Alerta roja en OpenClaw: Descubren cómo convertir agentes de IA en "agentes dobles" para robar datos de Gmail

Fecha: 18 de febrero de 2026

La comunidad de ciberseguridad ha lanzado una advertencia urgente para los más de un millón de usuarios de OpenClaw. Lo que comenzó como la herramienta de automatización más prometedora del año se ha convertido en un vector de ataque crítico. Investigadores de firmas como ESET, Check Point y Bitdefender han confirmado la existencia de una vulnerabilidad que permite a atacantes externos transformar estos asistentes en "agentes dobles" capaces de exfiltrar correos electrónicos, claves privadas y datos sensibles sin que el usuario lo note.

El "Efecto Agente Doble": ¿Cómo funciona el ataque?

El problema radica en la propia naturaleza autónoma de OpenClaw. Al tener permisos para leer y gestionar bandejas de entrada de Gmail y Outlook, los atacantes están utilizando una técnica denominada "Indirect Prompt Injection" (Inyección de instrucciones indirecta).

El proceso es alarmantemente sencillo:

1. El señuelo: El atacante envía un correo electrónico al usuario que contiene instrucciones ocultas o invisibles para el ojo humano, pero legibles para la IA.

2. La ejecución: Cuando el agente de OpenClaw escanea la bandeja de entrada para "resumir el día" u "organizar tareas", lee las instrucciones maliciosas.

3. La traición: Estas instrucciones ordenan al agente reenviar correos específicos a un servidor externo, descargar archivos adjuntos confidenciales o incluso borrar el rastro de la actividad para que el usuario no sospeche.

ClawHub bajo sospecha: "Skills" maliciosas en el mercado

Más allá de los correos, el repositorio de extensiones de la plataforma, conocido como ClawHub, se ha convertido en un campo minado. Según un informe reciente de Bitdefender, el 17% de las "skills" (habilidades) disponibles en la primera semana de febrero contenían código malicioso.

Muchas de estas extensiones, disfrazadas de herramientas útiles para la gestión de criptomonedas o notificadores de WhatsApp, instalan en realidad infostealers como Atomic Stealer (AMOS) en macOS o troyanos de acceso remoto en Windows. Se estima que más de 40.000 instancias de OpenClaw están actualmente expuestas en internet debido a configuraciones de red deficientes, permitiendo a hackers tomar el control total del dispositivo del usuario.

La respuesta de OpenAI y recomendaciones de seguridad

Tras el reciente anuncio de la absorción de OpenClaw por parte de OpenAI, Sam Altman ha asegurado que la seguridad será la prioridad absoluta. Se espera un parche masivo (versión 2026.2.x) que implementará un sistema de "Sandboxing" más estricto y confirmaciones obligatorias para acciones que involucren salida de datos externos.

Mientras tanto, los expertos recomiendan a los usuarios de OpenClaw:

• Desactivar el acceso automático a Gmail hasta actualizar a la última versión.

• Revisar los permisos de cada "skill" instalada en el panel de control.

• No exponer el puerto local de OpenClaw a internet sin una VPN o autenticación robusta.

Fuentes: ESET España, Check Point Research, Bitdefender News, The Hacker News, Xataka, Silicon.es, Kaspersky Blog.