Arturo Trenard
Ataque de Phishing en GitHub Apunta a Desarrolladores de OpenClaw con Falsos Tokens ‘CLAW’
Una campaña activa de phishing en la plataforma GitHub intenta engañar a desarrolladores del proyecto de inteligencia artificial OpenClaw con la promesa de recompensas en un token criptográfico falso llamado “CLAW”. La firma de ciberseguridad OX Security confirmó esta semana la existencia de la estafa, diseñada para robar credenciales o fondos de carteras digitales. Hasta el momento, no se han reportado víctimas.
Detalles de la Campaña Fraudulenta
El ataque se ejecuta mediante cuentas falsas en GitHub. Los actores maliciosos publican mensajes en repositorios bajo su control, etiquetando a desarrolladores reales para aumentar la visibilidad del fraude. El señuelo es un anuncio que informa al destinatario de que ha ganado un premio de $5,000 en “CLAW”, un token fraudulentamente asociado al proyecto OpenClaw.
La Trampa del Sitio Web Clonado
Los mensajes maliciosos contienen enlaces que dirigen a los usuarios a un sitio web que imita la apariencia de la página oficial de OpenClaw. El objetivo es que las potenciales víctimas conecten sus carteras de criptomonedas, como MetaMask, a esta plataforma falsa. Esta es una táctica común para robar frases semilla o solicitar aprobaciones de transacciones ilimitadas, lo que podría dar a los atacantes control total sobre los fondos.
Respuesta Oficial y Advertencias Previas
Peter Steinberger, creador de OpenClaw, respondió rápidamente a la alerta. A través de la red social X, reafirmó la naturaleza no comercial del proyecto y advirtió a la comunidad.
Nunca haríamos eso. El proyecto es de código abierto y no comercial
Steinberger instó a los usuarios a visitar únicamente el sitio oficial, openclaw.org. Esta no es la primera advertencia del fundador. En enero, ya había sido explícito respecto a cualquier iniciativa de lanzamiento de token, afirmando que nunca crearía una moneda y que cualquier proyecto que lo liste como dueño de una es una estafa. Estas declaraciones públicas sirven como una barrera crucial contra la suplantación de identidad.
Contexto: La Popularidad de OpenClaw como Señuelo
OpenClaw es un agente autónomo de IA de código abierto y gratuito, lanzado en noviembre de 2025. El software se ejecuta localmente y permite a los usuarios gestionar tareas complejas a través de un chat, lo que le ha granjeado una gran popularidad. El proyecto cuenta con una alta actividad en GitHub y supera los 465,000 suscriptores en X, una métrica que los estafadores buscan explotar.
Consciente de estos riesgos, el equipo de OpenClaw implementó medidas proactivas. En febrero, prohibió las discusiones sobre Bitcoin y criptomonedas en su canal oficial de Discord, una decisión destinada a dificultar la promoción de fraudes dentro de su comunidad.
Consecuencias y Estado Actual
OX Security confirmó que, hasta ahora, no se han identificado víctimas de este ataque específico. La rápida reacción de la comunidad de desarrolladores fue clave. En foros como Hacker News y redes sociales, varios usuarios identificaron y etiquetaron la campaña como una estafa casi de inmediato, alertando a otros.
Este incidente se enmarca en una tendencia más amplia en ciberseguridad dentro del sector cripto. Mientras los hackeos directos a protocolos han disminuido en volumen, los ataques de phishing dirigidos a individuos, aprovechando la reputación de proyectos legítimos, continúan siendo una táctica frecuente y peligrosa. El caso subraya la importancia crítica de verificar siempre la información a través de los canales oficiales de un proyecto.