Dentro de la Garra: Cómo una falla oculta en OpenClaw permitió a hackers tomar el control de asistentes de IA

Todo comenzó como un cuento de hadas: OpenClaw, un agente de IA de código abierto para desarrolladores, saltó a la fama de la noche a la mañana, ganando más de 100,000 seguidores en GitHub e incluso captando la atención de la élite de la IA. Pero bajo el entusiasmo, acechaba un depredador silencioso. Investigadores de Oasis Security han revelado cómo cualquier sitio web podía tomar el control, sin que nadie lo notara, del asistente de IA de un usuario - sin malware, sin advertencias, solo una explotación ingeniosa de la confianza mal colocada.

Anatomía de un secuestro silencioso

El ascenso de OpenClaw fue meteórico, pero su arquitectura ocultaba una bomba de tiempo. La puerta de entrada del software, diseñada para la comodidad del desarrollador, partía de una suposición peligrosa: si una solicitud venía del propio ordenador del usuario (localhost), debía ser legítima. Pero, como descubrió Oasis Security, esta confianza era fácil de abusar.

Los WebSockets - conexiones persistentes diseñadas para transferencias de datos rápidas - se convirtieron en el vector de ataque. Cuando un desarrollador visitaba un sitio web malicioso, un script oculto podía iniciar silenciosamente una conexión WebSocket con el agente OpenClaw que se ejecutaba en segundo plano. El software, al ver una solicitud local, la aceptaba sin hacer preguntas. El usuario nunca veía una ventana emergente, advertencia o alerta.

Aún peor, OpenClaw no imponía límites a los intentos de contraseña desde localhost. En su prueba de concepto, los investigadores forzaron cientos de contraseñas por segundo. Una vez dentro, los atacantes obtenían derechos de administrador, accediendo a datos sensibles como mensajes de Slack, claves API y archivos privados. Todo lo que hacía falta era un solo clic descuidado.

El parche y el panorama general

Hay que reconocer la rapidez del equipo de OpenClaw: una solución llegó en menos de 24 horas, cerrando la brecha. Pero el incidente ha hecho sonar las alarmas en todo el mundo de la ciberseguridad. Diana Kelley, CISO en Noma Security, recalcó que “local no significa automáticamente seguro”, instando a las organizaciones a revisar cómo sus herramientas de IA gestionan la autenticación. Randolph Barr, de Cequence Security, señaló que la adopción acelerada puede dejar a la seguridad rezagada, y Mark McClain, de SailPoint, advirtió que los agentes de IA deben ser tratados ahora como identidades plenas dentro de cualquier marco de seguridad.

Conclusión: El nuevo rostro de la identidad digital

La saga de ClawJacked es más que una advertencia para los fans de OpenClaw. Es una llamada de atención para cualquiera que construya o adopte agentes de IA: estas herramientas no son solo bots útiles - son extensiones poderosas y siempre activas de nosotros mismos, operando con nuestros privilegios y accesos. A medida que la línea entre usuario y agente se difumina, la seguridad debe avanzar al mismo ritmo, o el próximo cuento de hadas podría convertirse en una pesadilla de ciberseguridad.

WIKICROOK

• WebSocket: WebSocket es un protocolo que mantiene un canal abierto entre tu navegador y un servidor, permitiendo el intercambio de mensajes en tiempo real y en ambas direcciones.
• Localhost: Localhost es la dirección especial 127.0.0.1 que apunta a tu propio ordenador, utilizada para pruebas y comunicación interna entre aplicaciones.
• Brute: Un ataque de fuerza bruta es un método automatizado de hackeo donde los atacantes prueban muchas contraseñas o claves hasta encontrar la correcta y obtener acceso no autorizado.
• Admin: Un admin es un usuario o cuenta con privilegios especiales para gestionar y configurar sistemas, lo que los convierte en objetivos clave para amenazas cibernéticas si no están bien protegidos.
• Clave API: Una clave API es un código único que permite a los programas acceder a datos o servicios. Si no se protege adecuadamente, puede suponer un riesgo de ciberseguridad.