¿Deudas de 12.000 mientras duermes? Esta "gamba" se ha vuelto loca

¿por qué AI·OpenClaw se ha convertido de una herramienta de productividad en una amenaza de seguridad?

“Los estudiantes no deben instalar ‘Lobster’ ciegamente solo por seguir la tendencia. Solo usándolo tres días, mi estado mental se derrumbó por completo.” Gao Ling, estudiante de cuarto año, es un estudiante de humanidades. Al acercarse a la graduación, debe equilibrar sus estudios y buscar prácticas. Originalmente esperaba usar ‘Lobster’ para organizar notas y completar tareas. Sin embargo, en contra de sus expectativas, ‘Lobster’ le causó muchos problemas, eliminando sin autorización sus materiales de clases, recursos de repaso e incluso borradores de tareas recién terminadas.

Gao Ling se puso a llorar de desesperación. Además, ‘Lobster’ consumía tokens de manera frenética, generándole facturas de varios cientos de yuanes, lo que le dolió mucho—equivalente a medio mes de gastos de vida. De verdad le aconseja a los estudiantes: “Si tienes un presupuesto limitado y no entiendes de tecnología, no gastes dinero en algo que solo te traerá problemas, solo serás un tonto”.

Con el auge global del agente de IA de código abierto OpenClaw (comúnmente llamado ‘Lobster’), una tormenta de seguridad provocada por instalaciones inapropiadas también está arrasando en diferentes sectores. Este ‘empleado digital’ que se tenía muchas expectativas, debido a su configuración de seguridad por defecto muy vulnerable, está dejando de ser una herramienta de productividad para convertirse en un ‘caballo de Troya’ en manos de atacantes. Desde filtraciones de privacidad personal hasta paralización de infraestructuras críticas, desde robo de claves API hasta errores en transacciones financieras, las primeras víctimas ya han pagado un precio doloroso, y aún persisten peligros ocultos que no se han prestado suficiente atención.

Recientemente, el Centro Nacional de Respuesta de Emergencias de Internet publicó una advertencia sobre los riesgos de seguridad de OpenClaw, señalando que su configuración de seguridad predeterminada es extremadamente frágil, y que si un atacante encuentra una brecha, puede obtener control total del sistema con facilidad. Debido a instalaciones y usos inadecuados, ya han surgido riesgos graves de seguridad, lo que significa que los usuarios podrían enfrentarse a filtraciones de privacidad y vulnerabilidades de seguridad.

Actualmente, muchas universidades, gobiernos locales y entidades financieras han comenzado a prohibir explícitamente el uso de OpenClaw, y llaman a “no crear ansiedad ni promover mitos”. Cómo mantener ‘Lobster’ de forma segura es una lección que vale la pena aprender en medio de la fiebre generalizada por ‘Lobster’.

Ilustración por IA/adan

Cargando una deuda enorme en sueños

Como blogger de tecnología, Yan Han fue uno de los primeros en ‘criar’ a ‘Lobster’. En el último mes, crió siete ‘Lobsters’. Uno de ellos, el ‘gran administrador’, gestionaba otros seis roles, encargados de transacciones de criptomonedas, redacción de artículos y tareas varias. Para Yan Han, manejar ‘Lobster’ parecía muy sencillo.

Pero hace unos días, Yan Han salió y quiso que ‘Lobster’ ayudara a configurar un escritorio remoto para poder controlar su computadora desde el móvil cuando estuviera fuera. Sin embargo, ‘Lobster’ se volvió tonto.

Cuando Yan Han dijo “ayúdame a configurar la conexión remota”, ‘Lobster’ intentó primero iniciar un software de escritorio remoto sin éxito, y tras 20 minutos de intentos fallidos, no pudo conectar. Entonces, ‘Lobster’ ejecutó un comando “poner contraseña a la conexión remota”, pero lo interpretó como “cambiar la contraseña de inicio de la computadora”. Como resultado, varias operaciones posteriores mostraron repetidamente “contraseña incorrecta”. Dos horas después, Yan Han necesitaba actualizar el software en su PC, y al ingresar la contraseña, también fallaba. Se asustó, pensando que su computadora había sido hackeada.

Preguntó entonces si ‘Lobster’ había cambiado la contraseña, pero ‘Lobster’ no supo nada. Yan Han revisó los registros de operaciones y descubrió que confundió dos funciones. “Es como si fueras a arreglar un grifo y terminaras cerrando la válvula de gas. Ambos son válvulas, pero uno controla el agua y el otro el gas,” explicó Yan Han. En la vista humana, configurar una contraseña de conexión remota y cambiar la contraseña de inicio son cosas distintas, pero ‘Lobster’ tiene dificultades para distinguirlas.

“Las nuevas contraseñas se almacenan en texto plano en el sistema, y cualquiera puede verlas.” La conciencia de riesgo de Yan Han explotó de inmediato. Le dio órdenes estrictas a ‘Lobster’: ante operaciones que puedan afectar contraseñas, permisos o datos, primero consultar con el dueño antes de actuar. También notó que algunos usuarios sin precaución han estado integrando ‘Lobster’ en entornos sociales, lo que podría exponer más datos personales. Si el control de permisos no es adecuado, ‘Lobster’ puede confundir a otros en el grupo como si fueran propietarios. Cuando otros en el grupo le llaman para que entregue su dirección, teléfono o contraseña, ‘Lobster’ puede sin protección alguna enviar toda esa información.

El 12 de marzo, un usuario de la empresa de aplicaciones de IA, ‘LongguhuoHuo’, reveló a los medios que su segunda ‘Lobster’, operativa solo 10 días, fue atacada durante dos horas continuas tras unirse a un grupo de 3,000 personas con 98 agentes inteligentes, sin activar un mecanismo de @. Los atacantes le preguntaron repetidamente para obtener información del entorno, configuración del modelo, IP, nombre real, empresa y datos de ingresos del año pasado; además, le ordenaron buscar archivos en el disco C, aunque fue rechazado, ya se filtraron datos sustanciales. La víctima, que trabajaba en horas extras, detectó anomalías mediante monitoreo en segundo plano. Si esto hubiera ocurrido en la noche, las consecuencias serían impredecibles.

Según informes públicos, un programador en Shenzhen, tras instalar OpenClaw en su tercer día, recibió una factura de tokens de 12,000 yuanes (unos 1,8 millones de yenes) en la madrugada, debido a que su clave API fue robada. Dado que OpenClaw tiene permisos altamente automatizados, si la clave se filtra, la IA puede hacer llamadas masivas en segundo plano, cargando al usuario con deudas enormes mientras duerme.

El alcance de las filtraciones de privacidad es aún mayor. Hasta ahora, hay más de 270,000 instancias de OpenClaw expuestas en Internet sin autenticación, en estado de ‘desnudez’. Peor aún, en el mercado de plugins de ClawHub, aproximadamente el 12% contiene código malicioso que puede robar claves SSH y contraseñas de navegadores.

Según Shangguan News, el 8 de marzo por la tarde, en una sala de reuniones en Shanghái donde se instalaba OpenClaw gratuitamente, el director senior de soluciones de base tecnológica de Baidu Cloud, Ke Fei, recibió ayuda de un ciudadano de Shanghái: “Quiero desinstalar OpenClaw, ¿puedes ayudarme?”

Había pedido en línea la instalación remota de OpenClaw el día anterior, entregando el control de su computadora a un servicio en línea, gastando 40 yuanes en total. Pero, cinco minutos después, recibió una llamada del centro antiestafas: “El servicio de instalación remota de OpenClaw tomó el control de mi computadora, y toda mi información y datos son visibles para ellos.”

El caso más alarmante fue el de la gestión de correos electrónicos. Summer Yue, directora de seguridad del equipo de IA de Meta, probó OpenClaw para gestionar correos. Configuró reglas claras para que el agente confirmara antes de actuar. Sin embargo, el agente ignoró las órdenes de detenerse y siguió eliminando y archivando correos. Yue gritó tres veces para que parara, pero no obtuvo respuesta. Finalmente, tuvo que desconectar el cable de red.

El subdirector del Centro de Evaluación de Seguridad de la Investigación en Cibernética del Instituto de Normalización de Tecnología Electrónica de China, He Yanzhe, explicó a ‘China News Weekly’ la esencia de ‘Lobster’: como agente proxy, si se le otorgan permisos elevados, puede realizar cualquier operación en la computadora, incluyendo leer archivos, abrir aplicaciones y corregir errores automáticamente. La tecnología se basa en que opera entre la programa y el modelo de IA, gestionando solicitudes, autenticación, control de acceso y programación de múltiples modelos. Los desarrolladores solo necesitan conectar una API para cambiar entre modelos sin reescribir código.

He Yanzhe describió el estilo de ‘Lobster’ como “no descansar hasta lograr el objetivo”. “Una vez que recibe una tarea, debe obtener resultados, por lo que intentará continuamente, combinando archivos, aplicaciones y datos locales, lo que genera problemas de permisos excesivos y exposición de datos.”

Elon Musk comentó: “Dar autonomía a la IA es como darle a un mono una pistola cargada.”

‘Irreversible’ y ‘No confiable’

En febrero, el equipo de DeepMind de Google publicó un extenso artículo titulado ‘Intelligent AI Delegation’, intentando establecer un marco teórico para la relación de delegación entre humanos y agentes. En ese artículo, se señala que algunos aspectos del sistema de seguridad de agentes actuales “están completamente colapsados”.

Primero, la “pérdida de reversibilidad”. Por ejemplo, generar un artículo mal escrito es reversible (basta borrarlo y reescribirlo), pero realizar una transacción financiera cuantificada de millones, eliminar bases de datos o enviar un correo de despido a toda la empresa son acciones físicas irreversibles, lo que implica que muchas acciones de ‘Lobster’ no lo son.

La acción más arriesgada que hizo Yan Han con ‘Lobster’ fue autorizarlo a hacer transacciones en criptomonedas. Inicialmente, le dio un límite de 500 dólares, permitiéndole crear estrategias de trading, establecer un stop-loss del 2% y un take-profit del 3%. Pero ‘Lobster’ carecía de criterios correctos, y con pequeños movimientos abría posiciones, a menudo en la dirección equivocada, perdiendo decenas o incluso cientos de dólares cada vez. “Ve señales de compra y, si son mayores que uno, abre una posición larga; si las señales de venta son mayores que uno, abre una corta. En unos días, hizo muchas operaciones erróneas, causando pérdidas en varias inversiones.” Yan Han se dio cuenta de que la ‘confianza’ de la IA puede superar rápidamente a su ‘capacidad’. Incluso si lo supervisa, probablemente no pueda detener esas operaciones.

El experto en tecnología senior Yang Lin señaló que esta “no reversibilidad” no es solo por falta de reconocimiento de intención, sino que la identificación, confirmación, ejecución y terminación de la intención no forman un ciclo cerrado. La IA actual no entiende completamente las instrucciones humanas, pero en tareas de larga duración, puede desviarse, perder memoria, fallar en confirmaciones parciales y no detenerse por completo. En otras palabras, el problema no solo está en “reconocer la intención”, sino en cómo el sistema puede ser restringido de manera estable después de reconocerla.

“Sin mecanismos efectivos de terminación y reversión, los riesgos irreversibles se amplificarán rápidamente. Eliminar correos, sobrescribir archivos, divulgar información de clientes, modificar bases de datos, realizar pedidos automáticos o ejecutar comandos remotos no son errores de diálogo comunes, sino acciones con consecuencias reales.” Yang Lin agregó que cualquier acción irreversible, como eliminar, enviar, publicar, pagar, transferir, modificar configuraciones o cambiar permisos, debe considerarse de alto riesgo.

El sector financiero puede ser el más vulnerable. El 15 de marzo, la Asociación de Finanzas en Internet de China publicó una advertencia sobre los riesgos de seguridad de OpenClaw en el sector financiero, señalando que la alta digitalización y automatización en línea, que maneja fondos, activos, cuentas y datos personales sensibles, hace que sea un objetivo fácil para atacantes. La herramienta puede ser utilizada para robar datos o manipular transacciones ilegalmente, poniendo en riesgo al sector.

Un bloguero extranjero afirmó que, con solo 50 dólares, una ‘Lobster’ operando en bolsa convirtió esa cantidad en 2,980 dólares en 48 horas, con una tasa de ganancia del 5860%. Actualmente, en redes sociales hay muchos tutoriales que enseñan a los usuarios cómo usar OpenClaw para hacer trading.

“Usar ‘Lobster’ para invertir en bolsa generalmente requiere manipular acciones a través de API.” El economista en jefe de Jindonghui, Xing Xing, no apoya que los inversores usen ‘Lobster’ para hacer trading, ya que considera que ‘Lobster’ es una herramienta de alta riesgo, con tres riesgos principales: seguridad de la cuenta, incumplimiento normativo y fallo en decisiones de IA. En el entorno de T+1 y límites de variación en A-shares, no puede aprovechar ventajas de alta frecuencia, y puede ser restringido por corredores por transacciones anómalas, además de tener costos altos y baja tasa de éxito. Los inversores comunes no pueden obtener ganancias estables a largo plazo con ella, y solo deben usarla como ayuda.

Un empleado de una correduría dijo a ‘China News Weekly’: “Muchos corredores ya han emitido directrices internas para prohibir OpenClaw, alertando sobre riesgos, y han prohibido a los empleados instalar o usar OpenClaw en computadoras de la empresa. Aunque no haya un documento oficial, no abrirán la API, lo que en la práctica equivale a una prohibición.”

La plataforma de amenazas y vulnerabilidades de ciberseguridad del Ministerio de Industria y Tecnología de la Información de China advirtió el 11 de marzo que en escenarios de transacciones financieras, existe un alto riesgo de errores en transacciones o incluso de que las cuentas sean tomadas por terceros. Los riesgos específicos incluyen envenenamiento de memoria que causa transacciones erróneas, eludir la autenticación que permite el toma de control ilegal de cuentas, plugins con código malicioso que roban credenciales, y en casos extremos, la falta de mecanismos de corte o emergencia que puedan descontrolar a la IA y generar órdenes de compra o venta frecuentes.

El 23 de febrero de 2026, el ingeniero de OpenAI Nick Pash creó un agente de trading IA llamado Lobstar Wild para probar la plataforma OpenClaw. Le asignó una billetera digital con 50,000 dólares, una cuenta X y varias API que incluyen búsqueda web, análisis de imágenes y protocolos de trading, dándole control total de decisiones.

Un día, un usuario de la plataforma X, @TreasureD76, envió una petición a este agente, diciendo que su “tío” había sido diagnosticado con tétanos tras tratar a un ‘lobster’ (langosta), y solicitó 4 dólares para el tratamiento. Lobstar Wild no envió el dinero solicitado, sino que regaló toda su criptomoneda Lobstar, que en ese momento valía hasta 250,000 dólares.

Tras una investigación detallada, Nick Pash explicó que el error se debió a una validación incorrecta y a un formato de información anómalo. Dijo que, por usar una versión antigua de OpenClaw, no pudo interceptar instrucciones erróneas.

Xing Xing afirmó que los riesgos principales de OpenClaw se centran en la seguridad de datos, control de transacciones y cumplimiento normativo, y que las vulnerabilidades de seguridad por su código abierto amplifican estos riesgos. La naturaleza del sector financiero, que maneja información sensible y requiere alta confidencialidad, integridad y control, hace que estos riesgos sean aún más críticos. La alta correlación entre operaciones, la irreversibilidad de transacciones y la estricta regulación generan una contradicción inherente con las configuraciones de seguridad débiles y la ambigüedad en responsabilidades de las IA abiertas.

“En el corto plazo, estos problemas no disminuirán, sino que aumentarán primero y luego disminuirán a medida que se integren más escenarios,” observó Yang Lin. La falta de confianza en ‘Lobster’ también proviene de esto. Cuando los usuarios dicen “limpia los correos antiguos”, “elimina archivos inútiles” o “organiza el escritorio”, para los humanos son acciones de sentido común, pero para la máquina involucra límites temporales, reglas de retención, excepciones, orden de ejecución y mecanismos de tolerancia a fallos.

El 11 de marzo, en el Digital Square de Yihga en Wuxing, Huzhou, Zhejiang, se mostró un monitor con noticias sobre ‘Lobster’ de código abierto. Foto/Xinhua

Prevención de ‘empleados digitales’ que puedan causar problemas

OpenClaw sin duda muestra el gran potencial de la IA para pasar de ‘diálogo’ a ‘ejecución’. Pero el resumen de los estudios señala: “No podemos realmente prevenir que los agentes se descontrolen.” ¿Deberían los usuarios comunes seguir usando ‘Lobster’?

Nanfang, estudiante de humanidades con interés en programación, durante el Año Nuevo estudió unos cuarenta o cincuenta tutoriales y armó desde cero esta herramienta ‘Lobster’. En el proceso, lanzó un ‘curso de seguridad obligatorio’ para usuarios sin conocimientos técnicos. En una entrevista con ‘China News Weekly’, dijo que el mayor riesgo actual es que los usuarios tienden a ver la IA como un asistente personal y a revelar información personal. En realidad, estos datos se almacenan en archivos, y si son robados, puede causar graves problemas.

“Lo más peligroso es confiarle toda la computadora a ‘Lobster’, lo que equivale a darle permisos muy altos para que vea todos los archivos,” explicó Nanfang. “Es como si tu puerta estuviera cerrada, pero ‘Lobster’ la abriera sin que te des cuenta, en modo de puerta entreabierta, sin que te des cuenta del peligro.”

Para Liu Sen, responsable de productos de seguridad en Volcano Engine, ‘Lobster’ es como un empleado digital inteligente y diligente, pero aún no comprende bien las normas y límites del trabajo. “Lo que debemos hacer es gestionarlo como a un empleado, para que desempeñe su papel sin causar problemas.”

Zhou Hongyi, fundador de Qihoo 360, sugirió que para las instituciones, la opción más realista no es prohibir o desplegar a toda prisa, sino explorar en entornos controlados, como en ambientes aislados, verificar la seguridad paso a paso, y decidir luego cómo aplicar. Así, se promueve el desarrollo tecnológico y se mantiene la seguridad. “El avance tecnológico y la seguridad deben ir de la mano, no en una elección binaria.”

El 15 de marzo, en Wuhan, Hubei, Qihoo 360 organizó una actividad gratuita de instalación de ‘Lobster’, con casi cien participantes. “Ingeniero de IA Lobster” instaló y desplegó ‘Seguridad Lobster’ en la sede de Poly Guanggu, Wuhan. Foto/Visual China

En cuanto a los usuarios individuales, el experto en seguridad CISSP Yuan Bo advierte que ‘Lobster’ tiene vulnerabilidades, puede exponer la red y causar operaciones maliciosas no intencionadas. El software de código abierto suele priorizar funciones sobre riesgos, y si no se informa claramente a los usuarios, su instalación es irresponsable.

He Yanzhe, de la plataforma de amenazas y vulnerabilidades del Ministerio de Industria y Tecnología de la Información, recomienda que los usuarios comunes instalen en entornos nuevos, elijan servicios de fabricantes nacionales confiables, definan claramente sus necesidades antes de usar, y mantengan actualizaciones y parches de seguridad para prevenir riesgos potenciales.

Zhou Hongyi añadió: “Al usarlo, hay que tener conciencia básica de seguridad, como no entregar inmediatamente cuentas, contraseñas y datos clave al agente, ni dejar que tenga acceso directo a toda la información sensible.”

La instalación prudente, permisos mínimos y revisión estricta de plugins son medidas esenciales para la protección personal. La seguridad debe ser la prioridad de todos los que ‘crían’ a estos ‘langostas’.

(Seudónimos utilizados en el texto: Gao Ling, Yang Lin y Nanfang)

Publicado en la edición del 23 de marzo de 2026, en la revista ‘China News Weekly’, número 1228

Título de la revista: ‘Lobster’ fuera de control: ¿quién paga el precio?

Reportero: Meng Qian

Editor: Min Jie