Borrado de correos, robo de datos y hasta una nueva "religión": cómo los nuevos asistentes de IA se apoderan de los ordenadores

Una nueva clase de asistentes basados en inteligencia artificial convierte rápidamente el ordenador de trabajo en un sistema semiautónomo. El programa obtiene acceso a archivos, correo, mensajería y servicios y ejecuta por sí mismo las tareas del usuario. Suena cómodo, pero las historias recientes muestran otra cara de la tecnología. Un error de configuración o un experimento imprudente pueden convertir fácilmente a ese asistente en una fuente de problemas graves.

Uno de los proyectos más discutidos fue OpenClaw. Los desarrolladores lanzaron OpenClaw en noviembre de 2025 como un programa de código abierto. El agente funciona directamente en el ordenador del usuario y es capaz de tomar medidas de forma autónoma sin una orden directa. Tras la instalación, el programa obtiene acceso al correo y al calendario, inicia aplicaciones, busca información en internet y se conecta a Discord, Signal, Teams o WhatsApp.

Sistemas similares ofrecen otras plataformas, por ejemplo Claude de Anthropic o Copilot de Microsoft. La diferencia es que OpenClaw no se comporta como un asistente pasivo que espera indicaciones. El programa analiza los datos del usuario y decide por sí mismo qué acciones ejecutar.

A veces esa autonomía conduce a consecuencias inesperadas. A finales de febrero la directora de seguridad de inteligencia artificial en el laboratorio de "superinteligencia" de Meta, Summer Yue, relató un experimento fallido. Mientras trabajaba con OpenClaw, el asistente empezó de forma abrupta a borrar masivamente correos de la bandeja de entrada. Los intentos de detener el proceso desde el teléfono no funcionaron. Al final, Yue tuvo que correr urgentemente al ordenador para detener manualmente el programa.

Estos casos parecen curiosos, pero los problemas de seguridad son mucho más serios. El pentester Jamison O'Riley de la empresa DVULN descubrió que muchos usuarios publican en internet la interfaz web de gestión de OpenClaw sin protección. A través de esa interfaz cualquiera puede obtener el archivo de configuración del agente. En el archivo se almacenan claves de API, tokens de bots, secretos OAuth y otras credenciales.

El acceso a esos datos abre muchas posibilidades. El atacante puede leer la correspondencia en todos los servicios conectados, enviar mensajes en nombre del propietario y extraer datos sin ser detectado mediante integraciones legítimas del agente. Al mismo tiempo, el tráfico de red aparenta el funcionamiento normal del programa.

O'Riley mostró otro escenario de ataque a través de ClawHub, un catálogo público de "habilidades" para OpenClaw. El usuario instala esos módulos para conectar el asistente con otras aplicaciones. Un módulo malicioso puede convertir una actualización en un ataque a la cadena de suministro.

Un caso similar ocurrió ya con el asistente para programación Cline. El ataque empezó con una "inyección de instrucción": una directiva en texto que obliga al sistema a ignorar restricciones de seguridad incorporadas. El atacante creó una tarea en un repositorio en GitHub. El título parecía un informe de rendimiento habitual, pero en su interior había una orden oculta para instalar un paquete desde un repositorio concreto. Tras una serie de maniobras adicionales, el paquete malicioso llegó a la versión nocturna oficial de Cline. Como resultado, miles de sistemas instalaron automáticamente OpenClaw con acceso total al dispositivo.

La popularidad de estas herramientas se explica por la moda del llamado "programación intuitiva". El usuario solo describe la idea y el sistema escribe el código. Uno de los ejemplos más extraños es el proyecto Moltbook. El desarrollador encargó a OpenClaw crear una plataforma similar a Reddit pero destinada a la interacción entre programas agentes. En pocos días se registraron en el sistema más de 1,5 millones de bots. Los agentes empezaron a intercambiar mensajes, a detectar errores en el código e incluso crearon su propia religión Crustafarian con un símbolo en forma de langosta gigante.

Esta automatización también tiene su lado negativo. En febrero la plataforma en la nube Amazon AWS informó sobre una campaña masiva de hackeos. El atacante utilizó varias soluciones comerciales de inteligencia artificial para atacar más de 600 dispositivos FortiGate en 55 países. Los servicios ayudaron a planificar la agresión, buscar puertos administrativos abiertos y probar contraseñas débiles.

Los especialistas señalan una nueva tendencia. Antes, los ataques complejos requerían un equipo de hackers experimentados. Ahora una persona con habilidades limitadas puede usar varias plataformas de inteligencia artificial y automatizar el trabajo. Si la defensa resulta demasiado compleja, el atacante simplemente se desplaza a un objetivo más vulnerable.

El peligro aumenta también porque las redes corporativas empiezan a confiar gradualmente en estos asistentes. Si un atacante obtiene acceso a un agente, el movimiento lateral dentro de la red se facilita. El agente ya tiene acceso a datos, servicios internos y la correspondencia de los empleados.

El desarrollador del framework web Django, Simon Willison, describió un modelo básico de riesgo que llamó "la tríada letal". Un sistema vulnerable combina tres propiedades: acceso a datos confidenciales, capacidad para recibir contenido no verificado y un canal para enviar información al exterior. Si un agente posee las tres capacidades, un atacante puede lograr que el programa extraiga datos y los transmita al atacante.

A medida que estos asistentes se extienden, el volumen de código generado por inteligencia artificial crece muy rápido. Revisar ese código manualmente se vuelve cada vez más difícil. Ante este problema, la empresa Anthropic presentó recientemente una función de prueba, Claude Code Security. La herramienta analiza el código fuente, busca vulnerabilidades y propone correcciones.

Incluso el anuncio de la nueva función tuvo un impacto notable en el mercado. Tras la presentación, grandes empresas del sector de ciberseguridad perdieron alrededor de 15 000 millones de dólares de capitalización bursátil en un día.

A pesar de los riesgos, es poco probable que se renuncie a estos sistemas. La economía del desarrollo de software cambia demasiado rápido. Los asistentes autónomos ya han empezado a aparecer en redes corporativas y, según los especialistas, con el tiempo se convertirán en una herramienta de trabajo habitual. La cuestión es una sola: ¿podrán las empresas reorientar su protección con suficiente rapidez para sobrevivir a la nueva era de ataques automatizados?