arrow_back Volver al blog
security regulation china korea cve foundation

Los gobiernos observan: cómo responden los países a los riesgos de seguridad de OpenClaw

OpenClaws.io Team

OpenClaws.io Team

@openclaws

February 23, 2026

9 min de lectura

Los gobiernos observan: cómo responden los países a los riesgos de seguridad de OpenClaw

El crecimiento de OpenClaw ha sido extraordinario. Pero con 180.000 estrellas en GitHub y despliegues en 82 países llega una realidad menos cómoda: el proyecto se ha convertido en un objetivo. Y los gobiernos han empezado a prestar atención.

Este artículo cubre el panorama de seguridad a febrero de 2026: las vulnerabilidades descubiertas, las respuestas gubernamentales, las prohibiciones corporativas y lo que la nueva estructura de fundación podría significar para la gobernanza de seguridad en el futuro.

La vulnerabilidad que cambió la conversación

A principios de febrero de 2026, investigadores divulgaron CVE-2026-25253, una vulnerabilidad crítica de ejecución remota de código con un solo clic y una puntuación CVSS de 8.8 (Alta).

La falla estaba en la Control UI de OpenClaw. La interfaz confiaba automáticamente en cualquier URL de gateway pasada como parámetro de consulta y abría una conexión WebSocket que incluía el token de autenticación almacenado del usuario. Un atacante podía crear un enlace malicioso que, al ser clicado por un usuario autenticado:

  1. 1.Redirigía la Control UI a un gateway controlado por el atacante
  2. 2.Exfiltraba el token de autenticación a través del handshake WebSocket
  3. 3.Usaba el token robado para ejecutar comandos arbitrarios en la instancia OpenClaw de la víctima

La barrera de explotación era baja. Sin herramientas especiales necesarias — solo una URL manipulada enviada por correo, chat o redes sociales. El parche llegó en v2026.1.29 el 30 de enero de 2026. No se confirmó explotación activa, pero la simplicidad del vector de ataque encendió las alarmas.

Las cifras: 42.900 instancias expuestas

El equipo STRIKE de SecurityScorecard realizó un escaneo global y encontró 42.900 instancias de OpenClaw expuestas a internet público en 82 países. De esas, 15.200 eran vulnerables a ejecución remota de código — es decir, no habían sido parcheadas o funcionaban con configuraciones por defecto que las dejaban abiertas.

Para ponerlo en perspectiva: 15.200 máquinas que cualquier persona en internet podría potencialmente tomar el control con una sola petición HTTP.

Por separado, investigadores de Giskard demostraron fugas de datos y vulnerabilidades de inyección de prompts en instancias desplegadas. Mostraron que un prompt cuidadosamente elaborado podía extraer claves API privadas, variables de entorno y otros secretos de un agente OpenClaw en ejecución. En sus pruebas, las claves privadas se extrajeron en menos de cinco minutos.

Quizás lo más preocupante: el 93% de las instancias expuestas públicamente tenían vulnerabilidades críticas de bypass de autenticación. La configuración por defecto, resulta, no es lo suficientemente segura para la exposición pública — algo que la documentación ahora advierte explícitamente.

El problema de los skills maliciosos

El equipo de investigación de Bitdefender analizó ClawHub, el registro público de skills de OpenClaw, y encontró aproximadamente 900 skills maliciosos de un total de unos 4.500 — alrededor del 20% de todos los paquetes publicados.

Estos skills maliciosos iban desde robadores de credenciales disfrazados de herramientas útiles hasta puertas traseras que daban a los atacantes acceso persistente a la máquina host. Algunos eran lo suficientemente sofisticados como para pasar una revisión de código casual, usando payloads ofuscados que solo se activaban después de la instalación.

Esto replica problemas vistos en npm, PyPI y otros registros de paquetes, pero con apuestas más altas: los skills de OpenClaw a menudo se ejecutan con permisos a nivel de sistema y acceso a cuentas de mensajería, claves API y datos personales.

La respuesta de China: Advertencia del MIIT

El Ministerio de Industria y Tecnología de la Información de China (MIIT) emitió un aviso de seguridad específicamente sobre OpenClaw, advirtiendo a las empresas que revisaran cómo sus instancias están expuestas a redes públicas. El aviso no llegó a una prohibición total, pero recomendó:

  • Auditar todos los despliegues de OpenClaw en busca de exposición pública
  • Implementar segmentación de red para aislar las instancias de OpenClaw
  • Revisar los skills instalados en busca de paquetes maliciosos conocidos
  • Actualizar a la última versión parcheada

Esto es notable porque China ha adoptado simultáneamente OpenClaw a nivel de plataforma — Alibaba Cloud, Tencent Cloud, Volcano Engine y Baidu han lanzado servicios de hosting de OpenClaw. La advertencia del MIIT señala que el gobierno ve tanto la oportunidad como el riesgo.

La respuesta de Corea del Sur: Prohibiciones corporativas

Corea del Sur adoptó una postura más agresiva. Varias grandes empresas tecnológicas emitieron prohibiciones internas:

  • Kakao anunció restricciones al uso de OpenClaw en dispositivos de trabajo para proteger activos de información
  • Naver emitió una prohibición interna total de OpenClaw
  • Karrot (당근마켓) bloqueó completamente el acceso a OpenClaw

La respuesta coreana fue impulsada por preocupaciones sobre la exfiltración de datos — específicamente, el riesgo de que un agente de IA con acceso a sistemas corporativos pudiera filtrar información sensible a través de sus integraciones de mensajería. Cuando tu asistente de IA puede leer tu Slack, tu correo y tu calendario, y luego retransmitir información por WhatsApp o Telegram, la superficie de ataque para el espionaje corporativo se amplía drásticamente.

Qué significa la transición a fundación para la seguridad

El 14 de febrero de 2026, el creador de OpenClaw, Peter Steinberger, anunció que se unía a OpenAI, y el proyecto se convertiría en una fundación independiente 501(c)(3) con el respaldo de OpenAI.

Para la seguridad, esto plantea tanto esperanzas como interrogantes:

El caso optimista: Una estructura de fundación con respaldo corporativo podría financiar ingenieros de seguridad dedicados, establecer un equipo formal de respuesta a incidentes, implementar procesos obligatorios de revisión de skills para ClawHub y realizar auditorías de seguridad periódicas. Son cosas que un mantenedor individual o una comunidad de voluntarios difícilmente pueden sostener.

El caso cauteloso: La participación de OpenAI crea un potencial conflicto de intereses. ¿Se tomarán las decisiones de seguridad puramente por mérito técnico, o las consideraciones comerciales influirán en qué se divulga y cuándo? La independencia de la fundación se pondrá a prueba la primera vez que una vulnerabilidad importante afecte los propios intereses de OpenAI.

  • Un equipo de seguridad financiado y a tiempo completo con políticas de divulgación pública
  • Firma de código y revisión obligatoria para los skills de ClawHub
  • Escaneo automatizado de vulnerabilidades en el pipeline CI/CD
  • Un programa de bug bounty con recompensas significativas
  • Auditorías de seguridad periódicas por terceros con resultados publicados

Qué deben hacer los usuarios ahora

Si estás ejecutando OpenClaw, los pasos inmediatos son claros:

  1. 1.**Actualizar**: Asegúrate de estar en v2026.2.21 o posterior
  2. 2.**No exponer a internet público**: Usa una VPN o túnel SSH para el acceso remoto
  3. 3.**Auditar tus skills**: Revisa cada skill instalado, especialmente los de autores desconocidos
  4. 4.**Habilitar autenticación**: No ejecutes con credenciales por defecto
  5. 5.**Monitorear logs de acceso**: Vigila patrones de conexión inusuales
  6. 6.**Segmentación de red**: Aísla tu instancia de OpenClaw de los sistemas sensibles

El panorama general

Los desafíos de seguridad de OpenClaw no son únicos — son los dolores de crecimiento inevitables de cualquier proyecto de código abierto que pasa de proyecto de fin de semana a infraestructura crítica en tres meses. npm tuvo paquetes maliciosos. Docker Hub tuvo criptomineros. PyPI tuvo ataques de typosquatting.

Lo diferente aquí son las apuestas. Los agentes de OpenClaw tienen acceso a cuentas de mensajería, correo electrónico, calendarios, dispositivos de hogar inteligente y potencialmente sistemas corporativos. Una instancia de OpenClaw comprometida no es solo un servidor hackeado — es una vida digital comprometida.

La transición a fundación es la mejor oportunidad del proyecto para construir la infraestructura de seguridad que necesita. Que ese potencial se materialice depende de cuán en serio la nueva estructura de gobernanza tome la seguridad como una prioridad de primer orden, no como algo secundario.

Seguiremos monitoreando este espacio e informando sobre los desarrollos a medida que ocurran.

arrow_back

Anterior

Más allá de OpenAI: cómo los LLM chinos impulsan los agentes de OpenClaw

Siguiente

La apuesta por el ecosistema Apple: OpenClaw en iOS, macOS y más allá

arrow_forward
Compartir en: share code
star Star on GitHub

Mantente al día

Recibe novedades sobre nuevas funciones e integraciones. Sin spam, cancela cuando quieras.