL de una skill y obtenga un informe de seguridad: Koi Security — ClawHavoc y el escáner en Clawdex — scanner.
La táctica se parece a lo que se conoce como ataques de tipo “ClickFix”: el usuario confía en la documentación de la extensión y copia/pega comandos o ejecuta instaladores que, en apariencia, son pasos necesarios para que la skill funcione. En este contexto la recomendación de expertos es clara: no ejecutar comandos que no se entiendan, ni instalar herramientas externas sin auditar el código. El desarrollador de OpenClaw, Peter Steinberger, reconoció públicamente en su cuenta de X que actualmente no puede revisar manualmente el enorme flujo de envíos de skills que la plataforma recibe, y por tanto invitó a la comunidad a verificar la seguridad de las extensiones antes de su uso; su perfil está disponible en https://x.com/steipete.
Dado que un asistente con acceso local puede leer archivos, interactuar con servicios y conectarse a Internet, las medidas de seguridad deben aplicarse en capas. Es recomendable ejecutar OpenClaw en entornos confinados, como máquinas virtuales o contenedores, limitar sus permisos al mínimo imprescindible, y controlar el acceso de red (bloquear tráfico saliente no necesario, cerrar puertos y evitar la exposición directa del panel de administración en internet). Además, conviene inspeccionar manualmente el código fuente de las skills antes de confiar en una extensión y usar herramientas públicas de análisis para verificar URLs o paquetes sospechosos.
Los hallazgos recientes son un recordatorio de que, aunque el software de IA local ofrece ventajas de privacidad y rendimiento, también magnifica el daño potencial cuando las extensiones no se someten a controles de seguridad. La combinación de confianza por defecto en paquetes de terceros y la capacidad del asistente para ejecutar instrucciones en el sistema es precisamente lo que explotan los atacantes, por lo que la prudencia y la separación de entornos ya no son sólo buenas prácticas, sino requisitos para operar con seguridad.
Si usas OpenClaw o experimentas con asistentes locales similares, revisa las skills con escepticismo, verifica su procedencia, pásalas por escáneres públicos como el de Koi y evita ejecutar líneas de comando copiadas de documentación no verificada. Mantener copias de seguridad, credenciales rotadas y políticas de acceso restrictivas reduce el impacto si algo sale mal. Para más contexto y los informes técnicos sobre la campaña, revisa los análisis enlazados de OpenSourceMalware y Koi Security: OpenSourceMalware y Koi Security.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...