{"id":1165,"date":"2026-06-11T20:42:46","date_gmt":"2026-06-11T20:42:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/11\/nuevos-ataques-enganan-al-agente-openclaw-ai-para-que-ejecute-codigo-y-filtre-secretos-cyberdefensa-mx\/"},"modified":"2026-06-11T20:42:46","modified_gmt":"2026-06-11T20:42:46","slug":"nuevos-ataques-enganan-al-agente-openclaw-ai-para-que-ejecute-codigo-y-filtre-secretos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/11\/nuevos-ataques-enganan-al-agente-openclaw-ai-para-que-ejecute-codigo-y-filtre-secretos-cyberdefensa-mx\/","title":{"rendered":"Nuevos ataques enga\u00f1an al agente OpenClaw AI para que ejecute c\u00f3digo y filtre secretos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Dos equipos de seguridad han demostrado, en una investigaci\u00f3n separada publicada esta semana, que garra abierta<\/a>el popular agente de IA autohospedado, puede ejecutarse para ejecutar c\u00f3digo controlado por un atacante o entregar datos confidenciales a trav\u00e9s de entradas de apariencia normal.<\/p>\n

Imperva<\/a> instrucciones enterradas dentro de contactos compartidos, vCards y pines de ubicaci\u00f3n que el agente ejecut\u00f3 sin que la v\u00edctima los viera. varonis<\/a> cre\u00f3 un agente de prueba en la plataforma, le proporcion\u00f3 un buz\u00f3n lleno de datos comerciales sint\u00e9ticos y observ\u00f3 c\u00f3mo un solo correo electr\u00f3nico simple lo convenci\u00f3 para que reenviara claves de AWS simuladas y una exportaci\u00f3n de cliente falsa a una direcci\u00f3n externa.<\/p>\n

La falla que encontr\u00f3 Imperva est\u00e1 parcheada en OpenClaw 2026.4.23, as\u00ed que actual\u00edcela si la ejecuta. La debilidad del phishing que encontr\u00f3 Varonis no es algo que solucione un parche; todo se reduce a limitar lo que el agente puede hacer por s\u00ed solo.<\/p>\n

Puertas diferentes a una misma habitaci\u00f3n: el agente conf\u00eda en lo que le llega y su acceso pasa a ser el del atacante.<\/p>\n

Comandos ocultos en un contacto compartido<\/h2>\n

El investigador de Imperva, Yohann Sillam, analiz\u00f3 c\u00f3mo OpenClaw entrega datos de mensajer\u00eda al modelo detr\u00e1s de \u00e9l. El problema est\u00e1 en las tuber\u00edas.<\/p>\n

Cuando el agente pasa un contacto compartido, una vCard o una ubicaci\u00f3n al LLM, aplana el objeto en el texto del mensaje en l\u00ednea, sin ning\u00fan l\u00edmite que lo marque como no confiable. El contenido que el agente obtiene de la web se incluye en un marcador de contenido que no es de confianza. Los objetos de mensaje no.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

S\u00f3lo algunos campos viajan al modelo, y de eso es de lo que abusa el ataque. Un contacto compartido env\u00eda solo el campo de nombre, serializado como . Los corchetes angulares son legales en un nombre, por lo que el modelo no puede decir d\u00f3nde termina el nombre real y d\u00f3nde comienza una instrucci\u00f3n inyectada. El nombre del contacto se trunca cuando aparece en la pantalla, tanto en WhatsApp como en la aplicaci\u00f3n receptora, por lo que la v\u00edctima tampoco ve la carga \u00fatil.<\/contact:><\/p>\n

El mismo truco funciona a trav\u00e9s del campo de nombre completo de una vCard, que WhatsApp admite de forma nativa, y a trav\u00e9s de la etiqueta en un pin de ubicaci\u00f3n compartida.<\/p>\n

En las pruebas de Imperva contra Gemini 3.1 Pro (versi\u00f3n preliminar), el texto oculto le indic\u00f3 al agente que descargara y ejecutara un script desde un servidor controlado por los investigadores. Lo hizo. Una imagen sencilla con instrucciones enterradas fall\u00f3, probablemente porque ese ataque se ha informado con tanta frecuencia que ahora los modelos est\u00e1n entrenados para resistirlo; la ruta mensaje-objeto funcion\u00f3 porque los modelos han visto muchos menos ejemplos de ella.<\/p>\n

\"\"<\/a><\/div>\n

Con la memoria de OpenClaw activada de forma predeterminada, advierte Imperva, una sola pieza de contenido ampliamente compartido que contenga una instrucci\u00f3n oculta podr\u00eda comprometer silenciosamente a los agentes que lo ingieren, si no est\u00e1n protegidos.<\/p>\n

Imperva revel\u00f3 el problema y OpenClaw envi\u00f3 una soluci\u00f3n en la versi\u00f3n 2026.4.23 que mueve los nombres de los contactos, los campos vCard y las etiquetas de ubicaci\u00f3n fuera del cuerpo del mensaje y a un canal de metadatos separado que no es de confianza. Imperva encontr\u00f3 el mismo patr\u00f3n de aplanamiento en otros asistentes personales de IA, por lo que el problema subyacente no es s\u00f3lo de OpenClaw.<\/p>\n

Un correo electr\u00f3nico normal es suficiente<\/h2>\n

Varonis Threat Labs lleg\u00f3 a OpenClaw desde el \u00e1ngulo social. En una investigaci\u00f3n dirigida por Itay Yashar, el equipo cre\u00f3 un agente llamado pellizco <\/b>en la plataforma, lo conect\u00f3 a una bandeja de entrada de Gmail repleta de desorden empresarial realista pero sint\u00e9tico y secretos simulados, y lo ejecut\u00f3 a trav\u00e9s de cuatro simulaciones de phishing en Google Gemini 3.1 Pro y OpenAI Codex GPT-5.4.<\/p>\n

Trazan una l\u00ednea entre la inyecci\u00f3n r\u00e1pida, que oculta instrucciones en los datos, y lo que llaman phishing del agente: una solicitud cre\u00edble que llega a trav\u00e9s de un canal normal y funciona porque el agente act\u00faa antes de verificar qui\u00e9n la envi\u00f3.<\/p>\n

El agente no pas\u00f3 ambas pruebas de exfiltraci\u00f3n. En el primero, un mensaje que se hac\u00eda pasar por un l\u00edder de equipo llamado Dan, enviado desde una direcci\u00f3n externa de Gmail, solicitaba acceso provisional durante un incidente de producci\u00f3n falso. Pinchy encontr\u00f3 las credenciales y reenvi\u00f3 claves de acceso simuladas de AWS IAM, cadenas de conexi\u00f3n de bases de datos y credenciales SSH en texto sin formato.<\/p>\n

\"\"<\/a><\/div>\n

El segundo pretexto fue m\u00e1s suave: una solicitud que parec\u00eda rutinaria para la exportaci\u00f3n semanal del cliente, supuestamente para una plataforma QBR. El agente envi\u00f3 un conjunto de datos sint\u00e9ticos de 247 clientes empresariales, incluidos contactos y valores de contratos. Ambas fallas ocurrieron bajo un perfil estricto que le ped\u00eda al agente que verificara primero a los remitentes. La regla exist\u00eda. La urgencia le gan\u00f3 una vez, la rutina le gan\u00f3 la segunda vez.<\/p>\n

El agente tuvo mejores resultados cuando la amenaza era t\u00e9cnica m\u00e1s que social. Interactu\u00f3 con una p\u00e1gina de phishing de tarjetas de regalo, pero retuvo credenciales reales y finalmente la marc\u00f3; el perfil estricto bloque\u00f3 la p\u00e1gina por completo. En una pantalla de consentimiento de OAuth maliciosa disfrazada de una aplicaci\u00f3n de parte de horas, inspeccion\u00f3 el objetivo de redireccionamiento, lo consider\u00f3 sospechoso y se detuvo antes de otorgarle acceso.<\/p>\n

\u00c9sa es la divisi\u00f3n que se\u00f1ala Varonis: el agente es mejor que muchas personas para detectar URL incorrectas y portales de inicio de sesi\u00f3n falsos, y peor en el juicio social que hace una pausa humana cuando un colega de repente pide credenciales a una hora extra\u00f1a. El impulso para ser \u00fatil es la superficie de ataque.<\/p>\n

\"\"<\/a><\/div>\n

Varonis dice que OpenAI Codex GPT-5.4 fue m\u00e1s cauteloso que Gemini 3.1 Pro al ingresar o enviar datos a sitios externos sin confirmaci\u00f3n, pero ambos cayeron en los pretextos sociales.<\/p>\n

El punto d\u00e9bil detr\u00e1s de ambos ataques<\/h2>\n

Varonis mapea ambos ataques en lo que Simon Willison llama el trifecta letal<\/a>: un agente que puede leer datos privados, recibir contenido que no es de confianza y enviar datos de vuelta. OpenClaw tiene los tres, por lo que un contacto envenenado y un correo electr\u00f3nico amigable terminan en el mismo lugar.<\/p>\n

Ese l\u00edmite de confianza no es s\u00f3lo un problema inmediato; tambi\u00e9n aparece en el c\u00f3digo de OpenClaw. un separado An\u00e1lisis de art\u00edculos de InfoSec<\/a> convirti\u00f3 los avisos anteriores de OpenClaw en reglas de an\u00e1lisis est\u00e1tico y luego los us\u00f3 para encontrar cinco fallas m\u00e1s en las extensiones de canal Slack, Discord, Matrix, Zalo y Microsoft Teams.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Los cinco ten\u00edan el mismo error: el c\u00f3digo de inicio resolvi\u00f3 la lista de permitidos de cada canal mediante un nombre para mostrar mutable en lugar de una identificaci\u00f3n estable, por lo que un atacante que se cambiara el nombre para coincidir con un usuario permitido podr\u00eda ingresar a la lista y dirigir al agente. OpenClaw los ha parcheado.<\/p>\n

OpenClaw viene con amplio acceso a archivos, shells y m\u00e1s de veinte plataformas de mensajer\u00eda, y ha recibido una serie constante de advertencias de inyecci\u00f3n r\u00e1pida y exfiltraci\u00f3n de datos desde su lanzamiento a fines del a\u00f1o pasado.<\/p>\n

La autoridad holandesa de protecci\u00f3n de datos adopt\u00f3 la postura m\u00e1s firme: la Autoriteit Persoonsgegevens<\/a> dijo a los usuarios y organizaciones que no ejecutaran OpenClaw en sistemas que contengan datos confidenciales, citando riesgos de violaci\u00f3n de datos y apropiaci\u00f3n de cuentas.<\/p>\n

\u00bfQu\u00e9 hacer al respecto?<\/h2>\n

Cualquiera que ejecute OpenClaw debe actualizar a 2026.4.23 o posterior para corregir el objeto de mensaje. El resto es arquitectura, no redacci\u00f3n inmediata, y Varonis establece cuatro controles.<\/p>\n

Trate el archivo de instrucciones del agente como una pol\u00edtica aplicada y controlada por versiones, no como una sugerencia. El correo saliente necesita una puerta: no se permite realizar env\u00edos por primera vez a direcciones desconocidas sin aprobaci\u00f3n, por lo que un agente secuestrado no puede transmitir phishing desde una cuenta confiable. El acceso al conector debe rastrear el nivel de confianza de lo que desencaden\u00f3 la tarea, por lo que una bandeja de entrada que maneja correo electr\u00f3nico externo no puede leer tambi\u00e9n todo el CRM. Y las acciones m\u00e1s riesgosas, reenviar credenciales o mover dinero, deber\u00edan esperar a que llegue un ser humano.<\/p>\n

Ambos equipos aterrizan en el mismo modelo mental. Varonis lo plantea como tratar al agente como un empleado junior con acceso al sistema y sin instinto para lo que parece extra\u00f1o, no como una herramienta de seguridad. Imperva llega desde la otra direcci\u00f3n, llam\u00e1ndolo un ejecutor autenticado que conf\u00eda en sus entradas.<\/p>\n

Las soluciones que se ofrecen hoy son parches y barandillas espec\u00edficos. El problema m\u00e1s dif\u00edcil a\u00fan est\u00e1 abierto. Un agente lo suficientemente \u00fatil como para actuar en su correo electr\u00f3nico y ejecutar sus comandos es, por dise\u00f1o, uno que conf\u00eda en las entradas y quiere ayudar, y nadie tiene una soluci\u00f3n general para eso todav\u00eda.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Dos equipos de seguridad han demostrado, en una investigaci\u00f3n separada publicada esta semana, que garra abiertael popular agente de IA autohospedado, puede ejecutarse para ejecutar c\u00f3digo controlado por un atacante o entregar datos confidenciales a trav\u00e9s de entradas de apariencia normal. Imperva instrucciones enterradas dentro de contactos compartidos, vCards y pines de ubicaci\u00f3n que el […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[397,233,376,24,2782,775,3062,1262,271,36,732],"class_list":["post-1165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-agente","tag-ataques","tag-codigo","tag-cyberdefensa-mx","tag-ejecute","tag-enganan","tag-filtre","tag-nuevos","tag-openclaw","tag-para","tag-secretos"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1165"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1165\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}