Una campaña de phishing en GitHub suplanta a OpenClaw y engaña a desarrolladores con falsos airdrops para robar fondos de billeteras cripto.
El pasado 18 de marzo del 2026 se ha dado a conocer un nuevo caso de estafa que envuelve a OpenClaw.
Se trata de un caso de phishing, donde los estafadores se hacen pasar por OpenClaw. Es así como se ha creado un repositorio falso en GitHub, donde se ofrecen tokens de CLAW con sorteos ficticios.
Phishing y Scam
El pasado 18 de marzo del 2026, la página de seguridad Ox Security, ha publicado un informe en el que da a conocer el alarmante hecho de estafa que involucra a OpenClaw. Se trata de un grave caso de phishing (suplantación de identidad), en el cual los estafadores se hacen pasar por el proyecto, a través de la creación de un repositorio de GitHub falso.
El foco de este scam serían los desarrolladores de OpenClaw en GitHub, tratando de captar su atención mediante “airdrops” del token CLAW. La modalidad incluye conexión de billetera, lo que lleva al vaciamiento de las mismas.
Las acciones comenzaron a llamar la atención ya que, una vez creadas las cuentas maliciosas, se mencionaron a una gran cantidad de desarrolladores en hilos de incidencias. Dichas menciones contenían un mensaje de “selección” a dichos devs, donde se les daba a entender que fueron seleccionados para recibir tokens CLAW.
El truco consiste en redirigir a las potenciales víctimas a un sitio clonado de OpenClaw, casi idéntico. Este sitio pide a los ingresantes que conecten su billetera (MetaMask, WalletConnect, Trust Wallet). Una vez conectada, queda abierta la puerta para la ejecución de un código con la capacidad de aprobar transacciones y desvío de fondos hacia una billetera de origen desconocido.
Estado actual de la estafa
Según OX Security, aún no hay reporte de víctimas del caso. A su vez, las cuentas creadas por el atacante fueron eliminadas.
Se recomienda tener sumo cuidado con los sitios dónde se conectan las billeteras, en especial si son sitios desconocidos. Así como tener un ojo alerta ante cualquier “airdrop” o “sorteo” de tokens en GitHub. También bloquear sitios sospechosos y revisar los permisos de las billeteras y revocar accesos recientes.
Conclusión
Este caso de estafa exponen los riesgos y las vulnerabilidades a los usuarios dentro del ecosistema cripto, incluso en entornos colaborativos como GitHub. Los casos llevados a cabo mediante ingeniería social van aumentando su sofisticación, tomando ventaja de la confianza existente en el contexto de las comunidades.
No obstante, es un gran recordatorio para tomar precauciones minuciosas a la hora de interactuar con plataformas, enlaces y otorgar permisos de conexión de billeteras.