Por Canuto Una nueva campaña de phishing está aprovechando la popularidad de OpenClaw para engañar a desarrolladores en GitHub con falsas promesas de tokens “CLAW”. El fraude busca que las víctimas conecten sus billeteras cripto a un sitio clonado, pese a que el creador del proyecto ha reiterado que OpenClaw nunca lanzará una criptomoneda.
***
- OX Security detectó publicaciones falsas en GitHub que prometían USD $5.000 en un token “CLAW” inexistente.
- Los atacantes clonaron la web de OpenClaw para inducir a los usuarios a conectar billeteras criptográficas.
- Peter Steinberger reiteró que OpenClaw es un proyecto abierto y no comercial, y que nunca emitirá un token.
Los desarrolladores vinculados a OpenClaw, un proyecto de inteligencia artificial (IA) de código abierto que ha ganado fuerte visibilidad en los últimos meses, están siendo objetivo de una campaña de phishing en GitHub que aprovecha criptomonedas para atraer víctimas.
La maniobra gira en torno a un supuesto token llamado CLAW, presentado de forma fraudulenta como si estuviera asociado al proyecto. En realidad, ese activo no existe como iniciativa oficial de OpenClaw, y el señuelo busca inducir a los usuarios a conectar sus billeteras cripto en un sitio clonado.
De acuerdo con la firma de ciberseguridad OX Security, que reportó el caso el miércoles, hasta el momento no se habían identificado víctimas. Aun así, el episodio vuelve a mostrar cómo los atacantes aprovechan comunidades tecnológicas activas y marcas con alto perfil para lanzar fraudes orientados al robo de credenciales o a la obtención de permisos maliciosos sobre billeteras.
En el ecosistema cripto, este tipo de ataques suele apoyarse en una combinación de urgencia, promesas de ganancias rápidas y suplantación visual de plataformas legítimas. Cuando el objetivo son desarrolladores o usuarios con conocimientos técnicos, los atacantes tienden a usar canales como GitHub, Discord o X para dar una apariencia de legitimidad.
Cómo operó la campaña en GitHub
Según indicó Cointelegraph al citar el análisis de OX Security, los atacantes crearon cuentas falsas en GitHub y publicaron mensajes dentro de repositorios bajo su control. Luego etiquetaron a desarrolladores para aumentar la visibilidad de las publicaciones y dar la impresión de que se trataba de una comunicación relevante para la comunidad.
Esos mensajes afirmaban que los destinatarios habían ganado USD $5.000 en “CLAW”, una supuesta criptomoneda vinculada con OpenClaw. El objetivo era dirigir a los usuarios hacia una página web fraudulenta que imitaba la estética del sitio oficial del proyecto.
Una vez allí, los visitantes eran invitados a conectar sus billeteras criptográficas. Esa táctica es una de las más comunes en esquemas de phishing del entorno Web3, ya que puede utilizarse para robar datos sensibles, obtener firmas digitales engañosas o lograr aprobaciones que permitan a terceros mover fondos o activos sin conocimiento pleno del usuario.
La campaña también explotó un recurso psicológico frecuente en este tipo de estafas: la recompensa inesperada. La promesa de un airdrop o de un premio en tokens sigue siendo un anzuelo eficaz, incluso cuando el supuesto activo no tiene respaldo real y nunca fue anunciado por el proyecto al que dice representar.
La respuesta del creador de OpenClaw
Peter Steinberger, creador de OpenClaw, advirtió por separado en X que cualquier correo electrónico que afirme estar asociado con el proyecto debe considerarse una estafa. También instó a los usuarios a visitar únicamente el sitio oficial.
“Nosotros nunca haríamos eso. El proyecto es de código abierto y no comercial”, señaló Steinberger, dejando clara la distancia entre OpenClaw y cualquier campaña promocional basada en tokens o recompensas financieras.
La advertencia no es nueva. Ya en enero, Steinberger había dicho públicamente que OpenClaw nunca lanzaría una criptomoneda. “Nunca haré una moneda. Cualquier proyecto que me liste como propietario de la moneda es una estafa”, escribió entonces en X.
Ese antecedente resulta clave para entender por qué la aparición de CLAW encaja en un patrón de suplantación más amplio. Los atacantes no solo intentaron asociar al proyecto con un token inexistente, sino que además ignoraron advertencias previas y explícitas del propio creador sobre el uso fraudulento de su nombre.
Una comunidad alerta ante el fraude
Los reportes en redes sociales sugieren que una parte importante de la comunidad de desarrolladores reconoció rápidamente la maniobra. Muchos usuarios etiquetaron la campaña como una estafa casi de inmediato, lo que probablemente ayudó a frenar su alcance inicial.
Ese detalle es relevante porque muestra un contraste habitual en incidentes de este tipo. Aunque los atacantes pueden replicar interfaces y mensajes con gran realismo, las comunidades técnicas activas suelen detectar inconsistencias cuando ya existe conocimiento previo sobre la postura oficial de un proyecto.
En este caso, la idea de un token CLAW chocaba directamente con los mensajes anteriores de Steinberger. Para quienes seguían de cerca a OpenClaw, la promesa de una recompensa cripto resultaba sospechosa desde el comienzo.
Sin embargo, el riesgo no desaparece por completo solo porque una parte de la comunidad esté advertida. Los ataques de phishing también alcanzan a nuevos usuarios, curiosos o desarrolladores menos familiarizados con la historia del proyecto, especialmente cuando este crece con rapidez y atrae atención fuera de su círculo inicial.
Por qué OpenClaw se convirtió en objetivo
Lanzado en noviembre de 2025, OpenClaw ofrece un agente autónomo de IA de código abierto y uso gratuito que puede ejecutarse localmente en computadoras. Su propuesta consiste en gestionar archivos, software y tareas de navegador a través de plataformas de chat como WhatsApp o Telegram.
Esa combinación de inteligencia artificial, software abierto y fuerte tracción comunitaria le dio al proyecto una presencia destacada tanto en GitHub como en redes sociales. En los meses posteriores a su lanzamiento, OpenClaw acumuló más de 465.000 suscriptores en X.
Cuando un proyecto alcanza ese nivel de viralidad, se vuelve un blanco natural para campañas oportunistas. Los atacantes suelen capitalizar el reconocimiento de marca, la curiosidad del público y la expectativa de monetización futura, incluso si los responsables del proyecto han dejado claro que no existe ningún token oficial.
La campaña detectada ahora encaja precisamente en ese patrón. En vez de vulnerar la infraestructura central de OpenClaw, los responsables optaron por manipular la percepción pública en espacios donde los desarrolladores interactúan con frecuencia y donde una mención o etiqueta puede parecer legítima a simple vista.
Contexto adicional y medidas de prevención
Como parte de sus medidas contra posibles fraudes, el proyecto OpenClaw también confirmó en febrero una prohibición de las discusiones sobre Bitcoin y criptomonedas en su canal oficial de Discord. Esa decisión reflejaba una preocupación previa por evitar que terceros utilizaran la comunidad para promocionar activos falsos o crear confusión.
El caso muestra una tendencia más amplia dentro del sector tecnológico. A medida que los proyectos de IA de código abierto ganan popularidad, también aumenta el interés de actores maliciosos en usar su nombre para lanzar estafas relacionadas con criptoactivos, airdrops o supuestas preventas.
Para los usuarios, la lección central es simple: nunca conectar una billetera a una página por una recompensa inesperada sin verificar antes los canales oficiales del proyecto. También conviene desconfiar de correos, etiquetas o mensajes en repositorios que prometan dinero fácil o distribuciones de tokens no anunciadas públicamente.
Hasta ahora no se han reportado víctimas, según la información disponible. Pero la campaña contra OpenClaw vuelve a subrayar que la combinación de IA, comunidades abiertas y criptomonedas ofrece un terreno fértil para fraudes que apelan tanto a la confianza como a la ambición del usuario desprevenido.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Bitcoin
Bitcoin cae tras la FED y ballenas OG venden más de USD $117 millones
Análisis de mercado
$XAUT cae levemente en sesión volátil: análisis técnico y fundamental
Análisis de mercado
Dogecoin cae 5% en 24 horas ante volumen elevado
Análisis de mercado