Hace pocos días, la comunidad de seguridad encontró un fallo serio en OpenClaw, una de las plataformas de agentes de IA self-hosted que en los últimos meses ha crecido rápidamente en popularidad. Investigadores de Oasis Security identificaron una debilidad que permitía a una página web maliciosa comunicarse con una instancia local de OpenClaw y probar contraseñas hasta adivinar la correcta, todo sin que el usuario notara nada en su navegador.
La raíz del problema estaba en el servicio de pasarela de OpenClaw, que expone una interfaz WebSocket ligada a localhost por defecto. Esa combinación resultó peligrosa porque, a diferencia de otras APIs web, los navegadores permiten abrir conexiones WebSocket hacia direcciones de loopback sin que las políticas de origen (same-origin) impidan la conexión. Puedes ver cómo funcionan estas conexiones en la documentación técnica de los navegadores en la página de MDN Web Docs sobre WebSocket.
Lo más preocupante no fue sólo la posibilidad de conectarse, sino cómo OpenClaw trataba las conexiones locales: las protecciones de límite de intentos (rate limiting) estaban diseñadas para evitar ataques de fuerza bruta, pero habitualmente excluyen la dirección de loopback (127.0.0.1) para no bloquear sesiones legítimas desde la propia máquina. Esa excepción abrió una ventana que, según los investigadores, permitía realizar centenares de intentos por segundo desde JavaScript en una pestaña del navegador, lo que bastaba para agotar listas de contraseñas comunes en fracciones de segundo y diccionarios más grandes en cuestión de minutos.
Además, la pasarela de OpenClaw aceptaba emparejamientos de dispositivos procedentes de localhost sin pedir confirmación al usuario, de modo que, una vez adivinada la contraseña de gestión, un atacante podía registrarse como un dispositivo de confianza y obtener permisos de administrador. Con ese acceso directo a la plataforma, el atacante podía listar nodos conectados, filtrar y robar credenciales, leer registros y ordenar al agente que buscara o exfiltrara información sensible, e incluso ejecutar comandos de shell en máquinas emparejadas. En pocas palabras: una pestaña del navegador podía convertirse en el vector para una completa toma de control del puesto de trabajo.
Oasis Security mostró pruebas de concepto y una demostración práctica del abuso, y notificó el problema a los desarrolladores de OpenClaw. La reacción fue rápida: en menos de 24 horas se publicó una corrección, incluida en la versión 2026.2.26 liberada el 26 de febrero, que endurece las comprobaciones de seguridad en las conexiones WebSocket y añade protecciones para que las conexiones desde loopback no se puedan aprovechar para ataques de fuerza bruta o apropiación de sesiones, aunque estuvieran exentas de limitaciones por diseño.
Esta incidencia pone en evidencia un doble riesgo que acompaña al auge de plataformas self‑hosted de agentes autónomos: por un lado, la gran superficie de ataque que supone exponer un servicio de control local con capacidades administrativas; por otro, la combinación de comportamientos del navegador y configuraciones de servidor pensadas para conveniencia pero que pueden ser explotadas. Los equipos de seguridad y los administradores que despliegan este tipo de software deben asumir que cualquier interfaz local puede ser alcanzable desde un navegador y diseñar defensas acordes.
OpenClaw no es el único proyecto que debe replantear su modelo de confianza: la investigación también recuerda que repositorios de habilidades y plugins públicos pueden ser utilizados por actores maliciosos para distribuir instrucciones peligrosas. En el caso concreto, se han observado intentos de abuso del repositorio "ClawHub" para promover habilidades que despliegan malware recolector de información o persuaden a los usuarios para ejecutar comandos perjudiciales en sus máquinas.
Si administras o utilizas una instancia de OpenClaw, la recomendación inmediata es actualizar a la versión parcheada (2026.2.26 o posterior). Más allá del parche, conviene revisar contraseñas administrativas y claves, aplicar políticas de contraseñas fuertes y únicas, minimizar la exposición de interfaces de administración a redes no confiables, y vigilar registros y comportamientos anómalos en las integraciones del agente. Para quienes quieran profundizar en las pruebas y técnicas alrededor de canales WebSocket, el OWASP Web Security Testing Guide ofrece orientación útil sobre vectores y mitigaciones.
La buena noticia es la rapidez con la que se solucionó este agujero tras la divulgación responsable: un ejemplo de cómo el intercambio técnico entre investigadores y desarrolladores puede limitar el impacto. La lección, sin embargo, debe perdurar: con herramientas que pueden ejecutar acciones en entornos reales y acceder a dispositivos conectados, la seguridad por diseño y la revisión continua son imprescindibles. No basta con que un servicio funcione; tiene que estar blindado para asumir que la interfaz local también es una puerta de entrada potencial para un atacante.
Para quienes quieran leer el informe técnico completo y ver la demostración compartida por los descubridores, la entrada de Oasis contiene los detalles del hallazgo y las pruebas: informe de Oasis Security sobre la vulnerabilidad en OpenClaw. Mantenerse informado y aplicar parches rápidamente sigue siendo la mejor defensa frente a este tipo de amenazas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...