Chuy Cepeda
TI4037 · Cadena de bloques en los procesos de negocio
TI4037 · Módulo 1 · Semana 2 — Caso de estudio
12345
Caso de estudio · Dossier de enseñanza

OpenClaw — la fiebre del oro y los escombros

Cadena de bloques en los procesos de negocio · Módulo 1, Semana 2
Dossier de enseñanza — Edición 2026 · Prof. Chuy Cepeda

Cómo usar este dossier. Léelo antes de la Semana 2 y llega con posturas, no con resúmenes. El caso alimenta la Actividad 1 («El mapa del momento») y el debate de apertura. Las preguntas de discusión están al final — trabajarás al menos dos desde el rol de founder-operator de tu venture.

Nota de fuentes: cifras compiladas a junio de 2026 a partir de reportes públicos (VulnCheck, Censys/Watchboard, Kaspersky, Microsoft) y bases de datos CVE. Verifica contra la fuente primaria antes de citar fuera del curso — este campo se mueve por semanas, no por años.

01

El contexto: la promesa

A finales de 2025 apareció un proyecto de código abierto que prometía exactamente lo que todo el mundo quería: un agente de IA conectado directamente a tu vida — tu Signal, tu WhatsApp, tu correo, tu terminal. Nació como ClawDBot, fue renombrado dos veces, y terminó llamándose OpenClaw.

La promesa era real. Tus días están saturados, y un agente puede cargar el peso: contestar mensajes, agendar, investigar, ejecutar. Y a la promesa se le sumó el miedo — a quedarse atrás, a ser el último en adoptar. Esa combinación (promesa real + miedo real) produjo una de las curvas de adopción más violentas en la historia del software:

  • 381,000 estrellas en GitHub en cuestión de meses.
  • En marzo de 2026 superó a React — el framework que sostiene medio internet — para volverse el repositorio de software más estrellado de GitHub.

El sueño que vendía, en una línea: sáltate la disciplina. Solo déjalo correr.

Pregunta ancla

Antes de seguir leyendo: ¿qué controles le pedirías a un software con acceso a tu correo, tu banca y tu terminal, antes de dejarlo correr? Escríbelos. Los vas a necesitar en la sección 4.

02

La cronología del derrumbe

MomentoEvento
Nov 2025Nace como ClawDBot. Adopción viral inmediata; instalaciones en máquinas personales y de trabajo.
Nov 2025 – Mar 2026Dos renombres. La comunidad crece más rápido que cualquier proceso de revisión de seguridad.
Mar 2026Supera a React en estrellas. Pico de la fiebre.
Nov 2025 – Abr 2026Los investigadores de seguridad empiezan a mirar. Lo que encuentran está en la sección 3.
Jun 2026El promedio acumulado llega a 3.6 CVEs por día — 543 vulnerabilidades documentadas en los primeros cinco meses.
03

Los escombros: cinco maneras de perder la máquina

Cinco vulnerabilidades ilustrativas (todas documentadas, todas con número CVE):

VulnerabilidadCVESeveridad
Toma de control remota («ClawJacked») — una página que solo visitas puede tomar control del agenteCVE-2026-252538.8 · CRÍTICA
Escape del contenedor Docker vía PATH — inyección de comandosCVE-2026-247638.8 · CRÍTICA
Bypass de autorización en sesiones de dispositivosCVE-2026-538438.7 · CRÍTICA
Código malicioso desde una carpeta — carga código del directorio de trabajoCVE-2026-450048.4 · ALTA
Inyección de comandos por SSH — rutas sin escaparCVE-2026-251577.8 · ALTA

Y la escala del daño potencial:

220,000+
instancias expuestas al internet abierto.
12,000+
confirmadas como explotables remotamente (RCE).
71%
de los empleados ya usa IA no aprobada en el trabajo (Shadow AI) — una sola instalación puede exponer a toda la empresa.
04

La factura: cuando tu agente actúa, tú actúas

Aquí es donde el caso deja de ser una historia de ciberseguridad y se vuelve una historia de negocio. La exposición tomó cuatro formas:

1

Financiera — transacciones, compras y operaciones no autorizadas.

2

Contractual — acuerdos y términos aceptados sin consentimiento del dueño.

3

Propiedad intelectual — scraping e infracción a velocidad de máquina.

4

Privacidad — datos personales mal manejados (GDPR Art. 32 · HIPAA · FTC).

Y dos doctrinas legales cerraron la salida:

Responsabilidad directa — desplegar sin salvaguardas reales es una falla de «seguridad razonable».

Responsabilidad vicaria — eres dueño de lo que tu agente hace dentro de su alcance, igual que con un empleado.

Tras los incidentes de portada, los tribunales empezaron a calificar la falla como «previsible». La frase que cierra el caso: «lo hizo la IA» no es defensa.

05

El marco de análisis (el puente al resto del curso)

El error de OpenClaw no fue tener bugs — todo software los tiene. Fue arquitectónico, y es el mismo error que este curso te enseña a no repetir:

1Sin identidad verificable.

Nada distinguía a tu agente de cualquier proceso que dijera ser tu agente.

→ Módulo 3: DIDs, credencial de despliegue.
2Sin mandato.

El agente no tenía límites demostrables — alcance, montos, dominios, expiración. Su «autorización» era el contexto del prompt, y un prompt no es una frontera.

→ Módulo 4: mandatos.
3Controles por política, no por prueba.

«Por favor no borres», «pregunta primero» — texto que un atacante (o una ventana de contexto llena) puede borrar. El test que aplicaremos todo el semestre: ¿este control hace el ataque imposible, o solo tedioso?

→ Módulo 2, Anthropic 2026.
4Sin procedencia.

Cuando algo salía mal, no había registro firmado de quién hizo qué bajo autoridad de quién. La responsabilidad legal existía; la trazabilidad, no.

→ Módulo 4: cadena de procedencia.
06

Preguntas de discusión (elige ≥2 desde tu rol)

1OEA 1.2

La adopción de OpenClaw fue racional para cada individuo («me ahorra horas hoy») y catastrófica en agregado. ¿Dónde exactamente se rompe la confianza: en el software, en el usuario, o en la ausencia de infraestructura? Defiende con evidencia del dossier.

2OEA 1.3

Tu venture 2030 quiere darle a cada empleado un agente con acceso a correo y pagos. Como founder: ¿qué de tu lista de la sección 1 sobrevivió a la lectura de las secciones 3–5? ¿Qué controles son «política» y cuáles son «prueba»?

3OEA 1.3

Si «lo hizo la IA» no es defensa, ¿qué evidencia necesitarías poder presentar ante un tribunal (o un regulador) para demostrar que tu agente actuó dentro de su autorización? ¿Existe hoy esa evidencia en tu organización?

4OEA 1.2

El 71% de Shadow AI sugiere que prohibir no funciona. Diseña la alternativa: ¿qué tendría que ofrecer tu empresa para que el camino seguro sea también el camino fácil?

5Puente a M2

Aplica el test «¿imposible o tedioso?» a tres controles que tu universidad o empleador actual usa para software. ¿Cuántos sobreviven?

07

Epílogo: el arco se dobla hacia la prueba

El caso OpenClaw no es un argumento contra los agentes — es el argumento por el cual la autonomía necesita muros y la confianza necesita matemáticas. La secuencia que el resto del curso recorre: contención por entorno (no por prompt) → identidad verificable → mandatos → procedencia. De «confía en mí» a una firma que cualquiera puede verificar.

En la fiebre del oro de la IA, los que sobreviven no son los que corren más rápido. Son los que venden — y compran — confianza.

Fuentes primarias del dossier: bases CVE (2026) · VulnCheck · Censys/Watchboard · Kaspersky · Microsoft (2026) · Anthropic, «Zero Trust for AI Agents» (2026). Compilado para uso docente, TI4037, jul-2026.