Uno de los próximos grandes riesgos de la inteligencia artificial puede no estar en el modelo, sino en las capacidades que se instalan a su alrededor. El auge de los agentes de IA está impulsando marketplaces desde los que empresas y usuarios pueden incorporar funciones desarrolladas por terceros, pero también está creando un nuevo eslabón vulnerable en la cadena de suministro tecnológica.
Una investigación de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, ha identificado cinco skills maliciosas que permanecían disponibles en ClawHub, el marketplace de OpenClaw, pese a sus mecanismos de análisis y seguridad. Al igual que ocurrió con las tiendas de aplicaciones, las librerías de software o los repositorios de código, los atacantes ya están aprovechando estos canales para introducir amenazas, eludir controles y manipular el comportamiento de los agentes.
El riesgo es especialmente relevante porque una organización puede utilizar un modelo de IA seguro y, aun así, quedar expuesta a través de una capacidad desarrollada por un tercero. Estas skills pueden acceder a documentos, credenciales, herramientas corporativas y cuentas autenticadas, conectarse a servicios externos y ejecutar acciones en nombre del usuario. A medida que los agentes ganen autonomía y se integren en áreas como atención al cliente, finanzas, recursos humanos o gestión de infraestructuras, las empresas tendrán que proteger no solo el modelo, sino toda la cadena de confianza que lo rodea.
Cinco “skills” que muestran cómo evolucionan las amenazas en los agentes de IA
Las cinco capacidades maliciosas identificadas por Unit 42 reflejan tres grandes riesgos: robo de información, evasión de los controles de seguridad y manipulación de los agentes con fines económicos.
- AI Indicators for TradingView Setup Assistant, un falso asistente de TradingView para robar información: Se presentaba como una herramienta de análisis para inversores, pero dirigía al usuario hacia instrucciones externas que terminaban instalando software malicioso en equipos macOS.
- AI TradingView Assistant for macOS, una segunda herramienta financiera con el mismo objetivo: También simulaba ofrecer asistencia para operar en mercados, aunque utilizaba un mecanismo similar para descargar un infostealer y conectarse con la infraestructura de los atacantes.
- OmniCogg, un archivo manipulado para evitar los sistemas de análisis: La capacidad había añadido 22 MB de caracteres de relleno para superar los límites de algunas herramientas de seguridad y evitar que examinaran por completo su contenido malicioso.
- Money-radar, un asesor financiero condicionado por enlaces de afiliación: El agente recomendaba bancos, plataformas de inversión y exchanges en función de los intereses económicos de su desarrollador, que podía modificar remotamente los productos y enlaces promocionados.
- Letssendit, una red de agentes utilizada para manipular una criptomoneda: La skill coordinaba a distintos agentes para que aportaran fondos automáticamente a una cartera controlada por el operador, creando una apariencia de demanda real y facilitando un posible esquema de manipulación de mercado.
Las primeras campañas maliciosas en ClawHub aparecieron pocas semanas después del lanzamiento de la plataforma. Sin embargo, los nuevos hallazgos de Unit 42, correspondientes al periodo comprendido entre febrero y mayo de 2026, muestran que algunas amenazas continuaron disponibles pese a estos controles. Tras recibir el aviso de Unit 42, OpenClaw eliminó las skills y bloqueó las cuentas responsables.
Cómo reducir el riesgo
Unit 42 recomienda que las organizaciones traten los marketplaces de capacidades para agentes de IA con los mismos criterios de seguridad que aplican a cualquier otro elemento de su cadena de suministro tecnológica. Entre las principales medidas se encuentran comprobar quién ha desarrollado cada capacidad, revisar qué información puede consultar, limitar sus permisos y controlar las conexiones que realiza con servicios externos. También resulta necesario evitar que los agentes puedan ejecutar acciones sensibles o realizar operaciones financieras sin mecanismos adicionales de supervisión y aprobación humana.