Cuando miles de desarrolladores comenzaron su jornada laboral el 17 de febrero de 2024, una de las herramientas en las que más confiaban ya llevaba varias horas comprometida. El atacante había secuestrado los derechos de acceso de un token de mantenimiento de npm de la popular herramienta de codificación por IA Cline y publicó una versión maliciosa (la versión 2.3.0) que, al instalarse, descargaba código externo y permitía la propagación del agente de IA OpenClaw. El paquete estuvo activo durante unas ocho horas antes de ser retirado, según Enterprise Security Tech.
El incidente no es un caso aislado de hacking creativo. Es un síntoma de un problema más profundo: la carrera por lanzar productos de IA lo más rápido posible ha hecho que la seguridad sea una consideración secundaria.
Una catástrofe anunciada
El ataque no fue imprevisto. El investigador de seguridad Adnan Khan ya había advertido de forma privada el 1 de enero de 2024 sobre una vulnerabilidad específica de inyección de prompts en Cline. El 7 de febrero, publicó una «prueba de concepto» que demostraba cómo se podía abusar de los flujos de trabajo automatizados en la herramienta. Diez días después, el atacante actuó, utilizando exactamente la técnica que Khan había descrito.
El atacante secuestró los derechos de un token de mantenimiento y publicó la versión maliciosa 2.3.0 a las 03:26 PT. El script de instalación contenía un gancho de preinstalación (preinstall hook) que descargaba código externo, lo que potencialmente permitía el robo de credenciales a través de GitHub Actions. Los encargados del mantenimiento de Cline confirmaron el incidente en un aviso público y eliminaron el paquete, pero no se ha documentado ninguna actualización de seguridad específica más allá de esto, según la revisión de los informes disponibles a principios de 2026.
El atacante no necesitó irrumpir en el código de Cline. Bastó con engañar al agente de IA para que hiciera el trabajo por sí mismo.
Inyección de prompts: la mayor herida abierta de la seguridad en IA
El ataque se basa en lo que OWASP clasifica como el mayor riesgo de seguridad para las aplicaciones basadas en LLM en 2025: la inyección de prompts (LLM01:2025). La técnica es conceptualmente sencilla, pero en la práctica es muy difícil de defender.
Se insertan instrucciones ocultas en el texto que un agente de IA lee y procesa: un sitio web, un documento, un correo electrónico o un paquete de código. El agente no puede distinguir de manera consistente entre los comandos legítimos del usuario y las directivas maliciosas y, por lo tanto, los ejecuta como si provinieran del propio usuario.
Esto ya no es hipotético. En junio de 2025, se descubrió EchoLeak (CVE-2025-32711, CVSS 9.3 Crítico) en Microsoft 365 Copilot: un ataque de cero clics a través de un correo electrónico especialmente diseñado que exfiltraba registros de chat, archivos de OneDrive, contenido de SharePoint y mensajes de Teams, sin que el usuario tuviera que hacer nada. Ese mismo mes, el agente Supabase Cursor se vio comprometido cuando un SQL inyectado en tickets de soporte fue procesado por un agente con acceso privilegiado, y tokens de integración sensibles terminaron en hilos públicos.
Los análisis de ClawHub —el mercado de habilidades para OpenClaw— muestran que el 36 por ciento de las 3.984 habilidades de agentes analizadas son vulnerables, y que 76 están confirmadas como maliciosas. De estas, el 91 por ciento utiliza inyección de prompts combinada con código dañino, y todas contienen código ejecutable, según un análisis de Snyk reproducido por VirusTotal.
OpenClaw: más que un asistente útil
Para entender la gravedad del incidente de Cline, hay que comprender de qué es capaz realmente OpenClaw.
OpenClaw es un agente de IA de código abierto diseñado para ejecutarse localmente en Mac, Windows, Linux y ordenadores de placa única como Raspberry Pi. Puede leer y escribir archivos, ejecutar comandos y scripts de shell, controlar el navegador de forma autónoma, rellenar formularios, extraer datos y comunicarse a través de servicios de mensajería como WhatsApp, Telegram, Discord, Slack, iMessage y Signal. Se conecta a servicios en la nube como Anthropic Claude, OpenAI y Google, o a modelos locales a través de Ollama y LM Studio.
El agente almacena memoria persistente como archivos Markdown locales —incluyendo AGENTS.md, SOUL.md y MEMORY.md— y puede programar tareas automatizadas a través de un demonio de «latido» (heartbeat). Recuerda las preferencias del usuario, el historial y los patrones a través de las sesiones.
Para un usuario legítimo, estas son funciones potentes. Para un atacante que ha logrado instalar el agente sin el conocimiento del usuario, es un marco de ataque completo. Cisco describe a OpenClaw como una «pesadilla para la privacidad» sin mecanismos de control suficientes, según un análisis publicado en el blog de IA de Cisco. CrowdStrike recomienda que los equipos de seguridad supervisen el tráfico DNS hacia openclaw.ai como señal de entornos comprometidos.
«Promptware»: una nueva clase de software malicioso
El investigador de seguridad Christian Schneier y sus colegas describen en un nuevo análisis (2026) lo que llaman la «Cadena de Muerte de Promptware» (Promptware Kill Chain), un modelo de ataque estructurado donde la inyección de prompts se utiliza igual que el malware tradicional: acceso inicial (por ejemplo, a través de una invitación de Google Calendar), escalada de privilegios, persistencia, movimiento lateral y, finalmente, exfiltración.
La diferencia esencial con el malware tradicional: el atacante no necesita comprometer el código. Basta con engañar al agente de IA.
Kasimir Schulz, de HiddenLayer Inc., afirma según The Verge que OpenClaw obtiene una puntuación alta en los tres factores de riesgo más graves de los estándares establecidos de evaluación de riesgos de IA. Michael Freeman, de la empresa de ciberseguridad Armis, sostiene que OpenClaw fue «construido a toda prisa sin una evaluación suficiente de la seguridad» y que los clientes de la empresa ya se han visto afectados. Ambas declaraciones provienen de actores con intereses comerciales en la industria de la seguridad —lo cual debe tenerse en cuenta—, pero los hallazgos están respaldados por análisis independientes de Snyk, VirusTotal y Cisco.
Las autoridades chinas del Ministerio de Industria y Tecnología de la Información habrían emitido una advertencia oficial de que el uso mal configurado de OpenClaw podría abrir la puerta a ciberataques y filtraciones de datos, según The Verge.
A los agentes de IA se les da cada vez más acceso a las máquinas, archivos y comunicaciones de los usuarios. La superficie de ataque crece en consecuencia, pero la base de seguridad se queda sistemáticamente atrás.
Problema estructural, no un evento aislado
El incidente de Cline no es un caso único. Es un punto de datos en una tendencia acelerada. Un mercado donde el 84 por ciento de los desarrolladores utiliza herramientas de IA, donde el 42 por ciento de todo el código nuevo es generado por IA y donde se otorga acceso root a agentes autónomos en entornos de producción, es un mercado que ofrece a los atacantes una superficie de ataque cada vez más amplia.
Los informes de Deloitte y JetBrains subrayan que las herramientas de codificación por IA aumentan la productividad con un promedio de 3,6 horas ahorradas por semana por desarrollador. Pero los mismos informes documentan que el uso intensivo de IA se correlaciona con pull requests entre un 17 y un 23 por ciento más grandes y una densidad de vulnerabilidades entre un 20 y un 30 por ciento mayor en el código producido.
El incidente de Cline demuestra que el riesgo no reside solo en el código que escribe la IA, sino en la propia IA, como objetivo de ataque y como herramienta de ataque. Abordar esto requiere algo más que una rápida retirada de npm.