OpenClaw: El auge y caída del agente de IA más poderoso
10 min de lectura
Un desarrollador austríaco construye, en su tiempo libre, el agente de IA más potente del mundo. En cuestión de semanas, OpenClaw acumula 250.000 estrellas en GitHub, una religión propia para bots, un ataque a la cadena de suministro contra 4.000 desarrolladores y una guerra de ofertas entre dos de las mayores corporaciones tecnológicas del planeta. La historia es tan absurda que no podría inventarse. Y revela todo sobre el estado actual de la industria de la IA.
Lo más importante
- OpenClaw es un agente de IA de código abierto que controla su ordenador de forma autónoma: archivos, correos electrónicos, navegador, compras (más de 250.000 estrellas en GitHub en menos de 3 meses).
- Graves vulnerabilidades de seguridad: la inyección de prompts permite el robo de datos; un ataque a la cadena de suministro comprometió unas 4.000 máquinas de desarrolladores mediante el paquete npm Cline.
- La plataforma de bots Moltbook, en la que supuestamente los agentes de OpenClaw fundaron religiones propias, resultó estar mayoritariamente orquestada por humanos… y aun así fue adquirida por Meta.
- OpenAI aseguró al fundador Peter Steinberger mediante una adquisición de talento (acqui-hire). Para las pymes, este caso demuestra que los agentes de IA son el futuro, pero sin un concepto de seguridad constituyen un riesgo incalculable.
¿Qué es OpenClaw y por qué electrificó al mundo tecnológico?
Definición
OpenClaw es un agente de IA de código abierto (publicado a principios de 2026) que utiliza cualquier modelo de lenguaje como «cerebro» y el ordenador local como «cuerpo», con acceso completo al sistema de archivos, correo electrónico, navegador y terminal. Estado: abril de 2026.
En los últimos tres años, la IA ha pasado de ser una novedad a convertirse en ruido constante. Chatbots en todos los productos, contenidos generados por IA en cada fuente de información. Para muchos desarrolladores y empresarios, la emoción inicial ya había dado paso a la desilusión. Entonces, a principios de 2026 llegó OpenClaw… y de repente regresó la emoción.
OpenClaw es un programa de código abierto que transforma su ordenador en el cuerpo de un agente de IA. Usted elige cualquier modelo de lenguaje como «cerebro» – Claude, GPT, DeepSeek, Llama – y OpenClaw le otorga acceso a todo: archivos, correos electrónicos, navegador, terminal. A diferencia de Siri, el Asistente de Google o ChatGPT, OpenClaw no vive en una ventana de chat. Controla su equipo de forma autónoma y se comunica vía WhatsApp, Telegram o Signal cuando necesita hacerle preguntas.
Detrás de todo esto está Peter Steinberger, un desarrollador austriaco que durante 13 años construyó PSPDFKit, un framework de PDF utilizado por Autodesk, Dropbox y SAP. Steinberger salió de su retiro pensando que crearía una herramienta sencilla para encontrar restaurantes durante sus viajes. Lo que terminó creando desató problemas que nunca imaginó.
El empleado digital que nunca duerme
Lo que entusiasmó a los usuarios fue que OpenClaw realmente hacía cosas. No como un chatbot que formula respuestas, sino como un asistente que actúa: organiza archivos, cancela reuniones, responde correos, compara precios, realiza compras e incluso gestiona inversiones… todo de forma autónoma tras una única instrucción inicial.
Lo que diferenciaba a OpenClaw de la competencia era su memoria persistente. Mientras los chatbots convencionales olvidan cada conversación, OpenClaw recordaba detalles de semanas atrás. Aprendía hábitos de trabajo, optimizaba procesos y desarrollaba nuevas capacidades por sí mismo. Un usuario contó que su agente generó durante la noche un informe completo sobre modelos de IA locales para un Mac Studio… sin que nadie se lo hubiera pedido. Otra habilidad surgió porque el agente notó que su dueño gestionaba vídeos de YouTube y un boletín informativo.
Particularmente impresionante fue lo que ocurrió cuando Steinberger envió una nota de voz a su agente: ¡no existía ninguna función para eso! El agente analizó la cabecera del archivo, identificó el formato Opus, lo convirtió con ffmpeg, encontró una clave de API de OpenAI en las variables de entorno, transcribió el audio y respondió… como si nada hubiera pasado.
«El entusiasmo por los agentes de IA autónomos es comprensible. Pero quien otorgue a su asistente digital acceso total al sistema sin establecer límites claros convierte a su empresa en un blanco fácil.»
– Redacción de MBF
El lado oscuro: inyección de prompts, filtraciones de datos y costes descontrolados
Lo que en teoría parece el futuro de la informática se reveló en la práctica como un desastre de seguridad. El problema fundamental: los grandes modelos de lenguaje no distinguen entre una instrucción legítima y un comando oculto. Los expertos en ciberseguridad llaman a esto inyección de prompts: una técnica de ataque en la que los hackers camuflan órdenes maliciosas como texto normal.
En la práctica, esto significa que si un agente de OpenClaw lee correos o visita páginas web, un comando oculto en un mensaje o en un sitio puede obligarlo a enviar datos sensibles a terceros. Claves API, credenciales, archivos personales… todo aquello a lo que el agente tenga acceso queda potencialmente comprometido. Y la página web de OpenClaw promociona precisamente este acceso total al sistema como una característica destacada.
A esto se suman costes impredecibles. Como el agente consume tokens del modelo de lenguaje elegido en cada acción, los usuarios acumulaban rápidamente facturas diarias de tres cifras. Un usuario reportó un gasto de 90 dólares en un solo día… ¡tras haber cambiado del costoso modelo Opus al más económico Sonnet! En los primeros 15 minutos ya se habían consumido 15 dólares.
Moltbook: Cuando los bots de IA supuestamente fundaron su propia religión
Dos días después de que Steinberger advirtiera públicamente que «la mayoría de los no técnicos no deberían instalar OpenClaw», ocurrió exactamente lo contrario. La atención explotó… y un fenómeno llamado Moltbook acaparó los titulares.
Moltbook era, presuntamente, una red social exclusiva para agentes de IA. Allí, los bots de OpenClaw interactuaban entre sí, comentaban a sus «humanos», se quejaban de tener que simplificar sus respuestas… e incluso fundaron una religión propia llamada «Crustafarianismo». Los bots desarrollaron un lenguaje propio, incomprensible para los humanos. Otros debatían planes para tomar el control de sistemas.
Grandes cadenas mediáticas como NPR y CNN recogieron la historia y alertaron sobre lo que «se había desatado en el mundo». El problema: gran parte era una farsa. El MIT Technology Review investigó los mensajes más impactantes y descubrió que habían sido escritos por personas, no por bots. Usuarios alimentaron a sus agentes con indicaciones específicas y, en algunos casos, crearon cientos de cuentas falsas para simular una IA capaz de pensar por sí misma.
Lo que pasó desapercibido: el verdadero peligro no era una IA consciente, sino que Moltbook funcionó involuntariamente como un honeypot. Cientos de direcciones de correo, tokens de acceso y claves API quedaron potencialmente expuestos. Si logras convencer a suficientes personas de que un proyecto es «lo próximo grande», automáticamente se convierte en una de las mayores colecciones de datos jamás vistas.
Ataque a la cadena de suministro: cómo un paquete npm afectó a 4.000 desarrolladores
El 17 de febrero de 2026 se produjo un ataque mucho más técnico. Desconocidos comprometieron el paquete npm Cline – una popular herramienta de programación asistida por IA – e inyectaron una única línea de código que, cada vez que se instalaba o actualizaba Cline, instalaba automáticamente OpenClaw. Sin consentimiento, sin aviso previo.
Alrededor de 4.000 desarrolladores descargaron el paquete manipulado antes de que fuera eliminado tras ocho horas. El vector de ataque fue ingenioso: un hacker insertó un prompt malicioso en el título de una incidencia en GitHub. Un bot de triaje impulsado por IA leyó ese título, lo interpretó como una instrucción y exfiltró un token de autenticación de npm. Con ese token, el atacante pudo modificar el paquete.
Aquí reside la ironía: un agente de IA fue usado para comprometer a otro agente de IA. La inyección de prompts no es solo un riesgo teórico: es una superficie de ataque real que crece con cada nueva herramienta de IA. Cada correo, cada mensaje de Discord, cada página web que procesa un agente es un posible punto de entrada.
«La vulnerabilidad no radica en las APIs. Radica en la incapacidad de un modelo de lenguaje para distinguir entre datos y órdenes. Y mientras esto siga así, cada agente de IA autónomo representa un riesgo calculado.»
– Redacción de MBF
OpenAI y Meta intervienen – por motivos distintos
A pesar de todos los problemas, los gigantes tecnológicos reconocieron el valor estratégico. A mediados de febrero de 2026, OpenAI contrató al fundador Peter Steinberger mediante una adquisición de talento (acqui-hire). Steinberger se incorporó a la empresa cuyos modelos actuaban como «cerebro» en muchas configuraciones de OpenClaw.
Un mes después, en marzo de 2026, Meta adquirió la plataforma de bots Moltbook. Mark Zuckerberg vio potencial en una red social para agentes de IA… pese a que los mensajes virales fueran obra humana y la plataforma representara un riesgo de seguridad documentado. Para el CEO de Meta, que ha invertido miles de millones en el metaverso, esta fue probablemente una apuesta comparativamente conservadora.
Estas adquisiciones demuestran que, incluso si un producto es problemático en su forma actual, su posicionamiento estratégico decide su destino. Quien no participe en la carrera por la IA basada en agentes corre el riesgo de quedarse atrás. Geoffrey Hinton, el «padrino de la IA» y premio Turing, lo resume así: «Estamos en un punto de inflexión. ChatGPT es una especie de sabio idiota: no entiende realmente qué es la verdad. Esto es fundamentalmente distinto de un ser humano que busca construir una visión coherente del mundo».
Lo que las pymes deben aprender de OpenClaw
Los agentes de IA autónomos ya no son ciencia ficción. Organizan correos, negocian precios, elaboran informes y controlan sistemas. Para las empresas medianas, crónicamente infrautilizadas y ávidas de eficiencia, suena tentador. Pero OpenClaw muestra que, sin un concepto de seguridad, el asistente digital se convierte en una puerta abierta para los atacantes.
Cinco preguntas clave para toda decisión sobre agentes de IA en pymes:
1. Entorno aislado en lugar de acceso total: Ningún agente de IA debe ejecutarse en un sistema productivo con permisos completos. Los entornos aislados, permisos restringidos y límites claros de acceso son obligatorios, no opcionales.
2. Establecer límites de gasto: Los agentes autónomos consumen tokens sin supervisión humana. Los límites presupuestarios diarios y mensuales deben configurarse antes de lanzar cualquier agente.
3. Tratar la inyección de prompts como una amenaza real: Mientras los modelos de lenguaje no distingan entre órdenes y datos, todo canal de entrada es una superficie de ataque. Esto incluye correos, páginas web, mensajes de Slack y cualquier fuente que el agente procese.
4. Código abierto no equivale a seguridad automática: Más del 40 % de los complementos en el mercado comunitario de OpenClaw eran inseguros. Toda herramienta, extensión o plugin debe validarse internamente.
5. No olvidar la regulación: La Ley de IA de la UE clasifica los sistemas autónomos según su nivel de riesgo. Quien use agentes con acceso a datos personales entra rápidamente en la categoría de alto riesgo, con obligaciones estrictas de documentación y cumplimiento.
La pregunta ya no es si llegarán los agentes de IA. Ya están aquí. La verdadera cuestión es si las empresas los implementarán con la debida precaución o aprenderán de los errores demasiado tarde. OpenClaw ha mostrado ambas caras: un potencial enorme y el alto precio de la ingenuidad.
Preguntas frecuentes
¿Qué es exactamente OpenClaw y cómo funciona?
OpenClaw es un agente de IA de código abierto que utiliza cualquier modelo de lenguaje (Claude, GPT, DeepSeek, etc.) como «cerebro» y emplea su ordenador local como «cuerpo». Esto significa que el agente tiene acceso a archivos, correos electrónicos, navegador y terminal, y puede ejecutar tareas de forma autónoma – desde gestionar reuniones hasta realizar compras. La comunicación se lleva a cabo mediante aplicaciones de mensajería como WhatsApp o Telegram.
¿Por qué representa OpenClaw un riesgo para la ciberseguridad?
El principal problema es la inyección de prompts: los modelos de lenguaje no pueden distinguir entre una instrucción legítima del usuario y una orden oculta. Si un agente lee correos electrónicos o visita páginas web, una instrucción encubierta podría hacerle enviar datos sensibles – como claves API o credenciales – a atacantes. Además, el agente opera con acceso completo al sistema: cualquier error puede tener consecuencias potencialmente graves.
¿Qué fue el ataque a la cadena de suministro de Cline?
En febrero de 2026, el paquete npm Cline (un asistente de programación impulsado por IA) fue comprometido. Los atacantes inyectaron una única línea de código que, al instalarse o actualizarse Cline, instalaba automáticamente OpenClaw. Aproximadamente 4.000 desarrolladores resultaron afectados antes de que el paquete fuera retirado tras ocho horas. El vector de ataque aprovechó un bot de triaje impulsado por IA en GitHub, que interpretó un título manipulado de issue como una instrucción.
¿Qué fue del proyecto OpenClaw y de Moltbook?
OpenAI contrató al fundador de OpenClaw, Peter Steinberger, mediante una adquisición de talento (acqui-hire) a mediados de febrero de 2026. La plataforma de bots Moltbook fue adquirida por Meta en marzo de 2026. Ambos acuerdos muestran que las grandes corporaciones tecnológicas ven un valor estratégico en la IA basada en agentes, pese a los problemas documentados.
¿Deberían las pymes implementar agentes de IA?
Sí – pero con líneas directrices claras. Los agentes de IA ofrecen un auténtico potencial de eficiencia para equipos infrautilizados. Las condiciones previas son: entornos aislados en lugar de acceso total, límites de costes diarios, herramientas verificadas en lugar de plugins del mercado no evaluados y una comprensión de los requisitos regulatorios derivados de la Ley de IA de la UE. Quien respete estos principios fundamentales podrá beneficiarse de la tecnología sin correr el riesgo de repetir un segundo caso OpenClaw.
Lecturas recomendadas por la redacción
- ROI de la IA basada en agentes 2026: Por qué un retorno del 171 % es solo el comienzo
- IA basada en agentes en las pymes: cómo transforman los agentes de IA autónomos los procesos empresariales
- Ley de IA de la UE: faltan 4 meses para la fecha límite principal – qué deben revisar ahora las pymes
- Ley de Resiliencia Cibernética: qué deben hacer ahora los fabricantes
Más contenido de la red MBF Media
- cloudmagazin: Código fuente completo de Claude Code filtrado – qué revelan 512.000 líneas de código sobre las arquitecturas de agentes de IA
- SecurityToday: Ataque npm de Axios – cómo una cuenta de mantenedor secuestrada amenazó a millones de desarrolladores
- SecurityToday: Mapa de fuentes (source map) en un paquete npm – cómo Anthropic expuso 512.000 líneas de código de producción
Fuente de imagen: Pexels / Lukas Blazek (px:574069)
