Blogs y artículos

⚠️ OpenClaw: por qué los expertos en ciberseguridad recomiendan asumir que está comprometido
08 avril 2026
Autor Peter Senn
#OpenClaw #ciberseguridad #agentes IA #CVE #Docker #seguridad PYME #ClawHub #vulnerabilidad #cadena de suministro #escalada de privilegios
  • Mis à jour le:

    • ⚠️ OpenClaw: por qué los expertos en ciberseguridad recomiendan asumir que está comprometido

    🔄 Actualización 20 de abril de 2026: la versión mínima recomendada ahora es OpenClaw ≥ 2026.4.14 (y no 2026.3.28). El lote de parches de abril de 2026 agregó al menos 13 nuevas CVE, incluidas CVE-2026-35639 (CVSS 8.7), CVE-2026-34511 (OAuth PKCE), CVE-2026-35636 (secuestro de sessionId) y CVE-2026-40037 (SSRF cross-origin). El ritmo de publicación de las CVE no se está desacelerando: la postura de "asumir que está comprometido" es más relevante que nunca.
     
    Alerta activa: Esta alerta se aplica a todas las versiones de OpenClaw anteriores a 2026.4.14. Si aún no ha actualizado, trate su entorno como potencialmente comprometido.

    OpenClaw (anteriormente Clawdbot y luego Moltbot, renombrado en enero de 2026) es un framework de agente de IA de código abierto que permite que un asistente de IA actúe en nombre de un usuario (archivos, Slack, Discord, Telegram, compras en línea) utilizando sus propios accesos y permisos. Lanzado en noviembre de 2025, alcanzó 347 000 estrellas en GitHub en menos de seis meses. También en cinco meses, se le asociaron 138 CVE, incluidas 7 críticas y 49 de severidad alta. Si usted o su equipo utilizan OpenClaw, la postura recomendada por los expertos es inequívoca: asuma que está comprometido.

    Puntos clave para recordar

    • CVE-2026-25253 (CVSS 8.8): RCE con 1 clic a través de WebSocket, 35.4% de las implementaciones observadas vulnerables a RCE
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): control de administrador sin credenciales
    • 12% de las skills de ClawHub maliciosas en febrero de 2026 (341 de 2857) — 824+ activas al 3 de abril de 2026 (campaña ClawHavoc)
    • +135 000 instancias expuestas en 82 países, incluidas 63% sin autenticación (SecurityScorecard STRIKE, febrero de 2026)
    • Microsoft desaconseja cualquier implementación en un puesto que contenga datos confidenciales (19/02/2026)
    • Versión mínima recomendada: 2026.4.14

    ¿Qué es OpenClaw?

    OpenClaw (anteriormente Clawdbot y luego Moltbot, tres nombres sucesivos en enero de 2026) es un framework de agente de IA de código abierto que permite que un asistente de IA automatice acciones en nombre de un usuario humano: acceso a archivos locales y de red, mensajería de Slack y Discord, gestión de Telegram, transacciones en línea, ejecución de tareas en servicios de terceros, utilizando los mismos derechos y credenciales que el usuario.

    Lanzado en noviembre de 2025, OpenClaw alcanzó 347 000 estrellas en GitHub en menos de seis meses. Su popularidad es viral. Su modelo de seguridad, sin embargo, es fundamentalmente frágil: el agente tiene los mismos derechos que el usuario, conectado a todos sus servicios. Una falla no compromete un componente aislado, sino que compromete todo a lo que el agente tenía acceso.

    Cronología de incidentes (noviembre de 2025 – abril de 2026)

    Fecha Incidente Severidad
    Noviembre de 2025 Lanzamiento de OpenClaw (ex-Clawdbot, luego Moltbot, renombrado OpenClaw en enero de 2026), adopción viral — 347 000 ⭐ GitHub
    29 de enero – 3 de febrero de 2026 CVE-2026-25253 (CVSS 8.8): RCE con 1 clic a través de WebSocket local. Parche v2026.1.29 publicado el 29 de enero de 2026; divulgación pública el 3 de febrero de 2026. 35.4% de las implementaciones observadas vulnerables a RCE. 🔴 Crítico
    Febrero de 2026 Campaña ClawHavoc (Koi Security): 341 skills maliciosas de 2857 auditadas (12%) — keyloggers y credential stealers 🔴 Crítico
    19 de febrero de 2026 Microsoft Security Blog: guía oficial que desaconseja la implementación en cualquier puesto que contenga datos confidenciales 🟠 Alerta
    Marzo de 2026 CVE-2026-22172 (CVSS 9.9): auto-declaración de scopes de administrador a través de WebSocket — todas las versiones anteriores a 2026.3.12 🔴 Crítico
    19 de marzo de 2026 CVE-2026-32038: evasión del aislamiento de red de Docker a través de network=container:. Corregido en OpenClaw 2026.2.24 🔴 Crítico
    13-29 de marzo de 2026 CVE-2026-32922 (CVSS 9.9): escalada a través de device.token.rotate. Parche v2026.3.11 publicado el 13 de marzo; publicación de CVE el 29 de marzo. +135 000 instancias expuestas en 82 países, 63% sin autenticación (SecurityScorecard STRIKE, febrero de 2026; retomado por ARMO, marzo de 2026) 🔴 Crítico
    3 de abril de 2026 Ars Technica: "Assume compromise" — 3 nuevas vulnerabilidades de severidad alta a crítica, incluida CVE-2026-33579 (CVSS hasta 9.8). 824+ skills maliciosas activas 🔴 Crítico

    138 CVE rastreadas entre febrero y abril de 2026 — incluidas 7 críticas y 49 de severidad alta (rastreador de GitHub jgamblin/OpenClawCVEs; análisis retomado por Blink Security, abril de 2026)

    Las 5 vulnerabilidades principales descifradas

    CVE-2026-25253 — Ejecución de código remoto con 1 clic (CVSS 8.8)

    RCE (Remote Code Execution): vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en la máquina de destino, sin acceso físico ni interacción del usuario más allá de una simple visita a una página web maliciosa.

    La vulnerabilidad explota el gateway WebSocket de OpenClaw (puerto 18789 por defecto, validación de origen insuficiente). Una simple visita a una página manipulada fue suficiente para comprometer la máquina. 35.4% de las implementaciones observadas fueron vulnerables a RCE (SecurityScorecard STRIKE, febrero de 2026). El parche v2026.1.29 se publicó el 29 de enero de 2026, 5 días antes de la divulgación pública del 3 de febrero de 2026 (ProArch Security, marzo de 2026).

    CVE-2026-22172 — Declaración de administrador a través de WebSocket (CVSS 9.9)

    Los clientes de WebSocket podían autodeclararse con scopes de administrador, eludiendo por completo la autenticación. Afecta a todas las versiones anteriores a 2026.3.12.

    CVE-2026-32038 — Evasión del aislamiento de red de Docker (corregida en OpenClaw 2026.2.24)

    A través del parámetro network=container:, un agente accedía al namespace de red de otros contenedores: base de datos, servicios internos, API privadas. Requería un acceso de operador de confianza previo.

    CVE-2026-32922 — Escalada a través de device.token.rotate (CVSS 9.9)

    Más de 135 000 instancias expuestas en Internet en 82 países, incluidas 63% sin ninguna autenticación (SecurityScorecard STRIKE, febrero de 2026; retomado por ARMO Security, marzo de 2026)

    La función device.token.rotate no restringía los scopes de los nuevos tokens generados. Un atacante con el nivel de permiso más bajo obtenía un control de administrador completo. El parche se publicó en la versión 2026.3.11 el 13 de marzo de 2026; la CVE se publicó en cve.org el 29 de marzo de 2026.

    CVE-2026-33579 — Escalada a través de /pair approve (CVSS hasta 9.8)

    El comando /pair approve no transmitía los scopes de seguridad del solicitante en la verificación de autorización central. Parcheado en la versión 2026.3.28. La puntuación CVSS oficial aún no ha sido publicada por NVD en la fecha de este artículo; la puntuación "hasta 9.8" es informada por Ars Technica y Blink Security (abril de 2026).

    La cadena de suministro de ClawHub: 824+ skills maliciosas activas

    Credential stealer: software malicioso que captura y exfiltra silenciosamente las credenciales de autenticación (tokens OAuth, claves API, variables de entorno) a servidores controlados por el atacante, sin ninguna acción visible del usuario.

    En febrero de 2026, investigadores de Koi Security detectaron la campaña ClawHavoc: skills distribuidas a través de ClawHub oficial, disfrazadas de herramientas de productividad (Gmail, Notion, Slack, GitHub), que incorporaban código malicioso.

    Cifras clave (Koi Security, febrero de 2026): 341 skills maliciosas identificadas de 2857 auditadas (12%), incluidas 335 atribuidas a la misma campaña ClawHavoc. Esta cifra ha aumentado desde entonces: 824+ skills maliciosas activas enumeradas al 3 de abril de 2026 (Blink Security, abril de 2026), incluidos keyloggers y credential stealers dirigidos a tokens OAuth, claves API y variables de entorno.

    Docker y VM: una protección insuficiente

    Vector de ataque Docker solo VM dedicada Docker + 5 flags
    CVE-2026-25253 (RCE WebSocket) ⚠️ Parcial
    CVE-2026-32038 (namespace de red) ❌ antes de OpenClaw 2026.2.24
    CVE-2026-22172 (admin scope auto)
    CVE-2026-32922 (device.token.rotate)
    Skills maliciosas de ClawHub ⚠️ Parcial ⚠️ Parcial
    Exploit del kernel (kernel compartido)
    Microsoft Security Blog (19/02/2026): «El runtime puede ingerir texto no confiable, descargar y ejecutar skills de fuentes externas y realizar acciones con las credenciales que se le asignan, sin controles equivalentes sobre la identidad, la gestión de entradas o el scoping de los privilegios. (...) Si una organización determina que OpenClaw debe ser evaluado, debe implementarse únicamente en un entorno completamente aislado: VM dedicada, credenciales no privilegiadas, acceso limitado a datos no confidenciales, monitoreo continuo y plan de reconstrucción.»
    Microsoft Security Blog, 19 de febrero de 2026

    Para recordar: Docker reduce el radio de impacto. No garantiza la invulnerabilidad. Un contenedor Docker comparte el kernel host: una vulnerabilidad del kernel compromete todos los contenedores de la máquina. Docker elude las reglas de UFW modificando iptables directamente: su firewall de VM no protege sus contenedores por defecto.

    Lo que debe hacer ahora

    Actualizaciones obligatorias

    • Actualizar a OpenClaw 2026.4.14 mínimo (cierra CVE-2026-33579)
    • CVE-2026-32922 ya está corregido desde OpenClaw 2026.3.11 (13 de marzo de 2026)
    • OpenClaw ≥ 2026.2.24 cierra CVE-2026-32038

    5 flags de Docker de endurecimiento obligatorios

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # NUNCA montar el socket de Docker (/var/run/docker.sock)

    Firewall y red

    • Configurar UFW a través de las cadenas iptables DOCKER-USER (las reglas UFW estándar no se aplican a los contenedores)
    • Bloquear el puerto 18789 en exposición pública
    • Vincular el gateway WebSocket a 127.0.0.1 únicamente (nunca 0.0.0.0)

    Auditoría y revocación

    • Auditar cada skill instalado desde ClawHub entre noviembre de 2025 y finales de febrero de 2026
    • Revocar y regenerar todos los tokens y claves API conectados a OpenClaw
    • Tratar cada sesión pasada como potencialmente comprometida

    FAQ — Preguntas frecuentes sobre la seguridad de OpenClaw

    ¿Es suficiente actualizar a 2026.4.14 para estar protegido?

    El parche corrige las vulnerabilidades conocidas al 3 de abril de 2026. No corrige lo que potencialmente sucedió durante las semanas de exposición. Si OpenClaw estaba en producción antes del parche, la postura recomendada sigue siendo: revocar todos los tokens, restablecer todas las credenciales, tratar el entorno como potencialmente comprometido.

    ¿Docker me protege de las vulnerabilidades de OpenClaw?

    No, no completamente. CVE-2026-25253 (RCE WebSocket) y CVE-2026-22172 (admin scope) no son mitigadas por Docker solo. CVE-2026-32038 evadía específicamente el aislamiento de red de Docker. Los 5 flags de endurecimiento deben aplicarse además de la actualización a 2026.4.14.

    ¿Cuántas instancias de OpenClaw están expuestas en Internet?

    Según los datos de seguridad de febrero de 2026, más de 135 000 instancias de OpenClaw están expuestas en Internet en 82 países. Entre ellas, 63% funcionan sin ninguna autenticación (SecurityScorecard STRIKE, febrero de 2026; retomado por ARMO Security, marzo de 2026), lo que significa que cualquier visitante de la red puede solicitar un acceso de emparejamiento sin proporcionar credenciales.

    ¿Qué debo hacer si instalé skills desde ClawHub antes de marzo de 2026?

    Auditar cada skill instalado entre noviembre de 2025 y finales de febrero de 2026. Las skills disfrazadas de herramientas de productividad (Gmail, Notion, Slack, GitHub) son particularmente sospechosas. En caso de duda: desinstalar la skill, revocar todas las credenciales a las que OpenClaw tenía acceso, regenerar las claves API asociadas.

    ¿Se puede utilizar OpenClaw de forma segura en una empresa?

    Microsoft Security Blog (19/02/2026): «No es apropiado ejecutarlo en un puesto personal o empresarial estándar. Si una organización determina que OpenClaw debe ser evaluado, debe implementarse únicamente en un entorno completamente aislado: VM dedicada, credenciales no privilegiadas, acceso únicamente a datos no confidenciales, monitoreo continuo y plan de reconstrucción.»

    ¿El problema es específico de OpenClaw o estructural de los agentes de IA?

    El problema es estructural. Un agente de IA que opera con los derechos amplios del usuario, conectado a múltiples servicios, crea una superficie de ataque excepcional. Una falla no compromete un componente aislado, sino que compromete todo a lo que el agente tenía acceso. OpenClaw es un caso de estudio, no una excepción. El modelo actual "un agente, acceso amplio a todo" es fundamentalmente frágil.

    ¿Cuáles son los indicadores de compromiso a monitorear?

    Actividad inusual en sus cuentas de Slack, Discord, Telegram o GitHub; tokens OAuth revocados o regenerados sin acción de su parte; nuevas sesiones activas en servicios a los que OpenClaw tenía acceso; archivos creados, modificados o eliminados sin acción identificable; solicitudes de red salientes a dominios desconocidos desde el servidor que aloja OpenClaw.

    ¿Tiene dudas sobre su postura de seguridad frente a los agentes de IA?
    Nuestros expertos de Bexxo pueden ayudarle con una auditoría o una puesta en conformidad.
    → Contáctenos en bexxo.ch

    Fuentes

    Buscar un artículo

    Categorías

    Agentes IA
    Alertas de seguridad
    Ciberseguridad

    Tags

    #CVE #ClawHub #Docker #OpenClaw #agentes IA #cadena de suministro #ciberseguridad #escalada de privilegios #seguridad PYME #vulnerabilidad

    Más vistos

    ⚠️ OpenClaw: por qué los expertos en ciberseguridad recomiendan asumir que está comprometido
    ⚠️ OpenClaw: por qué los expertos en ciberseguridad recomiendan asumir que está comprometido 08 avr. 2026
    La información presentada en CVE Find proviene de varias fuentes de referencia cuidadosamente seleccionadas. Los datos CVE son proporcionados por MITRE Corporation y la Base de Datos Nacional de Vulnerabilidades (NVD). El catálogo de Vulnerabilidades Explotadas Conocidas (KEV) proviene de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), mientras que las puntuaciones EPSS provienen de FIRST.org. Además, los datos sobre debilidades de software (CWE) y patrones de ataque comunes (CAPEC) son mantenidos por MITRE Corporation, y la información sobre configuraciones de hardware y software (CPE) es proporcionada por la NVD.