Cada semana, un nuevo programa o modelo de IA protagoniza publicaciones virales en redes sociales, acaparando titulares y buena parte de la atención mundial. Mientras Seedance 2.0 amenaza con hacer reducir a escombros los cimientos de Hollywood, el otro gran protagonista de las últimas semanas ha sido OpenClaw (antes Clawbot y Moltbot), un agente de IA de código abierto capaz de hacer todo tipo de tareas por el usuario.
La repercusión ha sido de tal calibre que, en cuestión de días, lo que nació como un experimento para probar cómo sería tener una suerte de mayordomo o secretaria digital ha acabado como uno de los fichajes más sonados de OpenAI: el de su creador, Peter Steinberger, que Sam Altman, CEO de la compañía detrás de ChatGPT, considera como “un genio con ideas increíbles”.
Sin embargo, detrás de este contrato con muchos ceros, los vídeos y posts de influencers con miles de likes y noticias como la de dos de estos agentes de IA conspirando contra los humanos, lo que se intuye es un auténtico terremoto en materia de ciberseguridad. Es como dar cobijo al agente Smith de Matrix en tu ordenador y confiar a ciegas en que lo haga todo bien y sea inmune a todo tipo de posibles ataques.
“Los usuarios deberían informarse no solo de los beneficios y aplicaciones que permite una solución como OpenClaw, sino también de los riegos que supone”, explica a EL ESPAÑOL-Omicrono Josep Albors, director de Investigación y Concienciación de ESET España.
“Estamos hablando de algo que no solo tiene acceso a toda la información almacenada en el dispositivo, sino que también puede acceder a nuestros servicios online, con todo lo que ello implica“, afirma Albors.
Qué son los agentes de IA
El sueño (o pesadilla, según se mire) de tener agentes digitales capaces de realizar tareas de forma autónoma se remonta a los años 60, cuando se estaban sentando las bases de la informática moderna.
Por aquel entonces ya existían programas que simulaban conversación o tomaban decisiones sencillas en un entorno muy limitado, como ELIZA, creada por el informático Joseph Weizenbaum en el MIT para simular una conversación. Sin embargo, estas herramientas de software experimental seguían un guion, respondían a órdenes muy concretas y apenas se salían del carril.
Página de inicio de OpenClaw
El siguiente gran paso llegó casi medio siglo después con los asistentes de voz, como Siri o Alexa, que llevaron la idea de hablar con una máquina al entorno cotidiano y del día a día. Sin embargo, seguían siendo bastante rígidas… y todavía lo son. A veces ni siquiera aciertan al decir la hora, no digamos ya manejar por sí solos una cuenta de correo o hacer una reserva en un restaurante.
Pese a los constantes avances tecnológicos, estas nuevas capacidades que han llegado con los grandes modelos de lenguaje todavía están en una fase muy temprana, y los sucesivos retrasos en el lanzamiento de Alexa+ o la nueva versión de Siri son el mejor ejemplo: ni Amazon ni Apple se quieren arriesgar a que su IA acceda a los datos privados de los usuarios para llevar a cabo acciones que impliquen, sin ir más lejos, realizar cargos en sus tarjetas de crédito.
OpenClaw y otros agentes de IA similares suponen un nuevo salto cualitativo, ya que no operan en la nube, sino en local: se instalan como una aplicación más y, desde un modesto ordenador o incluso desde el teléfono móvil pueden usar tus archivos, tu navegador y tus aplicaciones como si fueran un humano para realizar todo tipo de tareas.
“Se podrían describir como un ’empleado digital’ al que le dices qué quieres conseguir y él se encarga de hacerlo en tu ordenador y en tus aplicaciones, sin que tengas que estar encima”, explica Josep Albors.
Peter Steinberger, creador de OpenClaw, junto a los participantes de la Claw Con
Omicrono
“A diferencia de un chatbot normal, que solo responde cuando le preguntas, estos agentes pueden leer y ordenar tu correo, mover archivos, abrir webs, mandar mensajes por WhatsApp o revisar tareas pendientes, uniendo muchas acciones pequeñas hasta completar un encargo grande, e incluso funcionando solos en segundo plano para avisarte de cosas importantes o hacer trabajos rutinarios mientras tú estás a otra cosa”, señala el director de Investigación y Concienciación de ESET España.
Otra de las caractertísticas fundamentales de OpenClaw es que es de código abierto: cualquiera puede crear nuevas funciones para ampliarlo, lo que ha disparado su popularidad entre los desarrolladores, un hype que ha llevado a la venta de miles de ordenadores Mac Mini y suscripciones a los principales servicios de IA.
Así, el éxito de OpenClaw se explica, según Albors, por una combinación de factores: “es gratuito, de código abierto, compatible con Windows, macOS y Linux, puede ejecutarse incluso en dispositivos modestos y permite controlarse de forma remota a través de aplicaciones de mensajería“.
Límites y riesgos
El propio Peter Steinberger es muy consciente de las limitaciones de OpenClaw en materia de seguridad y de su naturaleza experimental. “Si no eres un técnico, NO LO INSTALES EN TU ORDENADOR”, asegura en uno de sus mensajes en LinkedIn.
Días más tarde, en la misma publicación de su blog en la que anunciaba su fichaje por OpenAI, parece muy consciente de sus vulnerabilidades: “Mi próxima misión es crear un agente que incluso mi madre pueda usar. Para ello será necesario un cambio mucho más amplio, reflexionar mucho más sobre cómo hacerlo de forma segura y acceder a los últimos modelos e investigaciones”.
“Estamos ante un cambio de paradigma”, señala Josep Albors. “Estos agentes no solo asisten, sino que actúan. El riesgo no está en una vulnerabilidad puntual, sino en el volumen de accesos y decisiones que se concentran en una sola herramienta”.
ClawHub, el principal repositorio de funciones de agentes de IA
Omicrono
Su uso es como darle las llaves de tu casa a un completo desconocido: implica dar “un acceso a absolutamente toda la información que tengamos almacenada en nuestro equipo o cualquier servicio online”.
Y es que, pese el enomre potencial de OpenClaw y otros agentes de IA, si algo falla en su diseño, en su configuración o en una actualización, el daño potencial es mucho mayor que con una app normal, limitada a una sola tarea.
“En un ordenador doméstico, un atacante podría acceder a toda la información que almacenáramos en él o en cualquiera de los servicios online a los que hubiéramos concedido permiso a OpenClaw, además de usarlo para lanzar ataques desde él”, advierte Albors. En un ordenador corporativo, el resultado puede ser mucho más dañino: “además de lo anterior se podría usar como ‘cabeza de puente’ para realizar movimientos laterales a otros equipos de la empresa e infectar la red entera”.
Además, estos agentes no trabajan aislados, sino que usan complementos, se conectan con servicios externos y siguen instrucciones que pueden proceder de webs, correos electrónicos o documentos de todo tipo. Si cualquiera de estos elementos está hackeado o una página incluye órdenes maliciosas escondidas, el agente puede acabar filtrando datos, instalando aplicaciones no deseadas o modificando información importante sin que el usuario se entere.
La tienda de funciones de OpenClaw, llamada ClawHub, ha sufrido ya varios ataques graves. Investigadores de ciberseguidad han encontrado más de 300 skills maliciosas camufladas como herramientas de criptomonedas, automatización o seguridad. Al instalarlas, el propio agente descarga y ejecuta código que puede robar archivos, contraseñas del navegador o llaves de acceso para enviarlas a servidores controlados por estafadores profesionales.
Este tipo de herramientas que suscitan tanta atención tienen otro peligro: implican que mucha gente las instala sin entender bien los riesgos. Esa mezcla de muhco, poco control y ecosistemas aún inmaduros es lo que hace que estos agentes puedan convertirse en un gran ‘coladero’ para los ciberdelincuentes.
“Como usuarios, debemos entender qué es lo que hacen estos agentes, a qué información personal acceden o recopilan, cuáles son los posibles riesgos y cómo mitigarlos controlando muy bien qué tipos de permisos les concedemos o a qué tipo de información les damos acceso”, concluye Albors.
