G. Bascuñana
G. Bascuñana
ProyectosNewsletterHerramientasConsultoríaContacto
Blog
ES/EN

G. Bascuñana

Guillermo Bascuñana
© 2026 Todos los derechos reservados.
enTérminosPrivacidad
Volver al blog
4 de Febrero, 2026

OpenClaw Seguro: Guía para No Regalar las Llaves de Tu Vida

Cómo configurar tu asistente IA en una Raspberry Pi con cifrado E2E, red privada Tailscale, y protección contra prompt injection.

En esta guía

  1. 01. ¿Qué es OpenClaw?
  2. 02. El problema de seguridad
  3. 03. Requisitos
  4. 04. Configurar Raspberry Pi
  5. 05. Configurar Tailscale
  6. 06. Instalar OpenClaw
  7. 07. Configurar Matrix (E2E)
  8. 08. Hardening de seguridad

¿Qué es OpenClaw?

OpenClaw es un asistente IA open-source que corre en tu propio hardware. Piensa en él como una alternativa auto-hospedada a ChatGPT o Claude, pero en vez de chatear por una web, vive en tu ordenador(o en una Raspberry Pi en tu armario) y se conecta contigo por Signal, Telegram, Discord, Matrix o lo que prefieras.

El atractivo es obvio: puedes mensajear a tu asistente desde el móvil mientras estás fuera. Puede leer y escribir archivos. Ejecutar comandos. Recordar cosas entre conversaciones. Navegar la web, gestionar tu calendario, construir apps y subirlas a Vercel. Es genuinamente útil de una forma diferente a copiar y pegar en una ventana de chat.

⚠️ El elefante en la habitación

Cuanto más útiles se vuelven estos asistentes, más peligrosos son si los usas sin cuidado.

No voy a poder evitar que uses OpenClaw, así que al menos déjame enseñarte a configurarlo de forma que no regales las llaves de tu vida — o al menos, que sea mucho más difícil.

Al final de esta guía tendrás:

  • OpenClaw en una Raspberry Pi, accesible solo vía Tailscale
  • Chat cifrado E2E vía Matrix
  • Protección contra prompt injection instalada
  • Proveedor de IA que dice no guardar logs
  • Firewall, permisos y hábitos que limitan el daño cuando algo falla

Tiempo: 30 minutos si todo va bien.

El Problema que Nadie Quiere Discutir

Esto puede sonar paranoico. No lo es.

Cuando le das a un asistente IA acceso a tus archivos, tu terminal y tus conversaciones diarias, estás creando algo sin precedentes: un sistema que conoce tus patrones de trabajo, tus relaciones personales, tus contraseñas (si no tienes cuidado), tu agenda, tu estilo de escritura, tus ansiedades, tus proyectos a medias, y las búsquedas vergonzosas que le pediste ayuda a las 2am.

OpenClaw guarda todo esto. Tiene un archivo MEMORY.md que acumula datos sobre ti con el tiempo. Un registro de credenciales con todos tus secretos (API Keys, etc). Transcripciones completas de cada conversación. Acceso a las herramientas que hayas habilitado — que podría incluir leer cualquier archivo o ejecutar comandos arbitrarios.

Tres categorías de riesgo

🔴 1. Tu proveedor de IA ve TODO

A menos que corras un modelo local (que la mayoría no hace porque los buenos requieren hardware caro), cada mensaje se reenvía a los servidores del proveedor. ¿Usas la API de OpenAI? Cada conversación pasa por su infraestructura. Cada archivo que resumes. Cada código que revisas. Su política dice que no entrenan con datos de API, pero siguen procesándolos. Podrían estar guardando logs. No hay forma de verificarlo.

🟠 2. Prompt Injection no está resuelto

Una evaluación de seguridad reciente de asistentes estilo OpenClaw encontró una tasa de éxito del 91% para ataques de prompt injection, y 83% de éxito en extracción de información. Si tu asistente procesa un email, documento o página web con instrucciones ocultas, hay un 91% de probabilidad de que las siga.

🟣 3. Tu archivo de memoria es un perfil psicológico

MEMORY.md acumula: que prefieres dark mode, que trabajas en X empresa, el nombre de tu pareja, tu aniversario, que estás estresado por los deadlines... Un infostealer que robe este archivo obtiene un perfil psicológico que a un acosador humano le llevaría meses compilar.

¿Entonces para qué molestarse?

Porque OpenClaw es genuinamente útil de formas que ChatGPT y Claude no lo son. Un chatbot web no puede leer tus archivos de proyecto, correr tus scripts, enviarte un mensaje cada mañana diciéndote que acaba de construir 5 demos basadas en la última tendencia de IA. OpenClaw sí puede.

Ese poder viene con riesgo real. Pero la respuesta no es evitarlo — es correrlo deliberadamente.

Requisitos

El coste total ronda los 100-150€ si compras todo nuevo, aunque probablemente ya tengas algo de esto por casa.

Hardware

  • •Raspberry Pi 5 (4GB+ RAM) — el modelo de 4GB funciona bien porque el trabajo pesado lo hace el proveedor de IA
  • •Tarjeta microSD de calidad (32GB+, marca reputada — las baratas se corrompen)
  • •Fuente de alimentación USB-C (oficial de Pi recomendada, 5V 3A)
  • •Cable Ethernet (WiFi funciona, pero cable es más fiable para un servidor headless)

¿Por qué una Pi en vez de un VPS o tu ordenador principal?

Un dispositivo dedicado significa aislamiento. Si OpenClaw se compromete por prompt injection, el atacante tiene acceso a... una Pi corriendo OpenClaw. No a tu workstation con tus claves SSH, sesiones de navegador y gestor de contraseñas.

Cuentas necesarias

🔮 Venice AI

Proveedor de IA que dice que los modelos "privados" no guardan logs ni entrenan con tus datos.

Bonus: acepta crypto. Email desechable + crypto = separación entre uso de IA e identidad real.

🔗 Tailscale

Red mesh privada. Tu Pi sigue haciendo conexiones salientes, pero ningún puerto entrante está expuesto.

Gratis hasta 100 dispositivos.

💬 Matrix

Protocolo de mensajería con cifrado E2E. A diferencia de Telegram (donde los bots no pueden usar E2E), Matrix cifra tus mensajes de extremo a extremo.

Paso 1: Configurar la Raspberry Pi

Flashear el SO

  1. Descarga Raspberry Pi Imager
  2. Choose Device → Raspberry Pi 5
  3. Choose OS → Raspberry Pi OS (64-bit)
  4. Choose Storage → tu tarjeta microSD

Configura antes de escribir:

  • • Hostname: openclaw
  • • Usuario/contraseña: pi con contraseña fuerte
  • • WiFi si no usas ethernet
  • • Enable SSH: Yes
  • • Public-key authentication only: Yes
  • • Pega tu clave pública de ~/.ssh/id_ed25519.pub

Si no tienes clave SSH:

bash
ssh-keygen -t ed25519 -C "tu-email@example.com"
cat ~/.ssh/id_ed25519.pub  # Copia esto al Pi Imager

Primera conexión

bash
ssh pi@openclaw.local
# O: ssh pi@192.168.1.XXX

Actualiza todo:

bash
sudo apt update && sudo apt upgrade -y
sudo reboot

Activa actualizaciones automáticas de seguridad:

bash
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades

Paso 2: Configurar Tailscale

bash
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Abre la URL que imprime, autoriza el dispositivo. Obtén tu IP de Tailscale:

bash
tailscale ip -4
# Ejemplo: 100.100.100.100
🔒

Restringir SSH solo a Tailscale

Esto es crítico. Nadie podrá conectarse por SSH excepto a través de tu red privada.
bash
sudo apt install ufw -y
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow in on tailscale0 to any port 22
sudo ufw enable
sudo ufw status

Para probar:

bash
# Esto debería funcionar:
ssh pi@TU_IP_TAILSCALE

# Esto NO debería funcionar:
ssh pi@192.168.1.XXX  # IP local - timeout
Si te bloqueas, necesitarás acceso físico (teclado y monitor) para arreglarlo.

Paso 3: Instalar OpenClaw

Instalar Node.js

bash
# Instalar nvm
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.40.3/install.sh | bash
. "$HOME/.nvm/nvm.sh"

# Instalar Node.js
nvm install 24
node -v  # Debería mostrar v24.x.x

Instalar OpenClaw

bash
curl -fsSL https://openclaw.ai/install.sh | bash

Onboarding

bash
openclaw onboard

Durante el onboarding:

  • • Modo onboarding: manual
  • • Proveedor de IA: Venice AI
  • • Modelo: kimi-k2-5 (completamente privado)
  • • Gateway bind: loopback
  • • Gateway auth: token
  • • Tailscale exposure: off
  • • Salta la selección de canales de mensajería
  • • Salta la instalación de skills
  • • Activa todos los hooks
  • • Instala el servicio del gateway
  • • Salta el hatching por ahora

Paso 4: Configurar Matrix (E2E)

¿Por qué Matrix en vez de Telegram?

Los bots de Telegram usan la Bot API, lo que significa que los servidores de Telegram ven cada mensaje en texto plano. Matrix con E2E significa que solo tu móvil y tu Pi pueden leer los mensajes.

Crear cuentas Matrix

Necesitas dos cuentas en Element:

  1. Tu cuenta personal — para hablar con el bot desde tu móvil
  2. Cuenta del bot — la que usará OpenClaw
Pon una contraseña al crear la cuenta del bot. Element puede usar SSO por defecto. OpenClaw necesita contraseña para loguearse.

Instalar el plugin

bash
openclaw plugins install @openclaw/matrix

Si falla con "npm install failed", arréglalo manualmente:

bash
cd ~/.openclaw/extensions/matrix
sed -i 's/"workspace:\*"/"*"/g' package.json
npm install

Configurar Matrix en OpenClaw

Edita ~/.openclaw/openclaw.json:

json
{
  "channels": {
    "matrix": {
      "enabled": true,
      "homeserver": "https://matrix-client.matrix.org",
      "userId": "@tu_bot:matrix.org",
      "password": "TU_PASSWORD_DEL_BOT",
      "encryption": true,
      "dm": {
        "policy": "pairing"
      }
    }
  }
}

Ejecutar como servicio

bash
sudo nano /etc/systemd/system/openclaw.service
ini
[Unit]
Description=OpenClaw AI Assistant
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=pi
Group=pi
WorkingDirectory=/home/pi
ExecStart=/home/pi/.npm-global/bin/openclaw start
Restart=on-failure
RestartSec=10
NoNewPrivileges=true
ProtectSystem=strict
ProtectHome=read-only
ReadWritePaths=/home/pi/.openclaw

[Install]
WantedBy=multi-user.target
bash
sudo systemctl daemon-reload
sudo systemctl enable openclaw
sudo systemctl start openclaw
sudo systemctl status openclaw

Paso 5: Hardening de Seguridad

Instalar skills de seguridad

bash
npx clawhub install skillguard
npx clawhub install prompt-guard
  • • SkillGuard: Audita skills por problemas de seguridad antes de instalar
  • • Prompt-Guard: Añade capas de resistencia a prompt injection

Permisos de archivos

bash
chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/*.json
chmod 600 ~/.openclaw/credentials/*

Desactivar mDNS Broadcasting

bash
echo 'export OPENCLAW_DISABLE_BONJOUR=1' >> ~/.bashrc
source ~/.bashrc
sudo systemctl restart openclaw

Ejecutar auditoría de seguridad

bash
openclaw security audit --deep
# Si hay problemas:
openclaw security audit --fix

Seguridad Operacional

El hardening técnico solo llega hasta cierto punto. Cómo usas el bot importa igual.

✅ Hacer❌ No hacer
Preguntar comandos para configurar AWSDecirle tus credenciales de AWS directamente
Usar la keyword "CRITICAL" en SOUL.mdAsumir que el bot "sabe" qué no debe hacer
Rotar credenciales cada 3-6 mesesDejar las mismas keys para siempre
Revisar logs periódicamenteIgnorar comportamientos extraños
Usar un vault para credencialesPegar contraseñas en el chat

Si te comprometen

  1. Para inmediatamente: sudo systemctl stop openclaw
  2. Rota todas las credenciales
  3. Revisa logs: less ~/.openclaw/logs/
  4. Busca cambios no autorizados: find ~/.openclaw -mtime -1 -ls
  5. En caso de duda: reflashea la tarjeta SD — es la única forma de estar seguro

Limitaciones

Prompt injection: ~91% tasa de éxito. No resuelto. Levantamos el listón, pero un atacante determinado probablemente lo conseguirá.
Confianza en Venice: Ven tus prompts. Dicen no guardar logs. No puedes verificarlo.
Acceso físico: Dispositivo corriendo = datos accesibles. El cifrado solo ayuda cuando está apagado.
Tú: Todo el hardening es inútil si pegas contraseñas, lees documentos maliciosos, ignoras warnings o nunca rotas credenciales.

Conclusión

Ahora tienes un asistente IA que:

  • Corre en hardware que controlas físicamente
  • Usa un proveedor que dice no guardar logs
  • No tiene superficie de ataque pública
  • Usa mensajería cifrada E2E
  • Tiene protección contra prompt injection instalada
  • Solo responde a tu cuenta Matrix

No es perfectamente seguro. Nada lo es. Pero es mejor que pegar tu vida en ChatGPT.

Usa tu bot. Disfruta la conveniencia. Hazlo con los ojos abiertos.

Basado en la guía de seguridad de la Ethereum Foundation dAI blog

Leer artículo original (inglés)