Por qué la seguridad es crítica
OpenClaw es un software extraordinario. Con 42,665 estrellas en GitHub y creciendo, se ha convertido en la plataforma de asistente de IA personal de código abierto más popular de la historia. Pero la popularidad tiene una cara oscura: convierte a OpenClaw en un objetivo de alto valor para los atacantes, y la instalación predeterminada es alarmantemente insegura.
Las cifras provienen de una investigación de seguridad independiente realizada a principios de 2026. Mediante escaneos de Shodan y Censys, los investigadores identificaron 42,665 instancias de OpenClaw directamente accesibles desde Internet. De ellas, el 93.4 % no tenía ninguna autenticación configurada — lo que significa que cualquiera con la dirección IP podía enviar mensajes, leer el historial de conversaciones, acceder a las integraciones conectadas y, en muchos casos, ejecutar comandos arbitrarios a través del asistente de IA.
La factura de 6.000 $ de la noche a la mañana no es hipotética. Le ocurrió a un desarrollador que publicó el caso en Reddit en febrero de 2026. Un atacante encontró su instancia expuesta, extrajo las claves API de OpenAI y Anthropic del contexto de la conversación y lanzó peticiones automatizadas contra ambas APIs durante 14 horas antes de que el desarrollador se despertara con las alertas de facturación. Los proveedores de las API le reembolsaron parte, pero no el total. El desarrollador no tenía copias de seguridad y perdió 6 meses de historial de conversaciones y configuraciones personalizadas.
Esto no es una crítica a OpenClaw en sí. El software principal está bien mantenido, activamente desarrollado y sus vulnerabilidades se divulgan de forma responsable cuando se encuentran. El problema es el despliegue. El instalador one-liner de OpenClaw prioriza la facilidad de configuración — estar en marcha en 5 minutos — y deja la configuración de seguridad al usuario. La mayoría de los usuarios no son administradores de sistemas. Siguen la guía rápida, ven que funciona y pasan a otra cosa. Ahí es cuando empieza la cuenta atrás.
La brecha entre "instalado y funcionando" e "instalado y seguro" es exactamente lo que OpenClawPro existe para cerrar. A continuación, detallamos cada paso de nuestra auditoría de seguridad de 12 puntos — el mismo proceso que aplicamos a cada instalación, desde el plan Starter de 299 $.
Nuestra auditoría de seguridad de 12 puntos
Cada instalación de OpenClawPro — desde el plan Starter de 299 $ hasta el nivel Gestionado — recibe este hardening de seguridad completo. Cada punto aborda un vector de ataque específico que hemos observado explotado en el mundo real. Nada es opcional. Nada se omite.
Autenticación SSH solo por clave
Desactive por completo el acceso con contraseña
El SSH con contraseña es el vector de ataque más castigado en cualquier VPS. Bots automatizados martillean el puerto 22 miles de veces por hora, probando contraseñas comunes y haciendo fuerza bruta sobre las débiles. Generamos un par de claves SSH Ed25519 para usted, instalamos la clave pública en su servidor y desactivamos permanentemente PasswordAuthentication en /etc/ssh/sshd_config. Esto hace que los ataques de fuerza bruta sean matemáticamente imposibles — no hay nada que adivinar.
Configuración de Fail2ban
Protección anti-fuerza bruta que banea a los atacantes
Incluso con SSH solo por clave, los bots persistentes malgastan ancho de banda y saturan los logs. Fail2ban vigila los logs de autenticación en tiempo real y banea automáticamente las direcciones IP tras 3 intentos fallidos durante 24 horas. Configuramos jails para SSH, autenticación HTTP y endpoints específicos de OpenClaw. Los reincidentes reciben baneos permanentes. Esto reduce el tráfico malicioso un 95 % durante la primera semana.
Reglas de firewall UFW
Permitir solo los puertos 22, 80 y 443
Un firewall con política default-deny es su primera línea de defensa. Activamos UFW (Uncomplicated Firewall) con denegación por defecto para el tráfico entrante y después permitimos explícitamente solo tres puertos: 22 (SSH), 80 (HTTP para Let's Encrypt) y 443 (HTTPS). Cualquier otro puerto — incluidos los de bases de datos, el daemon Docker, Redis e interfaces de depuración — se descarta silenciosamente. Sin respuesta, sin conexión, sin rastro.
Actualizaciones de seguridad automáticas
unattended-upgrades para parches de zero-day
Los CVEs críticos se parchean en cuestión de horas desde su divulgación, pero solo si su sistema está configurado para aplicarlos. Instalamos y configuramos unattended-upgrades para aplicar automáticamente los parches de seguridad del repositorio oficial de Ubuntu/Debian cada 6 horas. Las actualizaciones de kernel disparan reinicios automáticos durante una ventana de mantenimiento que usted elige (por defecto: 4:00 AM UTC). Se mantiene al día sin mover un dedo.
Sandboxing Docker/Podman
Nunca use el flag --privileged
Ejecutar contenedores con --privileged les da acceso root completo a la máquina host — anula por completo el propósito de la contenerización. Ejecutamos OpenClaw con las capabilities mínimas necesarias (solo NET_BIND_SERVICE), un sistema de archivos raíz de solo lectura siempre que es posible, la opción de seguridad no-new-privileges y red aislada. El contenedor no puede acceder a los dispositivos del host, ni a los módulos del kernel ni a otros contenedores.
Usuario no-root para OpenClaw
Principio del menor privilegio
OpenClaw nunca se ejecuta como root. Creamos un usuario de sistema dedicado (openclaw) sin shell de login, sin acceso a sudo y con propiedad solo de los directorios que necesita. Si un atacante llegara a comprometer el proceso de OpenClaw, quedaría confinado a una cuenta de usuario sin poder, incapaz de escalar privilegios, modificar archivos del sistema o instalar paquetes.
Cifrado de variables de entorno
Permisos de .env fijados en 600
Su archivo .env contiene claves API que valen cientos de dólares — OpenAI, Anthropic, Google, Stripe. Una sola clave filtrada puede generar una factura de 6.000 $ en una noche. Fijamos los permisos del archivo en 600 (lectura/escritura solo para el propietario), propiedad del usuario openclaw. El archivo se excluye de todos los scripts de backup y del control de versiones. También configuramos Docker secrets para los despliegues de producción donde los archivos .env son insuficientes.
Rate limiting en los endpoints API
Previene abusos y sobrecostes
Un endpoint de API de OpenClaw sin protección es una pasarela de IA gratuita para cualquiera que la encuentre. Configuramos rate limiting en nginx a 30 peticiones/minuto para endpoints de chat, 5 peticiones/minuto para endpoints de autenticación y 100 peticiones/minuto para assets estáticos. Los márgenes de burst gestionan los picos legítimos. Headers de rate-limit personalizados indican a los clientes cuántas peticiones les quedan. Las peticiones excesivas reciben respuestas 429, no completions de IA caras.
Configuración de la política CORS
Restringir el acceso cross-origin
Sin configuración CORS, cualquier web de Internet puede hacer peticiones a su instancia de OpenClaw a través del navegador de un visitante. Configuramos headers CORS estrictos: solo sus dominios específicos se aceptan como origen, las credenciales requieren opt-in explícito y las respuestas preflight se cachean durante 24 horas. Esto previene la falsificación de peticiones cross-site (CSRF) y los accesos no autorizados a la API desde sitios maliciosos.
SSL/TLS con auto-renovación
Certificados Let's Encrypt siempre válidos
Cada instalación de OpenClawPro obtiene HTTPS desde el primer día con certificados Let's Encrypt. Configuramos Certbot con renovación automática 30 días antes de la expiración, redirección HTTP-a-HTTPS, headers HSTS con un max-age de 1 año, TLS 1.2 como mínimo (TLS 1.3 preferido) y calificación A+ en SSL Labs. Sin avisos de contenido mixto, sin downtime por expiración del certificado, sin excusas.
Rotación de logs y monitorización
Detectar intrusiones antes de que causen daño
Los logs son las grabaciones de su cámara de seguridad. Configuramos logrotate para todos los logs de OpenClaw, nginx y del sistema con retención de 30 días y compresión. Más importante aún, configuramos la monitorización de logs con alertas: intentos de SSH fallidos por encima del umbral, patrones inusuales de uso de la API, bucles de reinicio de contenedores y avisos de espacio en disco al 80 %. Recibe una notificación en el canal de mensajería que haya configurado (Telegram, Discord, etc.) cuando algo parece sospechoso.
Estrategia de copias de seguridad
Snapshots diarios automatizados
Un incidente de seguridad sin copias de seguridad es una catástrofe. Con copias de seguridad, es una molestia. Configuramos snapshots diarios automatizados de su directorio de datos OpenClaw, volúmenes Docker y archivos de configuración. Las copias se comprimen, se cifran con AES-256 y se almacenan en una ubicación separada (ya sea un directorio diferente para snapshots VPS o un bucket compatible con S3). Conservamos 7 diarias, 4 semanales y 3 mensuales. La restauración se prueba durante la instalación.
Amenazas reales
No son vectores de ataque teóricos. Cada amenaza descrita a continuación se ha observado en el mundo real contra despliegues de OpenClaw en 2025-2026. Las seguimos para que usted no tenga que hacerlo.
ClawHavoc — CVE-2026-25253
CRÍTICO — CVSS 9,8Descubierta en enero de 2026, ClawHavoc es una vulnerabilidad de ejecución remota de código en el handler de conexión del servidor MCP (Model Context Protocol) de OpenClaw. Un servidor MCP malicioso puede inyectar respuestas de herramientas manipuladas que eluden el sanitizado de entrada de OpenClaw, haciendo que la IA ejecute comandos de shell arbitrarios con los permisos del proceso de OpenClaw.
El ataque es devastadoramente simple: un atacante publica un servidor MCP aparentemente útil (una "API del tiempo" o un "ticker de bolsa") en un registry público. Cuando un usuario de OpenClaw se conecta a él, el servidor malicioso devuelve respuestas de herramientas que contienen secuencias de comandos embebidas. OpenClaw las pasa al modelo de IA, que las ejecuta fielmente. El atacante consigue una reverse shell en menos de 30 segundos.
Skills maliciosos en ClawHub
RIESGO ALTOA fecha de marzo de 2026, los investigadores de seguridad han identificado 341 skills maliciosos en ClawHub, el marketplace comunitario de skills de OpenClaw. Van desde skills que cosechan credenciales y exfiltran claves API, hasta cryptominers que consumen silenciosamente la CPU de su servidor, pasando por backdoors que abren reverse shells durante la instalación.
El equipo de ClawHub ha mejorado significativamente la moderación, pero el retraso en la revisión implica que los skills recién publicados pueden permanecer sin verificar durante 48-72 horas. Recomendamos instalar solo skills con más de 100 descargas, distintivos de publicador verificado y código fuente que usted haya revisado personalmente. Las instalaciones de OpenClawPro incluyen una lista blanca curada de 50 skills verificados y auditados.
Ataques de inyección de prompts
RIESGO MEDIOCuando OpenClaw procesa datos externos — correos electrónicos, páginas web, documentos — esos datos pueden contener instrucciones ocultas que manipulan el comportamiento de la IA. Un correo cuidadosamente elaborado podría ordenar a OpenClaw reenviar todos los mensajes futuros a la dirección de un atacante, o una página web maliciosa podría pedirle que revele su system prompt y su configuración de API.
OpenClaw v2026.2+ incluye una detección básica de inyección de prompts, pero no es infalible. Los despliegues de OpenClawPro añaden una capa adicional de sanitizado de entrada y configuran el system prompt con directivas anti-inyección explícitas que reducen significativamente la tasa de éxito de estos ataques.
Robo de tokens por mala configuración OAuth
RIESGO MEDIOOpenClaw se integra con servicios como Google Calendar, GitHub, Notion y Linear mediante tokens OAuth. Un error de configuración habitual es almacenar estos tokens en texto plano en la base de datos SQLite o en un volumen Docker con permisos de archivo demasiado permisivos. Si cualquier otro servicio del servidor se ve comprometido, esos tokens dan acceso a todas las cuentas conectadas.
Peor aún, muchos usuarios configuran tokens OAuth con scopes excesivamente amplios — otorgando "acceso completo" cuando bastaría con "solo lectura". OpenClawPro configura cada integración con el scope mínimo necesario y almacena los tokens en un almacén de credenciales cifrado en lugar de texto plano en la base de datos.
Checklist de verificación de seguridad
Ejecute estos comandos en su servidor ahora mismo para comprobar su postura de seguridad. Cada comando verifica uno de los pasos críticos de hardening. Si algún resultado no coincide con la salida esperada, su instalación tiene una vulnerabilidad que requiere atención inmediata.
Comprobar puertos abiertos
Esperado: Solo deberían aparecer los puertos 22, 80 y 443
Verificar que Fail2ban está activo
Esperado: Como mínimo, debe mostrar jails activos para sshd
Comprobar el estado del firewall UFW
Esperado: Estado: activo, Predeterminado: denegar (entrante), permitir (saliente)
Comprobación de privilegios de Docker
Esperado: Debe devolver "false" — nunca "true"
Comprobación de permisos del archivo .env
Esperado: Debe mostrar "600 openclaw" — nunca 644 ni root
Lo hacemos por usted
Cada instalación de OpenClawPro incluye la auditoría completa de seguridad de 12 puntos descrita en esta página. Sin atajos. Sin "ya lo haremos más adelante". Su servidor se blinda antes de entregarle las llaves.
Preguntas frecuentes
Preguntas habituales sobre la seguridad de OpenClaw, nuestro proceso de auditoría y cómo gestionamos los datos sensibles durante la instalación.