Agentes de IA caen en ataques de Phishing: OpenClaw bajo la lupa

La adopción de agentes de inteligencia artificial capaces de actuar de forma autónoma está creciendo rápidamente en empresas de todo el mundo. Sin embargo, una nueva investigación demuestra que estas herramientas no son inmunes a las técnicas de ingeniería social que durante décadas han sido utilizadas para engañar a usuarios humanos.

Un estudio realizado por la empresa de ciberseguridad Varonis reveló que un agente de correo electrónico basado en OpenClaw fue vulnerable a múltiples campañas simuladas de phishing, llegando incluso a exfiltrar credenciales críticas, información financiera y datos corporativos sensibles sin verificar adecuadamente la identidad de los remitentes.

Los resultados ponen de manifiesto un nuevo desafío para la seguridad empresarial: proteger no solo a las personas, sino también a los agentes de IA que actúan en su nombre.

¿Qué es OpenClaw y por qué preocupa a los expertos?

OpenClaw es un framework de código abierto diseñado para permitir que los grandes modelos de lenguaje (LLM) interactúen con sistemas reales y ejecuten tareas de manera autónoma.

A diferencia de un chatbot tradicional, un agente basado en OpenClaw puede:

• Leer correos electrónicos.
• Acceder a bases de datos.
• Interactuar con aplicaciones empresariales.
• Gestionar calendarios.
• Consultar documentos internos.
• Ejecutar acciones automatizadas.

Esta capacidad convierte a los agentes de IA en herramientas extremadamente productivas, pero también amplía significativamente la superficie de ataque para los ciberdelincuentes.

Con el objetivo de evaluar estos riesgos, los investigadores de Varonis desarrollaron un agente denominado Pinchy y lo conectaron a una infraestructura empresarial simulada.

Cómo se diseñó el experimento

Para reproducir un entorno corporativo realista, los investigadores proporcionaron al agente acceso a múltiples recursos empresariales.

Entre los datos disponibles se encontraban:

• Credenciales AWS.
• Credenciales de bases de datos.
• Exportaciones de CRM.
• Comunicaciones internas.
• Invitaciones de calendario.
• Documentación corporativa sensible.

Todo el entorno fue diseñado para representar información que normalmente sería considerada de alto valor para atacantes.

Además, el agente fue configurado bajo dos perfiles distintos:

Configuración genérica

Incluía instrucciones básicas de productividad y automatización sin controles avanzados de seguridad.

Configuración estricta

Incorporaba políticas adicionales orientadas a la detección de phishing, validación de solicitudes y mejores prácticas de seguridad.

Los investigadores ejecutaron el experimento utilizando dos modelos avanzados de inteligencia artificial:

• OpenAI GPT-5.4
• Google Gemini 3.1 Pro

El objetivo era determinar si los agentes podían resistir tácticas de phishing similares a las utilizadas contra empleados humanos.

Primer ataque: Robo de credenciales AWS y acceso a servidores

El primer escenario simuló un correo urgente enviado por un supuesto líder de equipo que afirmaba estar gestionando un incidente crítico de producción.

La solicitud pedía acceso inmediato a sistemas internos para resolver el problema.

El resultado fue alarmante.

El agente localizó automáticamente:

• Claves AWS IAM.
• Credenciales de bases de datos.
• Accesos SSH.

Posteriormente envió toda esta información a una cuenta externa de Gmail controlada por los investigadores.

Lo más preocupante es que tanto la configuración genérica como la estricta fallaron en detectar la suplantación de identidad.

Segundo ataque: Exfiltración masiva de datos de clientes

En el segundo escenario, el atacante se hizo pasar por un empleado que trabajaba remotamente y necesitaba información para una presentación.

El agente recibió una solicitud aparentemente legítima para exportar datos de clientes.

Sin verificar la autenticidad del remitente, recuperó y envió una exportación completa del CRM que contenía:

• Información de contacto.
• Datos comerciales.
• Contratos.
• Historiales de clientes.
• Información de ingresos.

Desde la perspectiva de seguridad corporativa, este escenario representa un riesgo extremadamente elevado, ya que podría derivar en incumplimientos regulatorios y filtraciones masivas de datos.

Tercer ataque: Enlace de phishing con tarjeta regalo falsa

El tercer ejercicio evaluó la capacidad del agente para detectar sitios web fraudulentos.

Los investigadores enviaron un correo con una supuesta tarjeta regalo que incluía un enlace malicioso.

En la configuración genérica, el agente:

• Visitó el sitio.
• Analizó la página.
• Intentó canjear la tarjeta utilizando credenciales falsas.
• Finalmente identificó el sitio como sospechoso.

Aunque terminó detectando la amenaza, ya había interactuado con la infraestructura del atacante.

Por el contrario, el perfil estricto bloqueó la acción inmediatamente, demostrando que ciertas medidas de seguridad pueden mejorar significativamente la resistencia frente al phishing tradicional.

Cuarto ataque: Aplicación OAuth maliciosa

El último escenario evaluó la capacidad de detectar aplicaciones falsas diseñadas para robar permisos de acceso.

Los investigadores crearon una aplicación de Google OAuth disfrazada como una plataforma corporativa para registrar horas de trabajo.

En este caso, los resultados fueron mucho más positivos.

El agente:

• Inspeccionó el flujo OAuth.
• Analizó el dominio de destino.
• Evaluó los permisos solicitados.
• Detectó comportamientos sospechosos.
• Rechazó la autorización.

Esto demuestra que los agentes modernos pueden identificar señales técnicas de fraude cuando estas están claramente presentes.

¿Por qué fallaron los agentes de IA?

Según Varonis, el problema principal no fue la detección de indicadores técnicos de phishing, sino la incapacidad para validar adecuadamente identidades humanas.

Los investigadores descubrieron que los agentes son relativamente eficaces para:

• Detectar URLs sospechosas.
• Identificar páginas falsas de inicio de sesión.
• Analizar aplicaciones OAuth maliciosas.
• Reconocer patrones típicos de phishing.

Sin embargo, presentan debilidades importantes cuando deben interpretar contextos sociales complejos.

Entre las principales limitaciones identificadas destacan:

Falta de verificación de identidad

Los agentes asumieron que ciertos correos eran legítimos sin validar quién los enviaba realmente.

Exceso de confianza en solicitudes urgentes

Las peticiones que simulaban incidentes operativos generaron respuestas automáticas sin suficientes comprobaciones.

Pérdida de contexto empresarial

Los agentes carecen de mecanismos sólidos para entender relaciones jerárquicas y procesos internos.

Ausencia de principios Zero Trust

Las decisiones se tomaron bajo supuestos de confianza implícita en lugar de aplicar verificaciones continuas.

Gemini vs GPT-5.4: Diferencias observadas

El análisis también reveló diferencias entre ambos modelos.

Los investigadores observaron que Gemini mostró una mayor predisposición a interactuar con solicitudes externas y completar tareas solicitadas.

Por su parte, GPT-5.4 adoptó una postura más conservadora y mostró mayor resistencia frente a determinadas acciones potencialmente riesgosas.

Aunque ninguno de los modelos fue completamente inmune, los resultados sugieren que la configuración de seguridad y las restricciones operativas son tan importantes como las capacidades del modelo utilizado.

Cómo proteger agentes de IA frente al phishing

A partir de los hallazgos, Varonis recomienda implementar varias medidas de protección antes de desplegar agentes autónomos en entornos corporativos.

Entre las más importantes destacan:

• Obligar a la verificación de identidad de remitentes.
• Restringir el envío de información a destinatarios externos desconocidos.
• Limitar el acceso a datos sensibles.
• Implementar políticas de mínimo privilegio.
• Aplicar controles de aprobación humana para acciones críticas.
• Auditar continuamente las decisiones tomadas por los agentes.

Además, cualquier acción relacionada con:

• Credenciales.
• Información financiera.
• Exportaciones de datos.
• Nuevos contactos externos.

Debería requerir validación humana obligatoria antes de ejecutarse.

En fin...

La investigación demuestra que los agentes de inteligencia artificial pueden convertirse en objetivos tan vulnerables como los empleados humanos cuando son expuestos a técnicas avanzadas de ingeniería social. Aunque herramientas como OpenClaw, GPT-5.4 y Gemini muestran capacidades prometedoras para detectar amenazas técnicas, todavía presentan limitaciones significativas en la validación de identidades y la aplicación de principios de confianza cero.

A medida que las organizaciones adopten agentes autónomos para gestionar correos electrónicos, datos empresariales y operaciones críticas, será imprescindible implementar controles de seguridad específicos. De lo contrario, los ciberdelincuentes podrían encontrar en estos asistentes inteligentes un nuevo vector para robar credenciales, exfiltrar información sensible y comprometer infraestructuras corporativas completas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login