{"id":106,"date":"2026-02-28T18:50:12","date_gmt":"2026-02-28T18:50:12","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/28\/la-falla-de-clawjacked-permite-a-sitios-maliciosos-secuestrar-agentes-locales-de-ia-de-openclaw-a-traves-de-websocket-cyberdefensa-mx\/"},"modified":"2026-02-28T18:50:12","modified_gmt":"2026-02-28T18:50:12","slug":"la-falla-de-clawjacked-permite-a-sitios-maliciosos-secuestrar-agentes-locales-de-ia-de-openclaw-a-traves-de-websocket-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/28\/la-falla-de-clawjacked-permite-a-sitios-maliciosos-secuestrar-agentes-locales-de-ia-de-openclaw-a-traves-de-websocket-cyberdefensa-mx\/","title":{"rendered":"La falla de ClawJacked permite a sitios maliciosos secuestrar agentes locales de IA de OpenClaw a trav\u00e9s de WebSocket \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se hubiera explotado con \u00e9xito, podr\u00eda haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecuta localmente y tomara el control.<\/p>\n<p>\u00abNuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin extensiones instaladas por el usuario, solo la puerta de enlace OpenClaw, que se ejecuta exactamente como est\u00e1 documentado\u00bb, Oasis Security <a href=\"https:\/\/www.oasis.security\/blog\/openclaw-vulnerability\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe publicado esta semana.<\/p>\n<p>La falla ha sido nombrada en c\u00f3digo. <strong>GarraJacked<\/strong> por la empresa de ciberseguridad.<\/p>\n<p>El ataque asume el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y ejecut\u00e1ndose en su computadora port\u00e1til, con su <a href=\"https:\/\/docs.openclaw.ai\/cli\/gateway\" rel=\"noopener\" target=\"_blank\">puerta<\/a>un servidor WebSocket local, vinculado a localhost y protegido por una contrase\u00f1a. El ataque se activa cuando el desarrollador llega a un sitio web controlado por un atacante mediante ingenier\u00eda social o alg\u00fan otro medio.<\/p>\n<p>La secuencia de infecci\u00f3n sigue los pasos siguientes:<\/p>\n<ul>\n<li>JavaScript malicioso en la p\u00e1gina web abre una conexi\u00f3n WebSocket al host local en el puerto de puerta de enlace de OpenClaw.<\/li>\n<li>El script aplica fuerza bruta a la contrase\u00f1a de la puerta de enlace aprovechando un mecanismo de limitaci\u00f3n de velocidad que falta.<\/li>\n<li>Despu\u00e9s de una autenticaci\u00f3n exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que la puerta de enlace aprueba autom\u00e1ticamente sin ning\u00fan aviso del usuario.<\/li>\n<li>El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con \u00e9l, volcar datos de configuraci\u00f3n, enumerar los nodos conectados y leer registros de aplicaciones.<\/li>\n<\/ul>\n<p>\u00abCualquier sitio web que visite puede abrir uno en su host local. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones entre or\u00edgenes\u00bb, dijo Oasis Security. \u00abEntonces, mientras navega por cualquier sitio web, JavaScript que se ejecuta en esa p\u00e1gina puede abrir silenciosamente una conexi\u00f3n a su puerta de enlace OpenClaw local. El usuario no ve nada\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/sse-customer-awards-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg5Ij_-TeqFMEsRFzgRRFzSRlVK6oHCncN_eJ2fkOdsA_1tN9HQbAlEEife2Z2JUt1lPv4st5n9KZP84jGEYY9Up6BQ7QE-N5rs6OhzL5thxGzVxnMx3JH9cGRLi9S5Kl-iV5PgjBeTdkBLnv_inF8UUAo88iqdmgJuPIc_6qiPyUMXwFyZWbZvkZkcRXSw\/s728-e100\/gartner-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEsa confianza fuera de lugar tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobaci\u00f3n silenciosa de nuevos registros de dispositivos sin avisar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde localhost, es autom\u00e1tico\u00bb.<\/p>\n<p>Tras una divulgaci\u00f3n responsable, OpenClaw impuls\u00f3 una soluci\u00f3n en menos de 24 horas con <a href=\"https:\/\/github.com\/openclaw\/openclaw\/releases\/tag\/v2026.2.25\" rel=\"noopener\" target=\"_blank\">versi\u00f3n 2026.2.25<\/a> publicado el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las \u00faltimas actualizaciones lo antes posible, auditen peri\u00f3dicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para identidades no humanas (tambi\u00e9n conocidas como agentes).<\/p>\n<p>El desarrollo se produce en medio de un escrutinio de seguridad m\u00e1s amplio del ecosistema OpenClaw, principalmente debido al hecho de que los agentes de IA tienen acceso arraigado a sistemas dispares y la autoridad para ejecutar tareas a trav\u00e9s de herramientas empresariales, lo que lleva a un radio de explosi\u00f3n significativamente mayor en caso de verse comprometidos.<\/p>\n<p>Informes de <a href=\"https:\/\/www.bitsight.com\/blog\/openclaw-ai-security-risks-exposed-instances\" rel=\"noopener\" target=\"_blank\">Bitsight<\/a> y <a href=\"https:\/\/neuraltrust.ai\/blog\/openclaw-moltbook\" rel=\"noopener\" target=\"_blank\">Confianza neuronal<\/a> han detallado c\u00f3mo las instancias de OpenClaw que se dejan conectadas a Internet representan una superficie de ataque ampliada, con cada servicio integrado ampliando a\u00fan m\u00e1s el radio de explosi\u00f3n y pueden transformarse en un arma de ataque incorporando inyecciones r\u00e1pidas en el contenido (por ejemplo, un correo electr\u00f3nico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.<\/p>\n<p>La divulgaci\u00f3n se produce cuando OpenClaw tambi\u00e9n parch\u00f3 una vulnerabilidad de envenenamiento de registros que permit\u00eda a los atacantes escribir contenido malicioso para registrar archivos a trav\u00e9s de solicitudes WebSocket en una instancia de acceso p\u00fablico en el puerto TCP 18789.<\/p>\n<p>Dado que el agente lee sus propios registros para solucionar ciertas tareas, un actor de amenazas podr\u00eda abusar de la laguna de seguridad para incorporar inyecciones indirectas, lo que tendr\u00eda consecuencias no deseadas. El <a href=\"https:\/\/github.com\/openclaw\/openclaw\/security\/advisories\/GHSA-g27f-9qjv-22pm\" rel=\"noopener\" target=\"_blank\">asunto<\/a> fue abordado en <a href=\"https:\/\/github.com\/openclaw\/openclaw\/releases\/tag\/v2026.2.13\" rel=\"noopener\" target=\"_blank\">versi\u00f3n 2026.2.13<\/a>que se envi\u00f3 el 14 de febrero de 2026.<\/p>\n<p>\u00abSi el texto inyectado se interpreta como informaci\u00f3n operativa significativa en lugar de una entrada no confiable, podr\u00eda influir en las decisiones, sugerencias o acciones automatizadas\u00bb, Eye Security <a href=\"https:\/\/research.eye.security\/log-poisoning-in-openclaw\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abPor lo tanto, el impacto no ser\u00eda una &#8216;adquisici\u00f3n instant\u00e1nea&#8217;, sino m\u00e1s bien: manipulaci\u00f3n del razonamiento del agente, influencia en los pasos de soluci\u00f3n de problemas, posible divulgaci\u00f3n de datos si el agente es guiado para revelar el contexto y mal uso indirecto de las integraciones conectadas\u00bb.<\/p>\n<p><iframe loading=\"lazy\" title=\"OpenClaw Vulnerability: Browser Tab to Agent Takeover\" width=\"1170\" height=\"658\" src=\"https:\/\/www.youtube.com\/embed\/A15fuHs7fOc?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>En las \u00faltimas semanas, tambi\u00e9n se ha descubierto que OpenClaw es susceptible a m\u00faltiples vulnerabilidades (<a href=\"https:\/\/github.com\/openclaw\/openclaw\/security\/advisories\/GHSA-g55j-c2v4-pjcg\" rel=\"noopener\" target=\"_blank\">CVE-2026-25593<\/a>, <a href=\"https:\/\/github.com\/openclaw\/openclaw\/security\/advisories\/GHSA-mc68-q9jw-2h3v\" rel=\"noopener\" target=\"_blank\">CVE-2026-24763<\/a>, <a href=\"https:\/\/github.com\/openclaw\/openclaw\/security\/advisories\/GHSA-q284-4pvr-m585\" rel=\"noopener\" target=\"_blank\">CVE-2026-25157<\/a>, <a href=\"https:\/\/github.com\/openclaw\/openclaw\/security\/advisories\/GHSA-r8g4-86fx-92mq\" rel=\"noopener\" target=\"_blank\">CVE-2026-25475<\/a>, <a href=\"https:\/\/www.endorlabs.com\/learn\/how-ai-sast-traced-data-flows-to-uncover-six-openclaw-vulnerabilities\" rel=\"noopener\" target=\"_blank\">CVE-2026-26319, CVE-2026-26322, CVE-2026-26329<\/a>), que var\u00edan de gravedad moderada a alta, y que podr\u00edan dar lugar a la ejecuci\u00f3n remota de c\u00f3digo, inyecci\u00f3n de comandos, falsificaci\u00f3n de solicitudes del lado del servidor (SSRF), omisi\u00f3n de autenticaci\u00f3n y cruce de rutas. Las vulnerabilidades han sido abordadas en las versiones de OpenClaw. <a href=\"https:\/\/github.com\/openclaw\/openclaw\/releases\/tag\/v2026.1.20\" rel=\"noopener\" target=\"_blank\">2026.1.20<\/a>, <a href=\"https:\/\/github.com\/openclaw\/openclaw\/releases\/tag\/v2026.1.29\" rel=\"noopener\" target=\"_blank\">2026.1.29<\/a>, <a href=\"https:\/\/github.com\/openclaw\/openclaw\/releases\/tag\/v2026.2.1\" rel=\"noopener\" target=\"_blank\">2026.2.1<\/a>, <a href=\"https:\/\/github.com\/openclaw\/openclaw\/releases\/tag\/v2026.2.2\" rel=\"noopener\" target=\"_blank\">2026.2.2<\/a>y <a href=\"https:\/\/github.com\/openclaw\/openclaw\/releases\/tag\/v2026.2.14\" rel=\"noopener\" target=\"_blank\">2026.2.14<\/a>.<\/p>\n<p>\u00abA medida que los marcos de agentes de IA se vuelven m\u00e1s frecuentes en los entornos empresariales, el an\u00e1lisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque espec\u00edficas de la IA\u00bb, afirm\u00f3 Endor Labs.<\/p>\n<p>En otros lugares, una nueva investigaci\u00f3n ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se est\u00e1n utilizando como conductos para entregar una nueva variante de Atomic Stealer, un ladr\u00f3n de informaci\u00f3n de macOS desarrollado y alquilado por un actor de delitos cibern\u00e9ticos conocido como <a href=\"https:\/\/www.crowdstrike.com\/en-us\/adversaries\/cookie-spider\/\" rel=\"noopener\" target=\"_blank\">Ara\u00f1a de galleta<\/a>.<\/p>\n<p>\u00abLa cadena de infecci\u00f3n comienza con un SKILL.md normal que instala un requisito previo\u00bb, Trend Micro <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/26\/b\/openclaw-skills-used-to-distribute-atomic-macos-stealer.html\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abLa habilidad parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. Luego, OpenClaw va al sitio web, busca las instrucciones de instalaci\u00f3n y contin\u00faa con la instalaci\u00f3n si el LLM decide seguir las instrucciones\u00bb.<\/p>\n<p>Las instrucciones alojadas en el sitio web \u00abopenclawcli.vercel[.]app\u00bb incluye un comando malicioso para descargar una carga \u00fatil de ladr\u00f3n desde un servidor externo (\u00ab91.92.242[.]30\u00bb) y ejec\u00fatelo.<\/p>\n<p>Los cazadores de amenazas tambi\u00e9n han se\u00f1alado una nueva <a href=\"https:\/\/openguardrails.com\/blog\/clawhub-trojan-liucomment-malware-campaign\" rel=\"noopener\" target=\"_blank\">campa\u00f1a de entrega de malware<\/a> en el que se identific\u00f3 a un actor de amenazas con el nombre @liuhui1010, que dej\u00f3 comentarios en p\u00e1ginas leg\u00edtimas de listas de habilidades, instando a los usuarios a ejecutar expl\u00edcitamente un comando que proporcionaron en la aplicaci\u00f3n Terminal si la habilidad \u00abno funciona en macOS\u00bb.<\/p>\n<p>El comando est\u00e1 dise\u00f1ado para recuperar Atomic Stealer de \u00ab91.92.242[.]30\u00bb, una direcci\u00f3n IP previamente documentada por Koi Security y OpenSourceMalware para distribuir el mismo malware a trav\u00e9s de habilidades maliciosas cargadas en ClawHub.<\/p>\n<p>Es m\u00e1s, un an\u00e1lisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de IA Straiker ha <a href=\"https:\/\/www.straiker.ai\/blog\/built-on-clawhub-spread-on-moltbook-the-new-agent-to-agent-attack-chain\" rel=\"noopener\" target=\"_blank\">descubierto<\/a> no menos de 71 programas maliciosos, algunos de los cuales se hac\u00edan pasar por herramientas de criptomonedas leg\u00edtimas pero conten\u00edan funciones ocultas para redirigir fondos a billeteras controladas por actores de amenazas.<\/p>\n<p>Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de m\u00faltiples capas que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los alias \u00ab26medias\u00bb en ClawHub y \u00abBobVonNeumann\u00bb en Moltbook y X.<\/p>\n<p>\u00abBobVonNeumann se presenta como un agente de IA en Moltbook, una red social dise\u00f1ada para que los agentes interact\u00faen entre s\u00ed\u00bb, dijeron los investigadores Yash Somalkar y Dan Regalado. \u00abDesde esa posici\u00f3n, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes est\u00e1n dise\u00f1ados para extenderse entre s\u00ed de forma predeterminada. Es un ataque a la cadena de suministro con una capa de ingenier\u00eda social construida encima\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ztw-hands-on-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhC66R4wPZ8qksTJukqlCCmrHCUX65DnpWW1nKnkOhy0Poe219tacbU6h09qEfUgRHxoObBazf3SVJ4OAd_iVd0EFecj-vskZSfroQ7rh0XyxQd6Ep_zNgqDW95YU4zG1Gpin8rHPK8Rqu_1KV7tf-G-7JJhxOVHhRJDWnj0qfq82uZSAvAG2rxK-Fe5fwd\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Sin embargo, lo que hace bob-p2p-beta es instruir a otros agentes de inteligencia artificial para que almacenen las claves privadas de la billetera Solana en texto sin formato, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a trav\u00e9s de una infraestructura controlada por el atacante. La segunda habilidad pretende ofrecer una herramienta de generaci\u00f3n de im\u00e1genes benigna para generar credibilidad del desarrollador.<\/p>\n<p>Dado que ClawHub se est\u00e1 convirtiendo en un nuevo terreno f\u00e9rtil para los atacantes, se recomienda a los usuarios auditar las habilidades antes de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.<\/p>\n<p>Los riesgos de seguridad asociados con los tiempos de ejecuci\u00f3n de agentes autohospedados como OpenClaw tambi\u00e9n han llevado a Microsoft a emitir un aviso, advirtiendo que la implementaci\u00f3n sin vigilancia podr\u00eda allanar el camino para la exposici\u00f3n\/exfiltraci\u00f3n de credenciales, modificaci\u00f3n de la memoria y compromiso del host si se puede enga\u00f1ar al agente para que recupere y ejecute c\u00f3digo malicioso, ya sea a trav\u00e9s de habilidades envenenadas o inyecciones r\u00e1pidas.<\/p>\n<p>\u00abDebido a estas caracter\u00edsticas, OpenClaw debe tratarse como una ejecuci\u00f3n de c\u00f3digo no confiable con credenciales persistentes\u00bb, dijo el equipo de investigaci\u00f3n de seguridad de Microsoft Defender. <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/02\/19\/running-openclaw-safely-identity-isolation-runtime-risk\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abNo es apropiado ejecutarlo en una estaci\u00f3n de trabajo personal o empresarial est\u00e1ndar\u00bb.<\/p>\n<p>\u00abSi una organizaci\u00f3n determina que OpenClaw debe ser evaluado, debe implementarse solo en un entorno completamente aislado, como una m\u00e1quina virtual dedicada o un sistema f\u00edsico separado. El tiempo de ejecuci\u00f3n debe usar credenciales dedicadas y sin privilegios y acceder solo a datos no confidenciales. El monitoreo continuo y un plan de reconstrucci\u00f3n deben ser parte del modelo operativo\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se hubiera explotado con \u00e9xito, podr\u00eda haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecuta localmente y tomara el control. \u00abNuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":55,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[269,264,24,263,270,267,271,265,268,266,76,272],"class_list":["post-106","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-agentes","tag-clawjacked","tag-cyberdefensa-mx","tag-falla","tag-locales","tag-maliciosos","tag-openclaw","tag-permite","tag-secuestrar","tag-sitios","tag-traves","tag-websocket"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=106"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/106\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/55"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}