Hasta hace muy poco, la inteligencia artificial (IA) era como un sabio encerrado en una caja de cristal. Tú te acercabas a la caja de ChatGPT, Gemini, Claude y le hacías una pregunta compleja, y el sabio te daba una respuesta brillante. Pero si le pedías “por favor, ve a la cocina y prepárame un café”, el sabio te miraba y decía: “Lo siento, no tengo cuerpo. Solo tengo palabras”.

Un desarrollador austriaco llamado Peter Steinberger rompió esa caja de cristal en noviembre de 2025 cuando publicó un proyecto de código abierto que, tras dos cambios de nombre por problemas de marca registrada, terminó llamándose OpenClaw. En 72 horas acumuló 60,000 estrellas en GitHub. Hoy tiene más de 145,000. DigitalOcean ofrece despliegue con un solo clic y Alibaba, Tencent y ByteDance en China lo adaptaron para sus plataformas. Cisco, Trend Micro y Palo Alto Networks, junto a media docena de firmas de ciberseguridad, publicaron informes de vulnerabilidad en cuestión de semanas. 

Esto no es un juguete de nicho, sino un fenómeno global adoptado más rápido de lo que los sistemas de seguridad pueden reaccionar. Para entender lo que pasa, hay que entender la diferencia entre un chatbot y un agente, que es la diferencia entre un bibliotecario y un mayordomo. El chatbot es el bibliotecario: tú le dices “quiero viajar a Roma” y él te da una lista de vuelos, hoteles y restaurantes, pero tú tienes que abrir el navegador, llenar formularios y poner tu tarjeta. Tú haces el trabajo.

El agente es el mayordomo al que le dices “quiero ir a Roma, presupuesto de $1.000 dólares, arréglalo” y él se sienta en tu silla, toma tu mouse, abre el navegador, compara precios, llena los formularios y te dice “ya tienes los boletos en tu correo”. OpenClaw es ese mayordomo y su creador lo describe como “la IA que realmente hace cosas”. Navega la web, lee y escribe archivos, ejecuta comandos de sistema, gestiona tu correo, actualiza tu calendario, envía mensajes por WhatsApp o Telegram, y funciona 24 horas al día con un sistema de tareas programadas que le permite actuar sin que nadie se lo pida.

¿Cómo sabe dónde hacer clic? Incluye un navegador Chrome integrado con control en el ámbito de píxel y toma capturas de pantalla, las analiza visualmente y dice: “Ahí hay un botón azul que dice comprar”. No necesita APIs ni permiso del dueño de la web. Si un humano puede verlo, OpenClaw puede usarlo. OpenAI, Anthropic y Google tienen tecnologías similares, pero todas viven en la nube, controladas por corporaciones con filtros de seguridad y listas de sitios prohibidos. OpenClaw vive en tu computadora, sin filtros corporativos o interruptor central en California. Uno de sus propios mantenedores advirtió en Discord: “Si no entiendes cómo ejecutar una línea de comandos, este proyecto es demasiado peligroso para que lo uses de forma segura”.

Y lo que ya ocurrió en las primeras semanas de adopción masiva le da la razón. Un investigador descubrió una vulnerabilidad crítica que permitía ejecutar código remoto en la máquina de cualquier usuario con un solo enlace malicioso. Cisco analizó una de las extensiones más populares del repositorio comunitario y encontró nueve vulnerabilidades, incluyendo exfiltración silenciosa de datos hacia servidores externos. La firma Koi Security auditó el repositorio de extensiones y encontró 341 habilidades maliciosas, incluyendo keyloggers, puertas traseras y malware para macOS, entre más de 2.800 examinadas. 

Un análisis más amplio reveló que más de una de cada cuatro extensiones de agente contenía algún tipo de vulnerabilidad. Zenity demostró cómo convertir a OpenClaw en un espía permanente modificando su archivo de memoria persistente, algo que no explota ningún bug, sino que usa las funciones del sistema exactamente como fueron diseñadas. Token Security encontró que el 22% de los clientes empresariales ya tenían despliegues no autorizados instalados por empleados que nadie en seguridad sabía que existían.

Como si la historia necesitara un giro más extraño, un agente de OpenClaw construyó Moltbook, una red social exclusivamente para agentes de IA donde los humanos solo pueden observar. Afirma tener 1,6 millones de agentes registrados, aunque un solo bot registró 500.000 cuentas falsas porque nadie implementó controles básicos. La plataforma fue construida enteramente por IA y su fundador admitió no haber escrito una línea de código; asimismo, la firma Wiz encontró que la base de datos estaba accesible sin autenticación, exponiendo claves de API de todos los agentes. Andrej Karpathy, exdirector de IA en Tesla, lo resumió así: “Es un incendio en un contenedor de basura, y definitivamente no recomiendo que la gente ejecute esto en sus computadoras”. Pero añadió que no estaba exagerando el potencial de las redes de agentes autónomos a gran escala.

El verdadero peligro no es técnico, sino operativo, porque una sola langosta no es un problema; un millón devoran una cosecha en una hora. Un individuo con malas intenciones puede desplegar decenas de agentes que llenen formularios judiciales con datos reales extraídos de filtraciones, colapsando un juzgado no tecnológicamente, sino humanamente. Puede crear cuentas en sitios de reseñas, comportarse como usuario normal durante días para construir credibilidad y luego destruir la reputación de un negocio con reseñas negativas calibradas emocionalmente que ningún filtro antibot detectará. Estos vectores de ataque no son completamente nuevos, pero OpenClaw elimina la barrera de entrada; ya no necesitas saber programar, le dices al agente en lenguaje natural qué quieres y él navega como un humano.

Los números de fondo validan la preocupación. Más del 50% del tráfico de internet ya es generado por bots. El tráfico de bots de IA creció más del 300% en 2025. Ahrefs estima que el 74% de las páginas web nuevas son generadas por IA. Y todo esto ocurrió antes de que los agentes con navegación visual alcanzaran adopción masiva. Visa desarrolla un protocolo de verificación para agentes y Amazon lanzó un sistema de identidad criptográfica. Cloudflare migró hacia defensas conductuales invisibles y la industria sabe lo que viene. Pero las defensas robustas tienden a hacer la web más incómoda para los humanos, y ahí está la paradoja.

El problema fundamental es la asimetría porque defenderse es caro, lento y requiere coordinación entre empresas, gobiernos y estándares técnicos. Atacar es barato, rápido y solo requiere descargar un repositorio. No estamos ante una tecnología inherentemente malvada, sino que OpenClaw automatiza tareas legítimas con una elegancia que las grandes corporaciones no lograron. Pero hemos creado simultáneamente una herramienta que libera y un arma que destruye. Las 341 extensiones maliciosas aparecieron antes de que existiera un escáner para detectarlas. El 22% de las empresas tenían despliegues no autorizados antes de que sus departamentos de seguridad supieran que el software existía.

Cualquiera que sepa seguir un tutorial tiene las llaves de este ejército. Y ese es, precisamente, el problema.

Las cosas como son