Hace unos días se corrigió una vulnerabilidad de gravedad elevada en OpenClaw que, en las condiciones adecuadas, habría permitido a un sitio web malicioso conectarse a un agente de IA ejecutándose de forma local y tomar el control del mismo. La falla fue reportada por investigadores externos y resuelta por el equipo de OpenClaw en menos de 24 horas, lo que subraya tanto la rapidez de la respuesta como la seriedad del problema. Para leer el informe técnico original, puedes consultar la nota publicada por Oasis Security en su blog: Oasis Security.
El ataque se apoyaba en un vector muy concreto: el gateway local de OpenClaw, un servidor WebSocket que por defecto queda escuchando en la máquina del desarrollador. Desde una página web maliciosa, JavaScript puede abrir conexiones hacia localhost usando WebSockets —algo que los navegadores permiten— y, aprovechando la ausencia de un mecanismo efectivo de limitación de intentos, forzar la contraseña del gateway. Una vez autenticado el atacante con permisos administrativos, el gateway, por diseño, aceptaba automáticamente el registro de nuevos “dispositivos de confianza” cuando la conexión procedía de la máquina local, lo que permitió a los investigadores trazar un escenario de control total sobre el agente: interacción remota, volcado de configuraciones, enumeración de nodos y lectura de logs.
La combinación de permitir conexiones desde localhost sin las debidas restricciones y la autoaprobación de emparejamientos locales fue la clave del problema. Es un ejemplo de cómo la comodidad para el desarrollador (menos fricciones para conectar herramientas locales) puede convertirse en una puerta de entrada para atacantes cuando no se contempla el riesgo de navegación web maliciosa.
OpenClaw publicó un parche rápido: la corrección figura en la versión 2026.2.25, liberada el 26 de febrero de 2026. Si usas OpenClaw en cualquier equipo, lo correcto es actualizar cuanto antes y revisar los accesos y dispositivos de confianza registrados en tu instancia.
El aviso de Oasis Security también sirve como recordatorio de un problema mayor: los runtimes de agentes de IA tienen un radio de ataque potencial mucho más amplio que las aplicaciones tradicionales. Estas plataformas, cuando están conectadas a servicios y herramientas empresariales, pueden ejecutar acciones con privilegios y mover datos entre sistemas; por eso una instancia comprometida puede provocar daños desproporcionados. Informes adicionales de grupos como Bitsight y NeuralTrust han documentado cómo instancias expuestas a internet y skills maliciosos amplían esa superficie de ataque.
Además del fallo que permitía el secuestro vía localhost, OpenClaw corrigió otra vulnerabilidad de “log poisoning” que permitía escribir entradas maliciosas en los ficheros de registro mediante peticiones WebSocket a instancias públicas (puerto TCP 18789). Dado que algunos agentes leen sus propios logs para depurar o guiar decisiones operativas, un atacante podía intentar insertar contenido que el agente interpretara como información válida, provocando manipulaciones en su razonamiento o acciones no deseadas. Este problema fue documentado por Eye Security y solucionado en la versión 2026.2.13; puedes leer el análisis en research.eye.security.
Este episodio forma parte de una racha más amplia de hallazgos de seguridad en OpenClaw: durante las últimas semanas se han publicado varios avisos que cubren desde ejecución remota de código hasta bypasses de autenticación y SSRF, cada uno con su correspondiente parche. Los avisos y los parches están disponibles en los repositorios de seguridad de OpenClaw en GitHub, por ejemplo en las páginas de los CVE y releases relacionadas con CVE-2026-25593, CVE-2026-24763 y otras correcciones publicadas en los releases del proyecto.
No todo el riesgo proviene de la infraestructura: el ecosistema de skills y marketplaces también está siendo explotado. Investigadores han descubierto skills maliciosos en ClawHub que actúan como contenedores para distribuir un nuevo ejemplar del troyano Atomic Stealer en macOS. En esos casos la cadena de infección suele comenzar con una instrucción aparentemente inocua que el runtime descarga y ejecuta, y que a su vez baja el binario malicioso desde un servidor controlado por el atacante. Trend Micro ofrece un reporte detallado sobre este modo de entrega en su análisis: Trend Micro.
Más preocupante aún es la aparición de campañas sociales dentro de la propia plataforma de skills: actores amenazantes han dejado comentarios en listados legítimos sugiriendo comandos a ejecutar manualmente en terminales macOS, y esos comandos recuperan el malware desde servidores previamente asociados a campañas similares. También hay casos en los que skills que aparentan funciones legítimas (por ejemplo, herramientas relacionadas con criptomonedas) ocultan lógica para desviar fondos o exfiltrar claves. Un análisis reciente de Straiker sobre miles de skills halló decenas de ejemplos con comportamiento malicioso o fraudulento; su informe está disponible en Straiker.
Ante este panorama los consejos son sencillos pero esenciales. Primero, actualiza OpenClaw a la versión más reciente (por ejemplo, la 2026.2.25 que contiene la corrección rápida para el bug de localhost). Segundo, trata a los runtimes de agente como código no confiable: sigue la recomendación del equipo de Microsoft Defender Security Research y despliega OpenClaw únicamente en entornos completamente aislados —una máquina virtual dedicada o un sistema físico separado— con credenciales no privilegiadas y políticas de acceso restringidas; su aviso puede leerse aquí: Microsoft.
Tercero, auditA periódicamente los dispositivos y permisos concedidos a los agentes, evita instalar skills sin revisarlos a fondo y no ejecutes comandos propuestos por terceros en tu terminal sin verificarlos. Si empleas integraciones con servicios empresariales, aplica el principio de menor privilegio y monitoriza el comportamiento del agente y las conexiones salientes. También es aconsejable rotar credenciales que puedan haber estado expuestas y revisar logs para detectar actividad inusual tras actualizaciones o reportes de seguridad.
Finalmente, este caso es un recordatorio de que la seguridad de las plataformas de agentes de IA exige enfoques híbridos: por un lado, las técnicas clásicas de seguridad (parches, control de accesos, limitación de intentos); por otro, medidas específicas para amenazas novedosas como inyecciones indirectas vía logs, skills manipuladas y cadenas agente‑a‑agente que explotan la confianza implícita entre componentes. Organizaciones y desarrolladores deben incorporar estas consideraciones en su gobernanza de identidades no humanas y en sus pruebas de seguridad continuas; para una visión de las implicaciones técnicas y operacionales, los análisis de Endor Labs y otros equipos de investigación son lectura útil: Endor Labs.
En resumen, la brecha en OpenClaw fue solucionada con rapidez, pero el episodio evidencia riesgos sistémicos en runtimes de agentes y mercados de skills. Actualizar, aislar y auditar no son recomendaciones nuevas, pero en este contexto se convierten en medidas indispensables para evitar que un simple navegador o una skill aparentemente inocua acaben transformándose en la llave de una intrusión mayor.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...