Cadena de bloques en los procesos de negocio · Módulo 1, Semana 2
Dossier de enseñanza — Edición 2026 · Prof. Chuy Cepeda
Cómo usar este dossier. Léelo antes de la Semana 2 y llega con posturas, no con resúmenes. El caso alimenta la Actividad 1 («El mapa del momento») y el debate de apertura. Las preguntas de discusión están al final — trabajarás al menos dos desde el rol de founder-operator de tu venture.
Nota de fuentes: cifras compiladas a junio de 2026 a partir de reportes públicos (VulnCheck, Censys/Watchboard, Kaspersky, Microsoft) y bases de datos CVE. Verifica contra la fuente primaria antes de citar fuera del curso — este campo se mueve por semanas, no por años.
A finales de 2025 apareció un proyecto de código abierto que prometía exactamente lo que todo el mundo quería: un agente de IA conectado directamente a tu vida — tu Signal, tu WhatsApp, tu correo, tu terminal. Nació como ClawDBot, fue renombrado dos veces, y terminó llamándose OpenClaw.
La promesa era real. Tus días están saturados, y un agente puede cargar el peso: contestar mensajes, agendar, investigar, ejecutar. Y a la promesa se le sumó el miedo — a quedarse atrás, a ser el último en adoptar. Esa combinación (promesa real + miedo real) produjo una de las curvas de adopción más violentas en la historia del software:
El sueño que vendía, en una línea: sáltate la disciplina. Solo déjalo correr.
Antes de seguir leyendo: ¿qué controles le pedirías a un software con acceso a tu correo, tu banca y tu terminal, antes de dejarlo correr? Escríbelos. Los vas a necesitar en la sección 4.
| Momento | Evento |
|---|---|
| Nov 2025 | Nace como ClawDBot. Adopción viral inmediata; instalaciones en máquinas personales y de trabajo. |
| Nov 2025 – Mar 2026 | Dos renombres. La comunidad crece más rápido que cualquier proceso de revisión de seguridad. |
| Mar 2026 | Supera a React en estrellas. Pico de la fiebre. |
| Nov 2025 – Abr 2026 | Los investigadores de seguridad empiezan a mirar. Lo que encuentran está en la sección 3. |
| Jun 2026 | El promedio acumulado llega a 3.6 CVEs por día — 543 vulnerabilidades documentadas en los primeros cinco meses. |
Cinco vulnerabilidades ilustrativas (todas documentadas, todas con número CVE):
| Vulnerabilidad | CVE | Severidad |
|---|---|---|
| Toma de control remota («ClawJacked») — una página que solo visitas puede tomar control del agente | CVE-2026-25253 | 8.8 · CRÍTICA |
| Escape del contenedor Docker vía PATH — inyección de comandos | CVE-2026-24763 | 8.8 · CRÍTICA |
| Bypass de autorización en sesiones de dispositivos | CVE-2026-53843 | 8.7 · CRÍTICA |
| Código malicioso desde una carpeta — carga código del directorio de trabajo | CVE-2026-45004 | 8.4 · ALTA |
| Inyección de comandos por SSH — rutas sin escapar | CVE-2026-25157 | 7.8 · ALTA |
Y la escala del daño potencial:
Aquí es donde el caso deja de ser una historia de ciberseguridad y se vuelve una historia de negocio. La exposición tomó cuatro formas:
Financiera — transacciones, compras y operaciones no autorizadas.
Contractual — acuerdos y términos aceptados sin consentimiento del dueño.
Propiedad intelectual — scraping e infracción a velocidad de máquina.
Privacidad — datos personales mal manejados (GDPR Art. 32 · HIPAA · FTC).
Y dos doctrinas legales cerraron la salida:
Responsabilidad directa — desplegar sin salvaguardas reales es una falla de «seguridad razonable».
Responsabilidad vicaria — eres dueño de lo que tu agente hace dentro de su alcance, igual que con un empleado.
Tras los incidentes de portada, los tribunales empezaron a calificar la falla como «previsible». La frase que cierra el caso: «lo hizo la IA» no es defensa.
El error de OpenClaw no fue tener bugs — todo software los tiene. Fue arquitectónico, y es el mismo error que este curso te enseña a no repetir:
Nada distinguía a tu agente de cualquier proceso que dijera ser tu agente.
El agente no tenía límites demostrables — alcance, montos, dominios, expiración. Su «autorización» era el contexto del prompt, y un prompt no es una frontera.
«Por favor no borres», «pregunta primero» — texto que un atacante (o una ventana de contexto llena) puede borrar. El test que aplicaremos todo el semestre: ¿este control hace el ataque imposible, o solo tedioso?
Cuando algo salía mal, no había registro firmado de quién hizo qué bajo autoridad de quién. La responsabilidad legal existía; la trazabilidad, no.
La adopción de OpenClaw fue racional para cada individuo («me ahorra horas hoy») y catastrófica en agregado. ¿Dónde exactamente se rompe la confianza: en el software, en el usuario, o en la ausencia de infraestructura? Defiende con evidencia del dossier.
Tu venture 2030 quiere darle a cada empleado un agente con acceso a correo y pagos. Como founder: ¿qué de tu lista de la sección 1 sobrevivió a la lectura de las secciones 3–5? ¿Qué controles son «política» y cuáles son «prueba»?
Si «lo hizo la IA» no es defensa, ¿qué evidencia necesitarías poder presentar ante un tribunal (o un regulador) para demostrar que tu agente actuó dentro de su autorización? ¿Existe hoy esa evidencia en tu organización?
El 71% de Shadow AI sugiere que prohibir no funciona. Diseña la alternativa: ¿qué tendría que ofrecer tu empresa para que el camino seguro sea también el camino fácil?
Aplica el test «¿imposible o tedioso?» a tres controles que tu universidad o empleador actual usa para software. ¿Cuántos sobreviven?
El caso OpenClaw no es un argumento contra los agentes — es el argumento por el cual la autonomía necesita muros y la confianza necesita matemáticas. La secuencia que el resto del curso recorre: contención por entorno (no por prompt) → identidad verificable → mandatos → procedencia. De «confía en mí» a una firma que cualquiera puede verificar.
En la fiebre del oro de la IA, los que sobreviven no son los que corren más rápido. Son los que venden — y compran — confianza.
Fuentes primarias del dossier: bases CVE (2026) · VulnCheck · Censys/Watchboard · Kaspersky · Microsoft (2026) · Anthropic, «Zero Trust for AI Agents» (2026). Compilado para uso docente, TI4037, jul-2026.