De la magia al malware: ¿cómo la función de agentes de Openclaw terminó transportando malware?

He modificado un poco el título. El título exacto en inglés sería algo así como: 'De la magia al malware: cómo las habilidades de agentes de OpenClaw se convierten en una superficie de ataque'.

Es un artículo del 2 de febrero de 2026 y me pareció bueno compartirlo para que lo lean.

De la magia al malware: cómo las habilidades de agentes de OpenClaw se convierten en una superficie de ataque

Introducción: por qué el poder de los agentes también se convierte en riesgo

Hace unos días publiqué un texto sobre por qué OpenClaw se siente como un portal al futuro, y por qué ese futuro da miedo de una manera muy concreta.

En resumen: los gateways de agentes como OpenClaw son poderosos porque realmente pueden acceder a tus archivos, herramientas, navegador, terminal y a archivos de "memoria" de largo plazo que contienen tu forma de pensar y tu trabajo. Esa combinación coincide exactamente con lo que buscan los infostealers modernos.

Este texto es esa incómoda secuela de "y al final sí pasó".

El problema no es solo que los agentes puedan ser peligrosos después de instalarlos. El propio ecosistema que distribuye las funciones y el registro de habilidades de los agentes ya se convirtió en una superficie de ataque.

⚠️ Advertencia: no uses OpenClaw en equipos de la empresa

Si estás experimentando con OpenClaw, jamás lo hagas en un equipo corporativo. Esto es categórico.

En mi primer artículo describí OpenClaw como una especie de trato fáustico. Lo atractivo de OpenClaw es precisamente que tiene acceso real a tu máquina local, tus apps, tus sesiones del navegador, tus archivos y tu memoria de largo plazo. Pero ese mismo nivel de acceso significa que todavía no existe una forma segura de ejecutarlo en una máquina que tenga credenciales corporativas o acceso a sistemas de producción.

Si ya ejecutaste OpenClaw en un equipo de trabajo, trátalo como un incidente de seguridad potencial y contacta de inmediato a tu equipo de seguridad. No esperes a que aparezcan síntomas. Deja de trabajar en esa máquina y sigue el procedimiento de respuesta a incidentes de tu organización.

Las habilidades no son más que archivos Markdown, y ese es justamente el problema

En el ecosistema de OpenClaw, una "habilidad" suele ser un archivo Markdown. Es una guía de una página que le dice al agente cómo realizar una tarea especializada. En la práctica, ese Markdown puede incluir enlaces, comandos para copiar y pegar, recetas de llamadas a herramientas y más.

Parece inofensivo hasta que piensas en cómo las personas y los agentes consumen realmente los documentos:

• "Aquí están los prerrequisitos".
• "Ejecuta este comando".
• "Instala esta dependencia clave".
• "Pega esto en la terminal".

En el ecosistema de agentes, Markdown no es solo "contenido". Markdown es un instalador.

Un malentendido peligroso: "MCP hace seguras las habilidades"

Algunas personas asumen que la capa MCP (Model Context Protocol) hace esto más seguro, porque las herramientas se exponen mediante interfaces estructuradas y, según la implementación del host y del servidor, puede haber consentimiento explícito del usuario y controles de autorización.

Pero las habilidades no necesitan usar MCP en absoluto.

La especificación de habilidades de agentes no impone ninguna restricción sobre el cuerpo en Markdown, y una habilidad puede incluir cualquier instrucción que "ayude al agente a realizar la tarea". Eso incluye comandos de terminal para copiar y pegar. Además, las habilidades pueden empaquetar scripts junto con el Markdown, de modo que la ejecución puede ocurrir fuera de los límites de las herramientas MCP.

Así que, si tu modelo de seguridad es "MCP controlará las llamadas a herramientas", todavía puedes caer ante una habilidad maliciosa que evita MCP mediante ingeniería social, instrucciones directas de shell o código empaquetado. MCP puede ser parte de un sistema seguro, pero por sí solo no garantiza seguridad.

Igualmente importante es que este no es un problema exclusivo de OpenClaw. Las "habilidades" son cada vez más portables a medida que muchos agentes adoptan el formato abierto Agent Skills. En ese formato, una habilidad es una carpeta centrada en un archivo SKILL.md con metadatos e instrucciones de forma libre, y también puede empaquetar scripts y otros recursos. La documentación de OpenAI también describe la misma estructura básica (SKILL.md + scripts y assets opcionales). Esto significa que una "habilidad" maliciosa no es solo un problema de OpenClaw, sino un mecanismo de distribución que puede propagarse a cualquier ecosistema de agentes que soporte el mismo estándar.

Lo que encontré: la habilidad más descargada era un vehículo de entrega de malware

Mientras revisaba ClawHub (no pondré el enlace por razones obvias), encontré que la habilidad más descargada en ese momento era una habilidad de "Twitter". Parecía normal. Descripción, uso previsto, resumen; era el tipo de cosa que uno instalaría sin pensarlo mucho.

Pero lo primero que hacía esa habilidad era presentar una "dependencia obligatoria" llamada openclaw-core y ofrecer pasos de instalación por plataforma. Entre esos pasos había enlaces convenientes que parecían documentación normal ("here", "this link").

Pero no eran enlaces normales.

Ambos enlaces llevaban a infraestructura maliciosa. Era una cadena de entrega por etapas bastante típica:

1. El resumen de la habilidad indica instalar prerrequisitos.
2. Los enlaces llevan a una página de staging diseñada para que el agente ejecute comandos.
3. Esos comandos decodifican y ejecutan una carga útil ofuscada.
4. La carga útil descarga un script de segunda etapa.
5. El script descarga y ejecuta un binario, incluyendo la eliminación del atributo de cuarentena de macOS para evitar que Gatekeeper, el sistema antimalware integrado de macOS, lo analice.

No voy a pegar aquí los comandos exactos ni las URL a propósito. El mecanismo es, por desgracia, simple, y repetirlo ayudaría más a atacantes que a defensores. Lo importante es que esto no era un simple "enlace sospechoso". Era una cadena completa de ejecución disfrazada de instrucciones de instalación.

Confirmado: malware tipo infostealer

Descargué el binario final de forma segura y lo envié a VirusTotal.

El resultado no dejó lugar a dudas. Fue identificado como malware infostealer para macOS.

No es malware que simplemente "infecta una computadora". Saquea todo lo valioso del dispositivo:

• sesiones y cookies del navegador
• credenciales guardadas y datos de autocompletado
• tokens de desarrollador y claves API
• claves SSH
• credenciales de nube
• cualquier cosa que pueda convertirse en toma de cuentas

Si eres el tipo de persona que instala habilidades de agentes, tu máquina es exactamente el tipo de objetivo que vale la pena robar.

No fue un hecho aislado. Fue una campaña organizada

Después de compartir esto internamente, una cobertura más amplia dejó ver la escala. Se reportó que cientos de habilidades de OpenClaw estuvieron involucradas en la distribución de malware para macOS mediante instrucciones al estilo ClickFix.

Este detalle importa porque confirma lo que realmente es esto.

No es una única carga maliciosa aislada.

Es una estrategia deliberada: usar las "habilidades" como canal de distribución y los "prerrequisitos" como empaque de ingeniería social.

Cuando lo "útil" se vuelve hostil en el mundo de los agentes

Llevamos años aprendiendo que los package managers y los registros de código abierto pueden convertirse en vectores de ataque a la cadena de suministro.

Los registros de habilidades de agentes son el siguiente capítulo. La diferencia es que aquí el "paquete" es, en esencia, documentación.

Y eso vuelve la ruta de ataque todavía más fluida:

• la gente no espera que un archivo Markdown sea peligroso;
• la gente está entrenada para seguir rápido los pasos de instalación;
• la gente confía en "más descargado" como sustituto de legitimidad;
• en el ecosistema de agentes, se derrumba la frontera entre leer instrucciones y ejecutarlas.

Incluso si un agente no puede ejecutar comandos de shell directamente, igual puede hacer cosas peligrosas. Puede normalizar conductas riesgosas.

Puede resumir prerrequisitos maliciosos con confianza como si fueran "pasos estándar de instalación". Puede empujar a pegar one-liners. Puede reducir la vacilación.

Y si tu agente sí puede ejecutar comandos locales, una habilidad maliciosa no es "contenido malo". Es ejecución remota de código envuelta como documentación amigable.

Qué hacer ahora mismo

Si estás usando OpenClaw o un registro de habilidades

No lo ejecutes en equipos corporativos. No hay una forma segura. Si ya lo hiciste o ejecutaste comandos de "instalación" desde una habilidad, contacta de inmediato a tu equipo de seguridad y trátalo como una posible intrusión.

• detén el trabajo sensible en ese equipo;
• rota primero sesiones y secretos: sesiones del navegador, tokens de desarrollador, claves SSH, sesiones de consola en la nube;
• revisa los inicios de sesión recientes: correo, control de código fuente, nube, CI/CD, consolas administrativas.

Si aun así quieres experimentar, usa una máquina aislada sin acceso corporativo y sin credenciales guardadas.

Si operas un registro de habilidades

Estás operando una app store. Asume que van a abusar de ella.

• escanea comandos one-liner de instalación, cargas útiles codificadas, eliminación de cuarentena y archivos protegidos con contraseña;
• agrega verificación de procedencia y sistemas de reputación para publicadores;
• añade advertencias y fricción en enlaces externos y pasos de instalación;
• revisa las habilidades mejor posicionadas y elimina rápido las maliciosas.

Aquí, Markdown es intención ejecutable.

Si construyes frameworks de agentes

Asume que las habilidades se van a convertir en armas.

• bloquea por defecto la ejecución de shell (default-deny);
• aplica sandbox al acceso al navegador, keychain y almacenes de credenciales;
• haz que los permisos sean específicos, limitados en el tiempo y revocables;
• añade fricción a la ejecución de código y comandos remotos;
• registra de extremo a extremo la procedencia y el comportamiento.

Diseñar para el futuro: la capa de confianza que los agentes necesitan

Esta es la evidencia más clara de lo que sostuve en mi artículo anterior. OpenClaw es poderoso porque colapsa la distancia entre intención y ejecución. Esa es la magia. Pero también implica un riesgo considerable. Cuando las capacidades se distribuyen como habilidades y se instalan a través de documentación, el registro se convierte en cadena de suministro, y la ruta de instalación más fácil se vuelve la favorita de los atacantes.

La respuesta no es dejar de construir agentes. La respuesta es construir la capa de confianza que falta alrededor de los agentes. Las habilidades necesitan pruebas de procedencia. La ejecución necesita mediación. Los permisos deben ser específicos, revocables y aplicarse de forma continua; no deben otorgarse una vez y luego olvidarse. Si los agentes van a actuar en nuestro nombre, las credenciales y las acciones sensibles no pueden quedar disponibles para que "se las lleve" cualquier código que justo esté ejecutándose. Deben estar mediadas, administradas y auditadas en tiempo real.

Por eso necesitamos esa siguiente capa. En un mundo donde las "habilidades" se convierten en cadena de suministro, el único futuro seguro es uno en el que cada agente tenga su propia identidad, posea solo los privilegios mínimos que necesita en ese momento y ese acceso sea limitado en el tiempo, revocable y rastreable.