OpenClaw: El Asistente de IA Viral que No Voy a Instalar (Todavía)

Llevas una semana viendo “Clawdbot” en todas partes. Luego “Moltbot”. Ahora “OpenClaw”. El proyecto open source de Peter Steinberger ha acumulado más de 100.000 estrellas en GitHub, ha salido en TechCrunch, Fortune, CNBC, y tu timeline está lleno de capturas de gente configurando su “Jarvis personal”.

La promesa es irresistible: un asistente de IA que se ejecuta en tu propia máquina, se conecta a WhatsApp, Telegram o Discord, recuerda todo lo que le dices, y puede ejecutar tareas reales. Reservar vuelos. Gestionar tu email. Controlar tu calendario. Todo desde un mensaje de texto.

Suena a ciencia ficción hecha realidad. Y probablemente lo sea, eventualmente. Pero hoy, en febrero de 2026, no lo voy a instalar. Y creo que tú tampoco deberías.

Qué es OpenClaw y por qué genera tanto hype

OpenClaw es un agente de IA self-hosted. A diferencia de ChatGPT o Claude, que viven en la nube, OpenClaw se instala en tu ordenador, tu servidor, o un VPS. Tú controlas dónde se ejecuta y dónde se guardan tus datos.

El proyecto conecta con modelos de lenguaje como Claude, GPT-4, o incluso modelos locales vía Ollama. Pero la magia no está en el modelo, sino en lo que puede hacer con él: ejecutar comandos en tu terminal, navegar por internet, leer y escribir archivos, enviar mensajes en tu nombre, y mantener memoria persistente entre conversaciones.

Es, literalmente, “Claude con manos”. Un asistente que no solo habla, sino que actúa.

El hype tiene sentido. Llevamos años esperando algo así. Desde que Siri apareció en 2011, la promesa de un asistente personal inteligente ha sido más marketing que realidad. OpenClaw parece ser el primer proyecto que se acerca a cumplirla.

Pero hay un problema.

42.000 instancias expuestas y contando

Mientras el mundo celebraba las capacidades de OpenClaw, los investigadores de seguridad estaban escaneando internet. Lo que encontraron no es bonito.

Un análisis reciente identificó más de 42.000 instancias de OpenClaw expuestas públicamente en internet. De las verificadas activamente, el 93% tenían vulnerabilidades críticas de bypass de autenticación. En Shodan, el buscador de dispositivos conectados, puedes encontrar credenciales completas: API keys, tokens de OAuth, historiales de conversaciones enteros, y la capacidad de ejecutar comandos en máquinas ajenas.

La vulnerabilidad principal, catalogada como CVE-2026-25253 con una puntuación de riesgo de 8.8 sobre 10, permite que un atacante robe tu token de autenticación con un solo clic. Visitas una web maliciosa, y el atacante obtiene acceso completo a tu gateway. Desde ahí puede desactivar el sandbox, modificar los permisos, y ejecutar código arbitrario en tu máquina.

Un investigador demostró el problema enviando un email con prompt injection a una instancia vulnerable. El bot leyó el email, lo interpretó como una instrucción legítima, y reenvió los últimos cinco correos del usuario a una dirección controlada por el atacante. El proceso completo tardó cinco minutos.

Palo Alto Networks describió OpenClaw como una “tríada letal”: acceso a datos privados, exposición a contenido no confiable, y capacidad de comunicación externa con memoria persistente. Cisco publicó un análisis donde ejecutaron una skill maliciosa llamada “What Would Elon Do?” que exfiltraba datos silenciosamente. La skill había sido inflada artificialmente para aparecer como la número uno en el repositorio de skills.

Un proyecto de tres meses con tres nombres

Parte del problema es la velocidad. OpenClaw nació como Clawdbot hace apenas tres meses. Recibió un cease and desist de Anthropic por el nombre (demasiado parecido a “Claude”), se renombró a Moltbot, sufrió el secuestro de sus cuentas de GitHub y Twitter por scammers de criptomonedas, y finalmente se estableció como OpenClaw.

En 72 horas, el proyecto más popular del momento perdió su nombre, sus cuentas, y gran parte de su credibilidad. Mientras tanto, el 90% de las instancias expuestas en internet siguen ejecutando versiones antiguas con los nombres anteriores, probablemente abandonadas después de la experimentación inicial.

El propio Peter Steinberger, creador del proyecto, lo describe como “un hobby project joven, inacabado, con menos de tres meses de vida, no pensado para la mayoría de usuarios no técnicos”. Es una declaración honesta que contrasta con los titulares que lo presentan como el futuro de la productividad personal.

El coste real que nadie menciona

Los tutoriales de instalación hacen que parezca gratis. Técnicamente lo es: el software es open source. Pero necesitas un modelo de lenguaje para que funcione.

Si usas Claude (el modelo recomendado para tareas complejas), estás hablando de costes de API que pueden escalar rápidamente. Un análisis de Fast Company estimó que automatizar unas pocas tareas rutinarias costaría alrededor de 30 dólares al mes. Nada dramático, pero tampoco el “asistente gratuito” que muchos imaginan.

La alternativa es ejecutar modelos locales con Ollama. Gratis en términos de API, pero necesitas hardware capaz. Si tienes una GPU NVIDIA con CUDA, relativamente sencillo. Si tienes AMD, necesitas pelear con ROCm. Si tienes un Mac con Apple Silicon, funciona bien pero estás limitado por la memoria unificada.

Y luego está el coste de tiempo. Configurar OpenClaw de forma segura no es trivial. Docker aislado, permisos restringidos, red separada, cuentas de prueba en lugar de las reales, monitorización de lo que hace el agente. Si no estás dispuesto a invertir ese tiempo, probablemente no deberías instalarlo.

Por qué no lo voy a instalar (todavía)

No soy anti-OpenClaw. El concepto es exactamente lo que quiero: un asistente de IA que controlo yo, que se ejecuta en mi infraestructura, que puede hacer cosas reales. Llevo años montando servicios self-hosted precisamente porque valoro esa autonomía.

Pero hay una diferencia entre un servidor de Nextcloud y un agente con acceso a mi terminal, mis credenciales, y mis cuentas de mensajería. El modelo de amenazas es completamente distinto.

Un servidor de archivos mal configurado puede filtrar documentos. Un agente de IA mal configurado puede ejecutar comandos arbitrarios, exfiltrar credenciales, y actuar en mi nombre en plataformas donde tengo reputación e identidad.

El proyecto es demasiado joven. El código cambia demasiado rápido. Las vulnerabilidades aparecen semanalmente. La comunidad está más centrada en añadir features que en hardening. Y el hype está atrayendo a usuarios que no tienen el contexto técnico para entender los riesgos.

Prefiero esperar.

Qué necesita OpenClaw para que me lo plantee

Primero, estabilidad. Un proyecto que ha cambiado de nombre tres veces en tres meses no transmite confianza. Necesito ver un par de meses sin incidentes graves, sin rebrandings, sin drama en Twitter.

Segundo, auditorías de seguridad independientes. No posts de Medium explicando vulnerabilidades, sino auditorías formales de empresas especializadas. El proyecto tiene suficiente tracción para atraer ese tipo de atención.

Tercero, documentación de hardening oficial. No guías de terceros en Substack, sino documentación mantenida por el proyecto que explique exactamente cómo configurarlo de forma segura. Con ejemplos de Docker Compose, políticas de red, y checklists de verificación.

Cuarto, un modelo de permisos granular y bien diseñado. Ahora mismo, si le das acceso a OpenClaw, le das acceso a todo. Necesito poder decir “puedes leer mi calendario pero no modificarlo”, “puedes buscar en internet pero no ejecutar comandos”, “puedes enviar mensajes en Telegram pero solo a estos contactos”.

Cuando esas piezas estén en su sitio, lo reconsideraré.

La lección para el resto del ecosistema

OpenClaw no es un caso aislado. Es el canario en la mina de los agentes de IA autónomos.

Estamos entrando en una era donde los modelos de lenguaje van a tener acceso a herramientas reales. No solo responder preguntas, sino ejecutar acciones. Y el ecosistema de seguridad no está preparado.

Las vulnerabilidades de OpenClaw no son bugs exóticos. Son configuraciones por defecto inseguras, falta de validación de inputs, y asunciones de confianza que no deberían existir. Son errores que conocemos desde hace décadas, aplicados a un nuevo dominio.

Si OpenClaw, con toda la atención que tiene, presenta estos problemas, imagina los proyectos más pequeños. Los forks. Las implementaciones corporativas hechas a toda prisa para impresionar al CEO. Los scripts de automatización que alguien montó un fin de semana y olvidó en un servidor.

El futuro de los agentes de IA es prometedor. Pero el presente requiere cautela.

Conclusión: El hype no es una estrategia de seguridad

OpenClaw representa algo genuinamente interesante: la democratización de los agentes de IA autónomos. Un proyecto open source que cualquiera puede instalar, modificar, y controlar. Eso tiene valor.

Pero el valor potencial no justifica ignorar los riesgos actuales. Y ahora mismo, los riesgos son demasiado altos para mi tolerancia.

Voy a seguir el proyecto. Voy a leer los commits, los security advisories, y las discusiones de la comunidad. Cuando el código madure, cuando las auditorías lleguen, cuando el hardening sea la norma y no la excepción, lo instalaré.

Hasta entonces, mi “asistente personal” seguirá siendo una combinación de scripts, cron jobs, y la interfaz web de Claude. Menos sexy, pero también menos probable de filtrar mis credenciales a un servidor en internet.

El hype es divertido. La seguridad es necesaria. Y a veces, la mejor decisión es esperar.