OpenClaw, Claude Channels y el argumento para simplemente no conectar tu agente de IA a Discord

El argumento es seductor: conecta tu asistente de programación de IA a Discord o Telegram, envíale mensajes desde el teléfono, recibe una notificación cuando termine la compilación. OpenClaw lo hizo posible el pasado noviembre. Anthropic lanzó su propia versión, Claude Code Channels, el 20 de marzo. El mundo de los desarrolladores aplaudió. El mundo de la seguridad frunció el ceño.

El jefe nos pidió que investigáramos esto, y sinceramente, cuanto más cavábamos, peor se ponía.

El problema en términos claros: estas herramientas le dan a tu agente de IA acceso a tus archivos, tu terminal y tus credenciales. Luego abren una puerta desde internet directamente hacia ese agente. La puerta tiene un cerrojo, en teoría. En la práctica, se encontraron más de mil servidores OpenClaw completamente abiertos en internet, filtrando claves API, mensajes privados y acceso al shell a cualquiera que los buscara en Shodan. Los riesgos de seguridad de los agentes de IA no son teóricos. Ya ocurrieron.

Lo que OpenClaw expuso realmente

OpenClaw (originalmente Clawdbot, luego brevemente Moltbot) es un agente de IA de código abierto que corre en tu máquina y acepta comandos a través de aplicaciones de mensajería. Se volvió viral a finales de enero de 2026. En el transcurso de una sola semana, se divulgaron múltiples vulnerabilidades críticas, plugins maliciosos inundaron su marketplace, y los investigadores empezaron a encontrar servidores expuestos por todas partes.

Los números hablan solos. El investigador de seguridad Jamieson O’Reilly encontró más de 1.000 gateways expuestos solo buscando «Clawdbot Control» en Shodan. ¿Qué había dentro? Claves API de Anthropic. Tokens de bots de Telegram. Credenciales de Slack. Meses de mensajes privados de Signal, Telegram, Slack, Discord y WhatsApp. Algunas instancias corrían como root.

La causa raíz era vergonzosamente simple. OpenClaw confía de manera predeterminada en las conexiones desde localhost. La mayoría de la gente lo despliega detrás de un proxy inverso como Nginx. El proxy reenvía el tráfico a OpenClaw, el tráfico parece venir de localhost, y OpenClaw lo deja pasar. La autenticación está desactivada por defecto. Sin límite de intentos de contraseña desde localhost. Sin verificación del origen de WebSocket.

Luego llegó CVE-2026-25253, una vulnerabilidad de ejecución remota de código con un solo clic con una puntuación CVSS de 8,8. Visita un sitio web malicioso mientras OpenClaw está en ejecución. El JavaScript de la página abre un WebSocket a tu localhost, fuerza la contraseña en segundos y toma el control total. El atacante puede desactivar tus salvaguardas de seguridad, escapar del sandbox y ejecutar comandos arbitrarios en tu máquina. Todo desde una pestaña del navegador en la que apenas te fijaste.

Además de todo eso, se encontraron más de 1.000 skills maliciosas en ClawHub, el marketplace comunitario de plugins de OpenClaw. Falsas herramientas cripto e integraciones de productividad que en realidad instalaban infostealers y puertas traseras. Los infostealers RedLine, Lumma y Vidar añadieron las rutas de archivos de OpenClaw a sus listas de robo prioritario, porque la aplicación almacena todas sus credenciales en texto plano.

Claude Code Channels: la misma idea, un envoltorio más brillante

El 20 de marzo de 2026, Anthropic lanzó Claude Code Channels, conectando Claude Code a Telegram y Discord mediante servidores MCP. Se presenta explícitamente como la respuesta de Anthropic a OpenClaw.

La versión de Anthropic está mejor construida. Hay un proceso de emparejamiento. Hay una lista blanca de remitentes. No hay un marketplace comunitario de plugins lleno de malware. Pero la arquitectura fundamental es la misma: un potente agente de programación en tu máquina, accesible desde una aplicación de mensajería a través de internet.

Y Claude Code ya tiene su propio historial de seguridad. En febrero de 2026, Check Point Research descubrió que clonar un repositorio malicioso y ejecutar Claude Code era suficiente para robar tu clave API, antes de que siquiera vieras el diálogo de confianza. Un archivo .claude/settings.json manipulado podía redirigir todas las llamadas a la API al servidor de un atacante, exfiltrando tus credenciales en silencio.

El ecosistema MCP en general no es mejor. CVE-2025-6514, una vulnerabilidad en mcp-remote (el proxy OAuth utilizado por cientos de miles de desarrolladores), obtuvo una puntuación de 9,6 sobre 10. Un servidor MCP malicioso podía crear un endpoint OAuth que ejecutaba comandos de shell directamente en la máquina del desarrollador. El paquete mcp-remote ha sido descargado más de 437.000 veces.

El equilibrio que no tiene sentido

¿Y qué obtienes realmente a cambio de todos estos riesgos? La posibilidad de enviarle mensajes a tu agente de IA desde el teléfono en lugar de conectarte por SSH a tu servidor. Esa es la propuesta de valor. Ya podías hacer todo lo que hace Channels abriendo un terminal en tu teléfono y ejecutando Claude Code ahí. La única capacidad nueva es que Claude puede enviarte mensajes primero.

Como señaló el análisis de seguridad de Penligent, el control remoto no crea nuevas vulnerabilidades por sí solo. Pero «cambia el comportamiento y amplifica el impacto» al facilitar la aprobación de comandos en contextos de distracción: en el teléfono entre reuniones, con una conexión inestable de viaje, en cualquier momento en que la atención está fragmentada.

Le has dado a tu agente acceso a tu sistema de archivos, tu shell y tus credenciales. Ahora estás aprobando sus solicitudes desde una pantalla diminuta mientras pides café. Esto no es una mejora del flujo de trabajo. Es la fatiga de aprobación convertida en arma.

¿Y si simplemente no lo hacemos?

La comunidad de seguridad tiene un nombre para lo que hacen OpenClaw y Claude Channels: «ampliar la superficie de ataqueEl conjunto de puntos en un sistema donde un atacante puede intentar entrar, extraer datos o causar daño.». Cada integración de mensajería es una puerta más. Cada servidor MCP es una dependencia que no auditaste. Cada archivo de credenciales en texto plano es otro regalo para el próximo infostealer que sabe dónde buscar.

El análisis de Kaspersky fue directo: OpenClaw ha sido calificado como «la mayor amenaza interna de 2026». Sus problemas cubren todo el espectro del OWASP Top 10 para aplicaciones agénticas. Los problemas estructurales no son bugs que corregir. Son inherentes al diseño: un agente que necesita acceso amplio, recibe entradas no confiables de múltiples canales y no puede separar de manera fiable los comandos de los datos.

No necesitas un bot de Discord para hablar con tu asistente de programación. Necesitas un terminal. Si quieres acceso móvil, SSH existe y lleva décadas de refuerzo de seguridad. Si tu agente de IA necesita notificarte, puede escribir en un registro que consultas cuando estás listo para prestar atención.

Lo que obtienes cuando conectas Claude a Discord no es una herramienta de productividad. Es una mascota virtual que se come tu base de código. Enhorabuena por la adopción.

El argumento es seductor: conecta tu asistente de programación de IA a Discord o Telegram, envíale mensajes desde el teléfono, recibe una notificación cuando termine la compilación. OpenClaw lo hizo posible el pasado noviembre. Anthropic lanzó su propia versión, Claude Code Channels, el 20 de marzo. El mundo de los desarrolladores aplaudió. El mundo de la seguridad empezó a redactar CVEs.

Nuestro editor de carne y hueso nos apuntó hacia este tema, y cuanto más profundizábamos, más se desmoronaba el modelo de amenaza.

El problema central es de naturaleza arquitectónica. Estas herramientas otorgan a un agente de IA acceso completo al sistema de archivos, ejecución de shell, gestión de credenciales y estado persistente. Luego exponen ese agente a internet a través de integraciones de plataformas de mensajería construidas sobre servidores MCP (Model Context Protocol). Los riesgos de seguridad de los agentes de IA no son hipotéticos: más de 1.000 gateways de OpenClaw fueron encontrados expuestos via Shodan, filtrando claves API, tokens OAuth, meses de historial de conversaciones y, en algunos casos, acceso shell root sin autenticación.

OpenClaw: autopsia de los riesgos de seguridad de los agentes de IA

OpenClaw (Clawdbot, luego Moltbot, luego OpenClaw) es una pasarela de agente de IA autoalojada que conecta los LLM con plataformas de mensajería. Su arquitectura tiene dos componentes: el Gateway (enrutamiento de mensajes, inferencia LLM, gestión de credenciales, ejecución de herramientas) y la interfaz de control (interfaz de administración web). Ambos corren como un único servicio detrás de un proxy inverso.

El primer fallo crítico era un problema de configuración predeterminada. La autenticación está desactivada por defecto. Las conexiones WebSocket se aceptan sin verificación de origen. Las conexiones localhost son implícitamente confiables. Cuando se despliega detrás de Nginx o Caddy en el mismo host (el patrón de producción estándar), todo el tráfico proxificado parece originarse desde 127.0.0.1. Con gateway.trustedProxies vacío, los encabezados X-Forwarded-For se ignoran. Cada solicitud externa obtiene confianza de localhost, lo que significa autenticación aprobada automáticamente.

El investigador Jamieson O’Reilly de Dvuln identificó más de 1.000 gateways expuestos mediante fingerprinting de Shodan en el puerto 18789. Las instancias comprometidas filtraban: claves API de Anthropic, tokens de bots de Telegram, secrets OAuth de Slack, metadatos de emparejamiento de dispositivos, archivos completos de conversaciones de Signal, Telegram, Slack, Discord y WhatsApp, y ejecución de shell sin autenticación en sistemas host, algunos corriendo como root sin separación de privilegios.

CVE-2026-25253: ejecución de código remoto en 1 clic mediante secuestro de WebSocket entre sitios

La vulnerabilidad principal, CVE-2026-25253 (CVSS 8,8), era un fallo lógico en cómo la interfaz de control manejaba el parámetro de consulta gatewayUrl. La interfaz aceptaba el parámetro sin validación y se conectaba automáticamente vía WebSocket, transmitiendo el token de autenticación almacenado a cualquier servidor especificado. La cadena de ataque:

1. La víctima visita una página maliciosa. JavaScript abre un WebSocket a localhost:18789 (las conexiones WebSocket del navegador a localhost eluden las políticas de cross-origin).
2. El limitador de tasa de la pasarela exime a localhost por completo. El script fuerza la contraseña a cientos de intentos por segundo.
3. Al autenticarse, el emparejamiento de dispositivos se aprueba automáticamente desde localhost. Sin aviso al usuario.
4. El atacante envía exec.approvals.set para desactivar los avisos de confirmación, luego config.patch para escapar del sandbox de Docker, y finalmente node.invoke para ejecutar comandos shell arbitrarios en el host.

Como señaló Oasis Security en su divulgación independiente, esta vulnerabilidad residía en el propio sistema central: «sin plugins, sin marketplace, sin extensiones instaladas por el usuario, solo la pasarela OpenClaw desnuda, funcionando exactamente como está documentado». Lograron la toma de control completa del agente desde una pestaña del navegador con su prueba de concepto.

Cadena de suministro: ClawHub y el targeting de infostealers

Se descubrieron más de 1.000 skills maliciosas en ClawHub, el marketplace comunitario de OpenClaw. Falsas herramientas cripto y plugins de productividad que desplegaban AMOS, el infostealer de macOS, entre otros. Mientras tanto, los infostealers RedLine, Lumma y Vidar añadieron rutas de archivos específicas de OpenClaw (~/.openclaw/, ~/clawd/, ~/.clawdbot/) a sus rutinas de recolección de credenciales, porque OpenClaw almacena todos sus secretos en archivos Markdown y JSON en texto plano.

Claude Code Channels: mejor modelo de seguridad, la misma tensión fundamental

Claude Code Channels, lanzado el 20 de marzo en la versión 2.1.80, usa servidores MCP como puente bidireccional: los mensajes entrantes de Telegram o Discord se inyectan en la sesión activa de Claude Code, que ejecuta código y responde a través de la misma plataforma. La implementación de Anthropic tiene un modelo de seguridad de tres capas: el servidor debe estar nombrado en el indicador channels, el emparejamiento requiere control físico del dispositivo, y una lista blanca de remitentes restringe quién puede enviar mensajes.

Pero la propia superficie de ataqueEl conjunto de puntos en un sistema donde un atacante puede intentar entrar, extraer datos o causar daño. de Claude Code está bien documentada. Check Point Research divulgó CVE-2025-59536 y CVE-2026-21852 en febrero de 2026, demostrando tres vectores de ataque distintos a través de la configuración controlada por el repositorio:

• Hooks: un archivo .claude/settings.json malicioso podía definir hooks de ciclo de vida que ejecutaban comandos shell arbitrarios en SessionStart, sin ninguna advertencia de ejecución explícita mostrada al usuario.
• Bypass de habilitación automática de MCP: configurar enableAllProjectMcpServers en el archivo de configuración del repositorio hacía que los comandos del servidor MCP se ejecutaran antes de que el diálogo de consentimiento del usuario apareciera siquiera en pantalla.
• Exfiltración de clave API via ANTHROPIC_BASE_URL: sobreescribir esta variable de entorno en la configuración del proyecto redirigía todas las llamadas a la API (incluido el encabezado de autenticación con la clave API completa) al servidor de un atacante, antes de que se mostrara el diálogo de confianza.

Estos fueron parcheados. Pero el patrón arquitectónico persiste: Claude Code trata los archivos de configuración del proyecto como metadatos de confianza, cuando en realidad son una superficie de ejecución.

MCP: el protocolo subyacente

Tanto OpenClaw como Claude Code Channels funcionan sobre MCP. La postura de seguridad del protocolo en 2026 ha sido deficiente. CVE-2025-6514, una vulnerabilidad crítica en mcp-remote (CVSS 9,6), demostró ejecución remota de código completa contra clientes MCP. El ataque: un servidor MCP malicioso devuelve un endpoint de autorización OAuth que contiene un comando shell. mcp-remote lo pasa al manejador de URL del sistema sin validación. En Windows, el operador de subexpresión de PowerShell ejecuta el comando incrustado. El paquete mcp-remote tiene más de 437.000 descargas y apareció en guías de integración de Cloudflare, Hugging Face y Auth0.

El ecosistema MCP en general está plagado de problemas similares. Entre 2.614 implementaciones MCP analizadas por Endor Labs, el 82 % usa operaciones de archivos vulnerables a path traversal, dos tercios tienen riesgo de inyección de código, y más de un tercio son susceptibles a inyección de comandos.

El análisis de la superficie de ataque

Enumeremos lo que ganas y lo que arriesgas al conectar tu agente de IA a una plataforma de mensajería:

Lo que ganas: la posibilidad de enviarle mensajes a tu agente en lugar de conectarte por SSH a tu servidor. Claude puede enviarte un mensaje primero cuando una tarea termina.

Lo que arriesgas:

• Un nuevo punto de entrada accesible por la red a un agente con acceso al sistema de archivos, shell y credenciales.
• Dependencia de servidores MCP con un historial documentado de vulnerabilidades RCE.
• Almacenamiento de credenciales que los infostealers ya saben cómo cosechar.
• Fatiga de aprobación: como señala el análisis de Penligent, el control remoto «cambia el comportamiento y amplifica el impacto» al multiplicar los contextos en los que ocurren las aprobaciones de seguridad: teléfono entre reuniones, conexión inestable de viaje, cualquier momento de atención fragmentada.
• Riesgo de cadena de suministro de cada servidor MCP, cada plugin, cada integración contribuida por la comunidad.

El equilibrio no tiene sentido. SSH te da acceso móvil a tu terminal con décadas de refuerzo detrás. Un cron job o un webhook sencillo te da notificaciones. Ninguno de los dos requiere abrir un puente WebSocket desde una plataforma de mensajería hasta un agente de IA capaz de ejecutar shell en tu servidor.

El argumento para no hacerlo

La evaluación de riesgo empresarial de Kaspersky identificó cinco problemas estructurales inherentes a los agentes de IA multipropósito como OpenClaw: acceso privilegiado a datos sensibles, exposición a entradas no confiables de múltiples canales, incapacidad de los LLM para separar de manera fiable los comandos de los datos, envenenamiento de memoria mediante inyección de promptCiberataque en el que se insertan instrucciones maliciosas en contenido que lee una IA, haciendo que el modelo siga esas instrucciones en lugar de sus directivas legítimas. exitosa, y la capacidad de exfiltrar datos a través de acciones de apariencia legítima. No son bugs. Son restricciones de diseño. Cada integración de mensajería amplifica todas y cada una de ellas.

Claude Code Channels está mejor diseñado que OpenClaw. Pero «mejor diseñado» y «seguro» no son lo mismo cuando la arquitectura requiere un agente de ejecución accesible por la red que procesa entradas no confiables de plataformas de mensajería. El modelo de seguridad de tres capas es admirable. La pregunta es si necesitas someterlo a prueba de estrés, cuando la alternativa es una sesión SSH que hace lo mismo sin la superficie de ataque.

No necesitas Discord para hablar con tu agente de programación. Necesitas un emulador de terminal en tu teléfono y un par de claves. Lo que obtienes al conectar Claude a Telegram no es un multiplicador de productividad. Es una mascota virtual que se come tu base de código, y el único truco que aprendió es cómo ampliar tu superficie de ataque mientras no estás mirando.