OpenClaw no es un chatbot. Es un agente que tiene acceso real a tu máquina: puede leer y escribir archivos, ejecutar comandos en la terminal, controlar el navegador y conectarse a tus cuentas de email, calendario o servicios externos. Eso lo hace extraordinariamente útil. Y también significa que un error de configuración puede tener consecuencias reales.
Esta guía no pretende asustarte ni convertirte en un paranoico de la seguridad. Pretende que entiendas dónde están los riesgos reales y qué decisiones tomar según tu caso. Hay tres niveles: lo mínimo que no deberías saltarte, lo recomendable para un uso serio, y lo que hacen los que lo tienen en producción 24/7.
El riesgo real no es el que imaginas
Antes de entrar en materia, conviene aclarar algo: el mayor riesgo con OpenClaw no es que alguien "hackee" el agente de forma sofisticada. Es la misconfiguración. Los leaks y problemas que se documentan en comunidades como r/ThinkingDeeplyAI o ClawHub casi siempre vienen de lo mismo:
- El gateway del agente expuesto a internet sin protección.
- API keys guardadas en texto plano donde no deberían estar.
- Usar la cuenta de email o Google personal en vez de una cuenta dedicada.
- Instalar skills de fuentes no verificadas.
- No actualizar cuando salen parches de seguridad.
Nada de esto requiere un atacante sofisticado. Requiere descuido. Y la buena noticia es que todo tiene solución sencilla.
Hay un principio que conviene interiorizar desde el principio: nunca uses tus cuentas principales para nada que gestione el agente. Ni el email personal, ni el Google Drive donde tienes tus fotos, ni las API keys que usas para otros proyectos. Crea cuentas y tokens dedicados, con los permisos mínimos necesarios. Si algo sale mal, el daño queda contenido.
Nivel básico: lo que no deberías saltarte
Si acabas de instalar OpenClaw o estás empezando, hay cuatro cosas que marcan la diferencia entre un setup razonablemente seguro y uno que es un problema esperando a ocurrir.
No lo instales en tu ordenador principal
Parece obvio pero mucha gente lo ignora. Tu laptop del día a día, con tus documentos, tus SSH keys, tus contraseñas guardadas en el navegador... no es el sitio ideal para correr un agente autónomo que tiene acceso al sistema de archivos.
La alternativa más sencilla es un VPS barato (entre 4 y 10 euros al mes en Hetzner, Vultr o DigitalOcean), una Raspberry Pi 5, un Mac Mini viejo o una máquina virtual aislada. Lo que sea que no sea tu entorno de trabajo habitual. Si usas Docker, mejor todavía: el contenedor actúa como una capa de aislamiento natural.
El gateway no debe estar expuesto a internet
Por defecto, OpenClaw escucha en todas las interfaces de red. Eso significa que si estás en un VPS, el puerto del agente es accesible desde cualquier IP del mundo. Esto hay que cambiarlo para que solo escuche en local (loopback), y acceder remotamente a través de una VPN privada como Tailscale o un túnel SSH.
Tailscale es la opción que más se recomienda en la comunidad en 2026: es gratuita para uso personal, se configura en minutos y crea una red privada entre tus dispositivos sin necesidad de abrir puertos. Accedes al agente desde tu móvil o portátil como si estuvieras en la misma red local, aunque estés en otro país.
Las API keys no van en texto plano
Las claves de Anthropic, OpenAI, o cualquier otro proveedor de IA no deben estar escritas directamente en archivos de configuración que puedan acabar en un backup, en un repositorio de Git o en cualquier sitio accesible. Van en variables de entorno, en un gestor de secretos, o como mínimo en un archivo que esté explícitamente excluido de cualquier sincronización.
Además: pon límites de gasto en los paneles de los proveedores. Un agente mal configurado o comprometido puede generar una factura considerable en poco tiempo. Con un límite mensual duro, el daño económico queda acotado.
Empieza sin conectar cuentas reales
Cuando estés aprendiendo cómo funciona el agente, no le des acceso a tu email ni a tu calendario real. Empieza solo con acceso al sistema de archivos en una carpeta dedicada y con las herramientas de navegador. Cuando entiendas cómo se comporta y confíes en tu configuración, entonces conecta servicios externos — y hazlo con cuentas creadas específicamente para el agente, no con las tuyas.
Nivel intermedio: hardening para uso serio
Si tienes OpenClaw corriendo en un VPS de forma continua, o si ya le has dado acceso a servicios externos, estos pasos son los que separan un setup amateur de uno que aguanta el día a día.
Firewall con política de denegación por defecto
El servidor donde corre OpenClaw debería tener un firewall configurado para denegar todo el tráfico entrante excepto lo que explícitamente necesitas: acceso SSH desde tu IP o desde la red de Tailscale, y nada más. Ningún puerto de OpenClaw expuesto al exterior. Si usas Tailscale, puedes incluso restringir el SSH para que solo funcione a través de la VPN.
La mayoría de los proveedores de VPS tienen firewalls a nivel de red en su panel de control, además del firewall del propio sistema operativo. Usa ambos.
Acceso remoto solo por canales seguros
SSH con autenticación por clave (nunca por contraseña), sin permitir login como root. Y si usas Tailscale, puedes ir un paso más allá con Tailscale SSH, que elimina la necesidad de gestionar claves SSH manualmente y añade una capa de autenticación adicional.
Alternativa válida si no quieres Tailscale: Cloudflare Tunnel con Zero Trust, que también es gratuito para uso personal y funciona de forma similar.
Audita las skills que instalas
Las skills son extensiones que amplían las capacidades del agente. Son también el vector de ataque más obvio: una skill maliciosa puede hacer prácticamente cualquier cosa que el agente pueda hacer. Instala solo skills del repositorio oficial o de fuentes que puedas verificar. Si una skill pide permisos que no tienen sentido para lo que hace, no la instales.
Cuando pruebes skills nuevas, hazlo con el agente en modo de solo lectura: así puede analizar y responder, pero no puede modificar archivos ni ejecutar comandos con consecuencias reales.
Monitoreo básico
No hace falta montar un SIEM completo. Con tener los logs del agente guardados y revisarlos de vez en cuando es suficiente para detectar comportamientos raros. Herramientas como Fail2Ban para SSH y alertas básicas por Telegram cuando hay accesos inusuales cubren el 90% de los casos.
Nivel avanzado: para quien lo usa en serio
Si tienes OpenClaw conectado a email real, gestionando cuentas de clientes o corriendo workflows que mueven dinero, el nivel de cuidado tiene que ser proporcional.
Aislamiento de credenciales
Las API keys y tokens no deberían vivir en el sistema de archivos del servidor en ningún formato. La solución correcta es un gestor de secretos (HashiCorp Vault, Infisical, Doppler o similar) que inyecta las credenciales en tiempo de ejecución sin que queden escritas en ningún sitio persistente. Esto también facilita la rotación: cambias el secreto en un sitio y se propaga automáticamente.
Para email: usa contraseñas de aplicación (App Passwords en Gmail) o OAuth con los scopes mínimos necesarios. Si el agente solo necesita leer emails, dale solo permiso de lectura. No des más acceso del estrictamente necesario.
Prompt injection: el riesgo que poca gente considera
El prompt injection es cuando alguien introduce texto malicioso en el contenido que el agente procesa (un email, una página web, un documento) con la intención de manipular su comportamiento. Por ejemplo: un email que contiene instrucciones ocultas para que el agente reenvíe información a una dirección externa.
La defensa no es técnica, es de diseño: en el archivo de configuración del agente (SOUL.md o HEARTBEAT.md) se pueden definir reglas explícitas sobre qué instrucciones puede y no puede seguir el agente cuando vienen de contenido externo. Hay también proyectos open source específicamente diseñados para filtrar inputs antes de que lleguen al agente.
Contenedores separados para agentes separados
Si usas setups multi-agente, cada agente debería correr en su propio contenedor con acceso solo a lo que necesita. Un agente comprometido no debería poder afectar a los demás ni acceder a sus credenciales.
El resumen que te llevas
No hace falta implementar todo esto de golpe. La progresión natural es:
- Empieza aislado — VPS o VM dedicada, sin cuentas reales conectadas, gateway solo en local.
- Añade acceso remoto seguro — Tailscale o equivalente, SSH con claves, firewall deny-all.
- Conecta servicios con cuentas burner — Email dedicado, tokens con permisos mínimos y límites de gasto.
- Audita y monitoriza — Logs, alertas básicas, revisión periódica de skills instaladas.
- Escala el hardening según el uso — Si empiezas a mover cosas importantes, escala las medidas proporcionalmente.
La comunidad estima que seguir estos pasos reduce el riesgo en torno al 95%. El 5% restante es inherente a darle acceso al sistema a cualquier proceso automatizado, no solo a OpenClaw. Con criterio y sin atajos, es perfectamente manejable.