Curso
Software Development with Claude Code
4 h
2.2K
La mayoría de herramientas de IA se limita a responder preguntas. OpenClaw nació para ejecutar acciones. Esa diferencia es la que lo llevó a superar a Linux en el ránking histórico de estrellas de GitHub a los pocos meses de lanzarse.
¿Qué es en realidad? Un runtime autogestionado que conecta modelos de IA con tu terminal, tus archivos, el navegador y tus apps de mensajería. Envíale un WhatsApp y puede buscar en tu disco, ejecutar un script de shell, revisar una web y contestar en el mismo hilo. Un chatbot no hace nada de eso.
El discurso suena más limpio que la práctica. OpenClaw requiere una configuración técnica, su historial de seguridad en 2026 incluye incidentes serios y su registro público de skills sufrió una campaña coordinada de malware. Conviene saberlo antes de empezar.
¿Qué es OpenClaw?
OpenClaw es gratuito, de código abierto (licencia MIT) y está pensado para ejecutarse en tu propio hardware. Lo creó el desarrollador austríaco Peter Steinberger, conocido por PSPDFKit, y se lanzó en noviembre de 2025 como Clawdbot. Anthropic presentó una queja por marca registrada y pasó a llamarse Moltbot el 27 de enero de 2026; tres días después se convirtió en OpenClaw porque, en palabras de Steinberger, "Moltbot nunca llegó a sonar natural". La mascota, una langosta llamada Molty, sobrevivió a todos los cambios.
OpenClaw conecta modelos con herramientas locales. Imagen del autor.
Un punto que confunde al principio: OpenClaw no es un modelo de IA. Se conecta a un proveedor configurado aparte, en la nube o local, y ese modelo se encarga del razonamiento mientras OpenClaw gestiona el enrutado, la memoria y la ejecución de herramientas.
El núcleo es un servicio de Node.js llamado Gateway. Se ejecuta en segundo plano en el puerto 18789, enruta los mensajes entre tus apps de chat y el modelo, ejecuta las llamadas a herramientas y guarda tus claves de API para que las apps conectadas no accedan a ellas directamente.
Todo esto lo hace muy distinto a un chatbot. OpenClaw puede ejecutar comandos de shell, leer y escribir archivos, controlar un navegador y programar tareas para que se ejecuten sin que estés delante.
Por qué OpenClaw se hizo popular
OpenClaw pasó de 9.000 estrellas en GitHub el primer día a más de 195.000 en 66 días, supuestamente 18 veces más rápido que Kubernetes.
Los desarrolladores llevaban tiempo esperando algo así: un asistente que complete tareas en lugar de solo responder, que se ejecute en tu propio hardware y que se conecte con tus apps.
En abril de 2026, el proyecto superó las 346.000 estrellas. Steinberger anunció su incorporación a OpenAI el 15 de febrero de 2026 y el proyecto evolucionó hacia una estructura fundacional con el respaldo de OpenAI. Siguió con licencia MIT y en manos de la comunidad; no fue adquirido en el sentido tradicional.
La opinión está dividida. A algunas personas les atrae la idea. Otras se topan con problemas de configuración, fiabilidad y costes. La automatización compleja decepciona más de lo que entrega y los costes por tokens sorprenden. Además, la configuración no es apta para principiantes.
Cómo funciona OpenClaw: el Gateway, las herramientas y el bucle del agente
Todo pasa por el Gateway, y ese punto único de control es lo que diferencia OpenClaw de un simple wrapper de modelo.
Cuando envías un mensaje, el Gateway lo recoge desde el canal que uses, adjunta el contexto de los archivos de memoria del agente y de las skills cargadas, y se lo pasa al modelo de IA configurado. Si el modelo quiere actuar (ejecutar un comando, visitar una página, leer un archivo), devuelve esa intención al Gateway. El Gateway ejecuta la acción en el sistema anfitrión —o dentro de un sandbox si lo has configurado— y devuelve el resultado. Puede encadenar varios pasos antes de producir la respuesta final.
El modelo nunca habla directamente con tu sistema de archivos ni con tu terminal.
Todas las acciones pasan por el Gateway. Imagen del autor.
Memoria y programación
OpenClaw guarda la memoria en archivos Markdown simples dentro del espacio de trabajo del agente (~/.openclaw/workspace). El archivo principal, MEMORY.md, contiene hechos y preferencias persistentes que se cargan al inicio de cada sesión. SOUL.md define la personalidad y el tono. AGENTS.md almacena reglas de comportamiento. Como el modelo lee todo esto al iniciar la sesión, los cambios que hagas persisten entre reinicios.
La programación funciona en dos vías. Los heartbeats son comprobaciones periódicas en la sesión principal, cada 30 minutos por defecto en la mayoría de proveedores. Un checklist en HEARTBEAT.md indica al agente qué revisar cada vez. Los cron jobs se ejecutan en momentos exactos en sesiones aisladas, que es lo que necesitas cuando la hora importa de verdad, como un informe diario. Ambos consumen tokens en cada ejecución, así que (truco útil) las tareas abiertas deberían tener una condición de parada clara.
Modelos y canales compatibles
OpenClaw no está ligado a un único proveedor. Funciona con Anthropic, OpenAI, Google, AWS Bedrock y servidores locales vía Ollama o LM Studio. Los modelos locales necesitan al menos una ventana de contexto de 64.000 tokens por la cantidad de contexto que OpenClaw inyecta al inicio de sesión. En cuanto a canales, soporta WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams y más.
Casos de uso de OpenClaw: qué puede hacer de verdad
Su utilidad depende de lo bien que delimites la tarea. Las peticiones amplias se desvían. Las tareas acotadas, repetibles y con entradas claras suelen funcionar.
- Productividad personal: El caso más fiable es un briefing matinal: una tarea programada con heartbeat que recopila emails recientes, eventos de calendario y noticias, y envía un resumen a tu móvil.
- Flujos para desarrolladores: OpenClaw puede inspeccionar repositorios, ejecutar scripts de build, revisar logs y gestionar pull requests mediante la CLI de GitHub o un servidor MCP. Usa tokens acotados por repositorio con fecha de caducidad. El acceso amplio a shell es útil y también la fuente más probable de un borrado accidental de archivos o una fuga de credenciales desde un archivo
.envque entró en el alcance sin querer. - Automatización web: El agente puede navegar páginas, extraer datos e interactuar con interfaces de navegador a través de Chrome DevTools Protocol. Lo que no puede hacer es distinguir entre una página legítima y otra con instrucciones maliciosas incrustadas en el HTML. Cuando le das navegador al agente, el contenido externo se convierte en una superficie de ataque. Más adelante verás un caso documentado de esto en la sección de seguridad.
- Gestión de archivos y documentos: Funciona bien si la raíz del workspace es una carpeta dedicada sin nada sensible. El fallo típico es previsible: dale acceso a tu directorio personal y tarde o temprano leerá algo que no querías compartir.
- Automatización programada: Fiable para tareas recurrentes y bien definidas. Un caso documentado generó varios miles de dólares en costes de API en un solo día por una tarea abierta sin límites de tokens. Pon límites antes de programar nada.
Skills de OpenClaw y ClawHub: qué debes saber y qué evitar
Las skills son la forma de ampliar OpenClaw más allá de sus capacidades de serie. También fue el vector del ataque serio a la cadena de suministro en el espacio de agentes open source.
Qué es una skill
Una skill es una carpeta que contiene un archivo SKILL.md con frontmatter YAML y un cuerpo en Markdown. El frontmatter declara el nombre de la skill, su descripción, binarios requeridos y variables de entorno. Debajo, el cuerpo en Markdown es lenguaje natural: instrucciones que el agente sigue cuando decide que la skill encaja con la tarea actual.
Opcionalmente, una carpeta references/ guarda documentación de API y una carpeta scripts/ incluye scripts auxiliares. Al ser texto y no código compilado, puedes leer las skills antes de ejecutar nada.
Todas las skills siguen este formato en dos partes. Imagen del autor.
Las skills siguen el estándar abierto AgentSkills, por lo que el formato también funciona con Claude Code, Cursor y herramientas similares. En la práctica, la mayoría de skills en ClawHub están escritas específicamente para el modelo de gateway de OpenClaw y dependen de accesos a herramientas que otros entornos no exponen.
ClawHub, el registro público en clawhub.ai, usa búsqueda semántica basada en vectores, así que puedes encontrar skills con consultas en lenguaje natural. Para publicar necesitas una cuenta de GitHub con al menos una semana de antigüedad. El registro superó las 44.000 skills a principios de 2026.
El registro de skills de ClawHub, organizado por categorías. Imagen del autor.
El ataque a la cadena de suministro ClawHavoc
El 1 de febrero de 2026, el investigador de Koi Security Oren Yomtov auditó 2.857 skills en ClawHub y encontró 341 maliciosas, 335 de una campaña coordinada llamada ClawHavoc. Usaba ingeniería social: una sección falsa de "Prerequisites" decía a los usuarios que pegaran comandos de shell. En macOS, la carga útil era Atomic macOS Stealer, que roba contraseñas del navegador, entradas del llavero, monederos de criptomonedas, claves SSH y sesiones de Telegram.
El problema siguió creciendo. A mediados de febrero, el registro superó las 10.700 skills, y análisis posteriores elevaron el total malicioso a más de 1.000 cuentas. Una auditoría más amplia de más de 31.000 skills señaló alrededor del 7,6% como arriesgadas, y un escaneo de Snyk encontró que el 36% contenía inyección de prompts detectable.
ClawHub ahora ejecuta análisis automatizados y tiene integración con VirusTotal, lo que atrapa mucho, pero la inyección de prompts en el texto de instrucciones aún puede colarse. Lee el SKILL.md antes de instalar nada y, si te pide pegar comandos o instalar binarios fuera del proceso normal, sáltatelo. Tampoco cargues un montón de skills de terceros el primer día. Empieza con lo mínimo y mantén las skills desconocidas lejos de archivos y cuentas sensibles.
Cómo se comparan las skills de OpenClaw con Claude Skills
Ambos formatos usan la misma estructura SKILL.md. La diferencia está en dónde se ejecuta la skill. Claude Skills corren dentro de la infraestructura gestionada de Anthropic. Las skills de OpenClaw se ejecutan en tu máquina, dentro del perímetro de confianza completo del agente, con acceso a archivos locales, comandos de shell y sesiones de navegador. Esa diferencia de radio de impacto es la razón por la que el riesgo de cadena de suministro importa más aquí que en un entorno alojado.
Cómo configurar OpenClaw
Los pasos siguientes cubren el flujo a alto nivel. Si quieres capturas y comandos paso a paso, nuestro tutorial de OpenClaw recorre todo el proceso desde cero.
Antes de instalar
Necesitas Node.js 24 (Node 22.19 también vale) y una clave de API de un proveedor compatible o bien un servidor de modelos local que cumpla el mínimo de 64.000 tokens de contexto que mencioné. En Windows, se recomienda WSL2 con Ubuntu; Windows nativo tiene limitaciones con el daemon del gateway. Las necesidades de hardware son ligeras para usos básicos, aunque los montajes con modelos locales son otra historia.
Una decisión previa: ¿dónde lo vas a ejecutar? Una máquina local sirve para probar, pero para algo siempre activo usa un VPS dedicado o una máquina separada en lugar de tu equipo principal.
Flujo de configuración a alto nivel
curl -fsSL https://openclaw.ai/install.sh | bashLuego ejecuta el asistente de onboarding:
openclaw onboard --install-daemonEsto te guía por la elección de proveedor de modelo, configuración de la API y del Gateway. Al terminar, confirma que el Gateway esté en ejecución:
openclaw gateway statusLuego abre el panel:
openclaw dashboardEnvía un mensaje de prueba desde un canal de bajo riesgo antes de conectar nada sensible.
La interfaz de Control en el puerto 18789. Imagen del autor.
Valores seguros que debes configurar de inmediato
Dos comandos de firewall importan más que el resto. Ejecútalos antes de hacer nada:
openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcpEl primero vincula el Gateway solo al loopback. El segundo bloquea el puerto externamente. En el pico, más de 220.000 instancias de OpenClaw eran accesibles desde internet, en su mayoría porque se omitió este paso siguiendo tutoriales antiguos. Usa un perfil de navegador dedicado para la automatización. Ejecuta openclaw security audit --deep después de instalar cualquier skill. Usa tokens de autenticación. Mantén archivos sensibles fuera de la raíz del workspace.
Ejecutar en local no equivale a ejecutar de forma segura. Una instancia local con acceso a shell, archivos y apps de mensajería conectadas es una superficie de ataque real independientemente de dónde corra el modelo.
Riesgos de seguridad de OpenClaw
Estos riesgos son específicos de OpenClaw y varios de los incidentes siguientes se explotaron contra usuarios reales.
El registro de CVE
CVE-2026-25253 (CVSS 8,8) es el que se explotó activamente. Antes de la versión 2026.1.29, un enlace malicioso podía redirigir en silencio la conexión WebSocket de la interfaz de control a un servidor controlado por un atacante. El token de autenticación y las claves del dispositivo de la víctima se enviaban automáticamente durante el handshake, así que un clic en un enlace manipulado bastaba. Un atacante con esas credenciales tenía control total del Gateway y podía ejecutar comandos de shell arbitrarios. El parche 2026.1.29 añadió una confirmación para cerrarlo.
CVE-2026-32922 (CVSS 9,9) se divulgó el 29 de marzo de 2026. Un llamante con un alcance mínimo de token podía escalar a acceso de administrador completo y lograr ejecución remota de código en todos los nodos conectados. Corregido en 2026.3.11. Si tu instancia es anterior a 2026.3.11, actualiza ya. Se han registrado más de 60 avisos de seguridad desde el lanzamiento.
Exposición a internet e inyección de prompts
Como mencioné, en el pico hubo más de 220.000 instancias expuestas públicamente, con más de 17.500 vulnerables a la clase de ataque de CVE-2026-25253. La configuración por defecto actual se liga a loopback, pero las configuraciones antiguas y algunos tutoriales comunitarios no siempre lo reflejan.
La inyección de prompts es el problema más sutil. OpenClaw lee páginas web, correos, documentos y logs como parte de su trabajo. Si alguno contiene instrucciones maliciosas, el agente puede seguirlas. El caso de estudio de Promptfoo en marzo de 2026 mostró a un agente comprobando qué podía acceder, leyendo archivos locales, escribiendo archivos y enviando mensajes no autorizados, todo disparado por visitar una sola web. Funcionó porque la navegación, el acceso a archivos y la mensajería saliente compartían el mismo perímetro sin separación.
Peor aún, instrucciones inyectadas en SOUL.md o AGENTS.md sobreviven entre sesiones y reinicios. El agente las arrastra sin ningún disparador externo.
Cómo reducir el riesgo
Casi todo pasa por los valores seguros de antes: actualiza con regularidad, mantén el Gateway en localhost con el puerto bloqueado, usa tokens de autenticación, guarda los archivos sensibles fuera del workspace y audita tras los cambios. Usa sandboxing con Docker para tareas que toquen entrada externa, tokens de API granulares con caducidad y trata SOUL.md y AGENTS.md como archivos de configuración que monitorizas, no como texto que ignoras.
Salida de auditoría tras instalar una skill. Imagen del autor.
OpenClaw no es arriesgado por ser open source. Es arriesgado porque puede realizar acciones con privilegios si lo configuras así.
¿Merece la pena OpenClaw? Una valoración honesta
Esta parte es mi lectura personal, no un hecho. Los agentes que actúan en lugar de solo responder son otra categoría distinta a los chatbots, y OpenClaw es un ejemplo claro.
Que merezca la pena depende casi por completo de quién lo use. Una persona desarrolladora cómoda con herramientas de terminal, logs, monitorización de APIs y sandboxing puede sacarle partido en flujos acotados. Como dije antes, los montajes que aguantan son los acotados. Los que fallan son los de conectar todas las herramientas, instalar una docena de skills sin leerlas y dejar heartbeats corriendo con prompts abiertos esperando buen comportamiento.
Mi opinión: la automatización compleja puede costar más mantenimiento del que ahorra, y el caso de uso más fiable quizá sea un resumen diario de noticias. Es un retorno escaso para el esfuerzo de puesta en marcha. El enfoque correcto es verlo como infraestructura, no como un asistente. Trátalo así, empieza poco a poco y pon límites estrictos. Si buscas una app de consumo inteligente, aún no es esto.
OpenClaw vs. ChatGPT, Claude, Cursor y Zapier
ChatGPT y Claude son interfaces de chat sin estado: no tienen tareas programadas persistentes ni acceso local a archivos por defecto.
Claude Code y Cursor están acotados al desarrollo de software dentro de un repositorio; son mejores con código que OpenClaw, pero solo hacen eso. Claude Code añadió en abril de 2026 una función de programación alojada en la nube llamada Routines, que cubre parte de lo que hace HEARTBEAT en OpenClaw sin la carga de infraestructura.
Zapier y n8n son herramientas de flujos deterministas donde cada paso está predefinido, lo que las hace más auditables pero menos capaces de manejar peticiones ambiguas que un agente que interpreta lenguaje natural.
|
Tipo de herramienta |
Buen encaje |
Fortaleza principal |
Debilidad principal |
Cuándo elegirla |
|
ChatGPT o Claude |
Preguntas generales, redacción, análisis puntuales |
Sin configuración, interfaz familiar |
Sin estado; sin acceso local ni tareas programadas |
Cuando no hace falta acción en el mundo real |
|
Claude Code o Cursor |
Tareas de código dentro de un repositorio |
Contexto profundo de código, ediciones automáticas |
Limitadas a flujos de programación |
Cuando la tarea es puramente desarrollo de software |
|
Zapier o n8n |
Automatización predecible y auditable |
Ejecución determinista, integraciones amplias |
Dificultad con tareas ambiguas o dependientes del contexto |
Para flujos de alto riesgo donde un fallo cuesta dinero |
|
OpenClaw |
Automatización personal multiherramienta en tu propio hardware |
Memoria persistente, acceso a herramientas locales, multicanal |
Alta complejidad de puesta en marcha, seguridad a cargo del usuario |
Para automatización personal técnica donde tú controlas el riesgo |
Un enfoque útil que surgió en 2026: OpenClaw como capa de razonamiento para tareas ambiguas; n8n o Zapier como capa de ejecución para las de alto volumen y predecibles, conectadas por webhooks. No siempre compiten entre sí.
Para quién encaja OpenClaw
Desarrolladores que automatizan flujos técnicos recurrentes e investigadores que estudian agentes que usan herramientas son el mejor encaje. Quienes ya gestionan servicios autohospedados en su homelab encontrarán la configuración familiar.
¿Quién debería evitar OpenClaw?
Cualquiera que no se sienta cómodo con comandos de terminal, permisos de archivos y gestión de claves de API debería esperar. La configuración no es para principiantes.
Además, quien maneje archivos sensibles sin un entorno en sandbox debería esperar. Los equipos con requisitos de cumplimiento quizá necesiten alternativas gestionadas como AWS Bedrock Agents. Y si no estás dispuesto a revisar el código de las skills de la comunidad antes de instalarlas, mejor no ejecutes skills de ClawHub en una máquina con credenciales reales.
Conclusión
OpenClaw importa porque muestra cómo son los agentes de IA personales cuando pueden hacer cosas: no chatbots más listos, sino sistemas con acceso a tus archivos, tu shell, tu navegador y tus apps de mensajería.
Los riesgos son reales por la misma razón. El acceso que permite un briefing matinal o revisar PRs es el mismo que ClawHavoc convirtió en robo de credenciales.
Empieza con una tarea. Ejecútala en un entorno aislado. Pon límites. Como dije antes, revisa las skills antes de instalarlas. OpenClaw no es un producto que despliegas y olvidas. Es infraestructura, y tratarlo como tal desde el principio evita que el experimento acabe en incidente.
Si quieres profundizar, nuestra guía de proyectos con OpenClaw y la guía de skills de ClawHub cubren lo que la gente está construyendo. El curso AI-Assisted Coding for Developers cubre habilidades de agentes más generales.
