Investigadores de ciberseguridad han confirmado el primer caso documentado de robo de archivos de configuración de un agente de IA OpenClaw. Los ficheros sustraídos incluían claves API, tokens de autenticación y claves criptográficas, es decir, los elementos que dan acceso directo al “interior” del asistente de IA personal de la víctima y a su ecosistema digital asociado.
Qué es OpenClaw y por qué los agentes de IA se han convertido en un objetivo de alto valor
OpenClaw (anteriormente conocido como ClawdBot y MoltBot) es un framework de agentes de IA instalable en local que almacena configuración persistente y “memoria” en el dispositivo del usuario. El agente puede acceder a archivos locales, integrarse con clientes de correo, mensajería y otros servicios externos. Su popularidad, reflejada en una comunidad masiva en GitHub, lo ha convertido en una pieza clave en los flujos de trabajo personales y corporativos.
Precisamente esta combinación de profunda integración en la vida digital y concentración de datos sensibles sitúa a OpenClaw —y a soluciones similares— como un objetivo prioritario para los infostealers, malware especializado en el robo de credenciales, cookies y documentos confidenciales. Tendencias observadas con familias como RedLine, Raccoon o Lumma muestran un crecimiento continuado de este tipo de amenazas en entornos Windows y corporativos.
El incidente con Vidar: cómo se filtró la configuración de OpenClaw
De acuerdo con la firma de inteligencia de amenazas Hudson Rock, la configuración de OpenClaw fue robada a un usuario mediante el infostealer Vidar, en un incidente fechado el 13 de febrero de 2026. Se trata del primer caso público en el que se confirma la exfiltración de archivos de configuración de un agente de IA en el contexto de una campaña masiva de infostealers.
Un aspecto relevante es que Vidar no incluía un módulo específico para OpenClaw. El malware empleó su lógica genérica: escanear el sistema de archivos en busca de documentos cuyo nombre o contenido contuviera términos como “token” o “private key”. El directorio .openclaw cumplía estos criterios y fue añadido automáticamente al conjunto de archivos robados, sin necesidad de desarrollar reglas personalizadas.
Hudson Rock destaca que este caso marca un hito en la evolución de los infostealers: de limitarse al robo de contraseñas de navegador y cookies a comprometer la identidad digital completa a través de agentes de IA, que actúan como hubs de información altamente estructurada.
Qué archivos de OpenClaw se robaron y por qué son tan críticos
Openclaw.json: token de autenticación y datos de identificación
Entre los ficheros extraídos se encuentra Openclaw.json, que contiene la dirección de correo del propietario (enmascarada), la ruta de trabajo del agente y un token de autenticación de gateway de alta entropía. Este tipo de token puede permitir a un atacante conectarse al agente local de OpenClaw o suplantar a un cliente legítimo en llamadas autenticadas, abriendo la puerta a acciones encubiertas y persistentes.
Device.json: claves criptográficas ligadas al dispositivo
El archivo Device.json incluye los campos publicKeyPem y privateKeyPem, claves utilizadas para vincular el dispositivo y firmar mensajes. Con la clave privada en su poder, un atacante podría:
— Firmar peticiones como si procedieran del dispositivo de la víctima;
— Eludir controles de integridad o mecanismos tipo “Safe Device”;
— Intentar acceder a logs cifrados o servicios en la nube asociados a ese dispositivo.
Soul.md y memoria del agente: contexto personal y perfil conductual
También se vieron comprometidos los archivos Soul.md, AGENTS.md y MEMORY.md, que describen el comportamiento del agente y almacenan contexto persistente: histórico de interacciones, fragmentos de conversaciones, notas de trabajo, eventos de calendario y otros datos personales. En la práctica constituyen un “perfil psicológico” y un diario operativo del usuario, extremadamente valiosos para ataques de ingeniería social y suplantación de identidad.
Por qué los ataques a agentes de IA crecerán en frecuencia e impacto
OpenClaw es solo un ejemplo de una ola de frameworks de agentes de IA locales que se están incorporando aceleradamente a entornos empresariales y domésticos. A medida que aumente su adopción, es previsible que los grupos criminales:
— Añadan firmas y rutas específicas de agentes de IA a sus infostealers;
— Busquen de forma sistemática directorios de configuración y archivos de memoria;
— Exploten tokens y claves robadas para movimientos laterales, acceso a correo, almacenamiento en la nube y chats corporativos, en campañas de larga duración y difícil detección.
Para los atacantes, un agente de IA es un concentrador de información sensible altamente estructurada: ve más que un navegador o una sola aplicación de mensajería, y organiza el conocimiento del usuario de manera ideal para su explotación.
El caso OpenClaw ilustra que la seguridad de la infraestructura de IA debe tratarse ya al mismo nivel que la protección del correo electrónico, los navegadores o los dispositivos móviles. Empresas y usuarios finales deberían reforzar la protección del endpoint (antivirus y soluciones EDR actualizadas), minimizar y segmentar secretos (claves y tokens estrictamente necesarios, entornos separados para trabajo y uso personal), cifrar y restringir el acceso a directorios como .openclaw y aplicar una rotación periódica de claves. Revisar con rigor qué integraciones se conceden al agente de IA y aplicar el principio de mínimo privilegio es clave para reducir el impacto de futuras brechas. Empezar ahora a securizar configuraciones, claves y memoria de los agentes es una inversión directa en resiliencia frente a la próxima generación de ataques dirigidos a la inteligencia artificial.
