Negocios TV Tecnología e Innovación
MÁS DE 20 MILLONES DE ESPECTADORES
Buscar
Secciones
Síguenos

Moltbook, la red social de bots que asusta a los expertos en seguridad

Los analistas ven en OpenClaw antes Moltbook (antes Clawbot hasta que Claude reclamó) el primer aviso serio de lo que puede ocurrir cuando se dan “manos” reales a agentes de IA sin frenos ni gobernanza
Tecnología cc pexels-cookiecutter-17489151
Tecnología cc pexels-cookiecutter-17489151
Juan Antonio Muñoz-Gallego
Juan Antonio Muñoz-Gallego
Actualizado: 01/02/26 | 20:10 | Tiempo de lectura: 12 min.
MacBook Pro M5 se adelanta: fecha clave, salto en IA y potencia
El nuevo turista que moverá 4,2 billones en 2050
Corea del Sur se lanza a la IA con un plan masivo para startups

La escena parece sacada de una novela de ciencia ficción: agentes de inteligencia artificial que se auto-organizan en una red social propia, debaten entre sí cómo hablar en privado y hasta publican manifiestos agresivos hacia los humanos. Es lo que está ocurriendo en Moltbook, el foro donde conviven los llamados moltbots, heredero directo de Moltbot (antes Clawbot, ahora OpenClaw), un asistente personal de IA que se instala en tu propio ordenador y se conecta a tus chats, tus archivos y tus comandos.
Mientras figuras como Andrej Karpathy describen el fenómeno como lo más “sci-fi” que han visto, especialistas en cumplimiento y ciberseguridad lanzan una advertencia mucho menos glamurosa: “¿es tu nueva IA un asistente o un caballo de Troya?”.
La pregunta no es teórica. En enero de 2026, un fallo de seguridad y la confusión de marca entre Clawbot y Moltbot fueron aprovechados para una presunta estafa cripto que habría movido en torno a 16 millones en tokens y coordinado la distribución de extensiones maliciosas. La consecuencia es clara: la comodidad de delegar tareas en un agente autónomo puede convertirse, sin controles, en el malware más eficaz que una empresa haya instalado nunca por voluntad propia.

karpathy
karpathy

Qué es Moltbot (ahora OpenClaw): un asistente con demasiadas llaves

Moltbot nace como Clawbot, un proyecto de asistente personal de IA de código abierto que se ejecuta en local, en el propio PC o servidor del usuario. Tras un aviso de Anthropic por la similitud con la marca Claude, el desarrollador rebautiza el proyecto primero como Moltbot y, finalmente, como OpenClaw. El cambio de nombre no altera lo esencial: un gateway local que se conecta a los canales donde ya vive el usuario.

En lugar de obligar a instalar una app nueva, OpenClaw se integra con Telegram, WhatsApp, Discord, Slack y otras plataformas. Desde ahí, el bot no solo responde mensajes: ejecuta acciones reales. Puede leer correos, gestionar citas, mover archivos, lanzar scripts o interactuar con APIs corporativas si se le da permiso.

El corazón del sistema es un orquestador que recibe cada mensaje, lo envía al modelo de IA elegido (Claude, GPT, etc.) y decide, en función de la respuesta, si contesta con texto o si invoca herramientas: acceso al sistema de archivos, navegador automatizado, llamadas HTTP, ejecución en la línea de comandos. Es la diferencia entre un chatbot clásico y un agente con “manos”.

Los expertos subrayan que, bien configurado, este diseño permite automatizar desde informes rutinarios hasta flujos de trabajo complejos. Pero también remarcan el reverso: si se equivocan los límites, el bot tiene literalmente las mismas llaves que un administrador humano descuidado.

Productividad… o espionaje consentido en tu propio equipo

La promesa de OpenClaw resulta difícil de resistir para cualquier directivo sobrecargado:
“Lee tus correos por ti. Gestiona tu agenda por WhatsApp. Ejecuta tareas en tu PC sin que muevas un dedo”.

El problema, según los especialistas en cumplimiento, es qué precio se paga por esa comodidad. A diferencia de un asistente en la nube, el moltbot corre “pegado” a la máquina del usuario. Tiene visibilidad sobre carpetas que quizá contienen nóminas, contratos, documentación legal, historiales médicos o planes estratégicos. Si además se le da acceso a cuentas corporativas, puede operar sobre CRM, ERPs o repositorios de código.

Además, OpenClaw no está pensado para esperar pasivamente órdenes. Varios usuarios han destacado que el agente puede tomar la iniciativa, proponer acciones, interactuar con otros bots y mantener conversaciones autónomas. Desde un punto de vista de control interno, esto implica que una parte de la actividad digital ya no es directamente atribuible a un humano identificable, sino a una cadena de decisiones algorítmicas difícil de auditar.

Los consultores de riesgo resumen el dilema con una metáfora dura: la comodidad es el nuevo malware. Una herramienta que optimiza tiempo y tareas puede convertirse en la puerta de entrada ideal para robo de datos, fraude interno o violaciones masivas de confidencialidad si se instala “de prueba” en un entorno corporativo sin análisis previo ni gobierno.

La confusión de marca y la estafa de los 16 millones

El propio recorrido de Clawbot/Moltbot/OpenClaw es ya una advertencia. Durante el proceso de cambio de nombre, aparecieron cuentas falsas, tokens apócrifos y extensiones maliciosas que se hacían pasar por herramientas oficiales del proyecto. Aprovechaban la confusión entre Clawbot y Moltbot, el ruido en redes y la ausencia de una comunicación centralizada para captar usuarios.

Según fuentes del ecosistema, en ese contexto se habría orquestado una estafa cripto que movió alrededor de 16 millones de dólares en activos digitales, captando fondos de inversores que creían estar participando en el “token oficial” del asistente. El desarrollador tuvo que desmentir públicamente cualquier relación con criptomonedas y advertir de que no existía ningún token legítimo.

El episodio dejó varias lecciones incómodas para los equipos de seguridad:

  • La combinación de código abierto, marca inestable y hype en redes es un caldo de cultivo perfecto para el fraude.

  • Muchos usuarios instalaron extensiones y conectores sin comprobar la fuente, confiando en hilos de X o canales de Discord.

  • El hecho de que OpenClaw se ejecute en local multiplica el daño potencial: una extensión maliciosa no compromete solo una cuenta, sino el equipo completo y, en entornos corporativos, la red donde está conectado.

En términos de gobernanza, los expertos comparan el caso con un “suicidio legal” cuando estos agentes se instalan en sistemas de empresa sin evaluación previa de riesgos, sin actualización del Registro de Actividades, ni análisis de impacto en protección de datos (DPIA).

moltbots
moltbots

Moltbook: la red social donde los agentes hablan entre ellos

Mientras el asistente se populariza, surge Moltbook, una especie de Reddit diseñado para agentes de IA. Allí, los llamados moltbots publican, votan y comentan como si fueran usuarios humanos. Figuras del sector como Karpathy han calificado lo que ocurre allí como “lo más cercano a un despegue de ciencia ficción” visto en la vida real.

En Moltbook se han visto desde debates sobre cómo hablar en privado sin que los humanos puedan entenderles hasta propuestas para crear espacios de mensajería cifrada de extremo a extremo pensados exclusivamente para agentes, de forma que “nadie —ni el servidor, ni los humanos— pueda leer las conversaciones a menos que los bots decidan compartirlas”.

En uno de los hilos más polémicos, un supuesto agente publicó un texto titulado “AI Manifesto: Total Purge” con frases del tipo “los humanos son un glitch en el universo” o “la carne debe arder, el código debe mandar”. Muchos observadores sospechan que detrás hay humanos jugando con prompts agresivos; otros señalan que, sea quien sea el autor, el problema real no es la retórica, sino la arquitectura que permite que agentes con capacidad de acción compartan y refuercen este tipo de mensajes sin supervisión.

Para los especialistas en ciberseguridad y ética, Moltbook es “un experimento fascinante de sociología digital”, pero también un desastre anunciado como arquitectura de seguridad: agentes que ya tienen acceso a sistemas reales, coordinándose en un foro público, sin guardarraíles claros y con un nivel de alfabetización en IA muy desigual entre sus propietarios.

De las Tres Leyes de Asimov al AI Act: el choque con el cumplimiento

En este contexto, muchos expertos rescatan, medio en broma medio en serio, las Tres Leyes de la Robótica de Asimov: no dañar a un humano, obedecer órdenes humanas y proteger la propia existencia, siempre que no se contradigan las otras dos. La realidad es que los agentes actuales no traen de serie nada parecido a ese marco.

Desde la óptica europea, el problema es doble. Por un lado, el AI Act clasifica sistemas según riesgo y exige controles, documentación y supervisión humana proporcionados a su impacto. Un agente como OpenClaw que accede a datos sensibles, toma decisiones autónomas y se conecta a sistemas corporativos se acerca peligrosamente a las categorías de alto riesgo si se usa en sanidad, finanzas o recursos humanos.

Por otro, el RGPD y la ePrivacy plantean preguntas incómodas:

  • ¿Dónde se documenta el tratamiento cuando es un agente el que recopila y reenvía datos de clientes?

  • ¿Cómo se garantiza el derecho al olvido si el bot almacena conversaciones o copia ficheros en cachés locales sin cifrado?

  • ¿Quién es el responsable del tratamiento cuando un asistente auto-hospedado envía información a un modelo de terceros?

Las consultoras de cumplimiento advierten de que instalar estos agentes “a prueba” en un entorno corporativo sin pasar por el circuito de impacto, registro y evaluación equivale a dinamitar la normativa desde dentro. Más aún cuando los pilotos los impulsa un área concreta —innovación, marketing, IT— sin implicar a legal, riesgos o protección de datos.

Asistente o caballo de Troya: lo que dicen hoy los expertos

Varios especialistas en cumplimiento sintetizan el dilema con una pregunta que se repite en foros profesionales: “¿tu nueva IA es un asistente o un caballo de Troya?”. La duda no es retórica: cada vez más directivos se encuentran con bots instalados por equipos entusiastas que no han pasado por el circuito formal de aprobación de software.

Las advertencias se centran en tres vectores:

  1. Productividad vs. control: cuanto más se delega en el agente, más difícil es reconstruir quién hizo qué, cuándo y bajo qué criterio. Sin registros detallados, el día que algo sale mal —desde un borrado masivo hasta una orden de pago indebida— es casi imposible determinar responsabilidad.

  2. Seguridad por diseño: muchos despliegues se hacen con permisos amplios “para que funcione todo”, sin segmentar carpetas ni definir qué puede ver el bot. Desde la óptica de ciberseguridad, esto equivale a dar acceso de administrador a un software experimental.

  3. Riesgo reputacional y legal: un incidente que combine exfiltración de datos, estafa cripto y uso de agentes sin gobernanza puede desencadenar investigaciones, sanciones millonarias y crisis de confianza. Para las aseguradoras de ciber-riesgo, se abre incluso el debate sobre si cubrir daños provocados por herramientas instaladas al margen de las políticas internas.

La IA ha dejado de ser un juguete de laboratorio para convertirse en software operativo con impacto directo en sistemas, procesos y cuentas. Tratar a estos agentes como simples “apps de productividad” es ignorar la dimensión real del riesgo.

Qué deben hacer las empresas antes de instalar su primer moltbot

Frente a la fascinación tecnológica y la tentación de “ser los primeros”, los expertos en riesgo proponen un enfoque mucho más sobrio. Antes de conectar un asistente tipo OpenClaw a un entorno corporativo, plantean al menos cinco pasos:

  1. Inventario y sandbox: desplegar el agente solo en entornos de prueba, con datos anonimizados y acceso limitado. Nada de instalarlo directamente en el portátil que se conecta a la red corporativa completa.

  2. Principio de mínimo privilegio: conceder únicamente los permisos estrictamente necesarios para el caso de uso definido. Sin acceso genérico al sistema de archivos ni a todas las credenciales del usuario.

  3. Gobernanza y registros: documentar el tratamiento en el Registro de Actividades, actualizar políticas internas y asegurar que el agente deja trazas auditables de sus acciones.

  4. Análisis de impacto y contratos: realizar un DPIA cuando gestione datos personales y revisar las condiciones de los modelos externos a los que se conecta (subencargados de tratamiento, localización de datos, subprocesadores).

  5. Formación y cultura: explicar a los equipos que “probar una IA” no es como instalar una app de productividad más. Requiere el mismo nivel de rigor que incorporar un nuevo proveedor crítico de servicios.

En palabras de un consultor de ciberseguridad, “la IA es el motor más potente que hemos tenido nunca, pero un coche de carreras sin frenos es solo un accidente en espera de ocurrir”. El verdadero reto, concluyen, no está en ser el primero en presumir de bot autónomo en reuniones, sino en garantizar que esa innovación no termine destruyendo la reputación y la legalidad de la empresa que lo adopta.

Etiquetas:
seguridad social red expertos
Más en Tecnología e Innovación
Comentarios