OpenClaw en DigitalOcean: setup seguro 2026
Si estás pensando en hacer una instalación segura de OpenClaw en DigitalOcean, lo primero que tenés que saber es esto: el proceso no es complicado, pero tiene trampas de seguridad que pueden dejarte el agente expuesto al público sin que te des cuenta. Con un Droplet de 4 GB RAM y Ubuntu 24.04 LTS a $32/mes, el setup funciona bien, siempre que no saltees los pasos de firewall y aislamiento.
En 30 segundos
- OpenClaw requiere mínimo 4 GB RAM en producción: corre runtime de agente, gateway, plugins y estado local al mismo tiempo.
- El puerto 18789 NO debe estar abierto a
0.0.0.0: usá Tailscale o un proxy inverso con Caddy para acceso privado. - DigitalOcean genera un token de gateway automáticamente, pero si instalás manualmente fuera del entorno Droplet, ese token no aparece y tenés que armarlo vos.
- DeepSeek V3 es 10-50x más barato que Claude, pero tiene contexto corto y es más vulnerable a inyección de prompts.
- El estado base del servidor antes de instalar nada: ~3.4 GiB de RAM libre, ~2.0 GB de disco usado, solo SSH en puerto 22.
DeepSeek es una empresa china que desarrolla modelos de lenguaje e inteligencia artificial de código abierto, incluyendo DeepSeek-Coder para generación de código. Sus modelos enfatizan la eficiencia computacional.
Qué es OpenClaw y por qué la seguridad es crítica
OpenClaw es un agente IA autónomo de código abierto que corre 24/7 en un servidor propio. No es una app web estática que levantás y olvidás: ejecuta un runtime de agente, un proceso de gateway, configuración de modelos de lenguaje, archivos de workspace, plugins y estado local persistente. Todo eso corriendo en la misma máquina, expuesto potencialmente a internet.
El problema de seguridad no es teórico. Cualquiera que haya configurado servicios web en una VPS pública sabe que en minutos aparecen bots escaneando puertos. Si tu gateway queda en 0.0.0.0:18789 sin autenticación, es solo cuestión de tiempo.
Por eso el setup necesita capas de defensa, no una sola medida.
Hardware y OS recomendados para producción
Según la guía práctica publicada el 24 de mayo de 2026, la configuración usada en las pruebas fue:
- OS: Ubuntu 24.04 LTS x64
- CPU/RAM: 2 vCPU / 4 GB RAM
- Disco: 120 GB NVMe SSD
- Precio: $32/mes en DigitalOcean
¿Por qué 4 GB y no 2? Porque OpenClaw no es un servidor NGINX que duerme el 99% del tiempo. Tiene varios procesos corriendo en paralelo: el runtime del agente, el gateway, los plugins activos, y el estado local que se escribe en disco. Con 2 GB te la pasás viendo swapping y los tiempos de respuesta se van al tacho. 4 GB te da margen real antes de que los problemas de memoria empiecen a enturbiar los resultados.
Si querés comparar alternativas de infraestructura, Hetzner y Contabo entran bien en el precio para instancias similares (Contabo desde ~5€ para 4 GB), aunque con menos integración nativa con el ecosistema de herramientas cloud. Para hosting argentino con soporte en castellano, donweb.com tiene opciones de VPS que pueden servirte de base.
Preparación del servidor y baseline de seguridad
Antes de instalar absolutamente nada, documentá el estado inicial del servidor. Suena burocrático, pero tiene un propósito concreto: si después del setup aparece algún proceso o puerto que no estaba, sabés que vino de la instalación.
El estado base que reportó la guía del 24 de mayo en un Droplet nuevo:
- Memoria disponible: ~3.4 GiB
- Disco usado: ~2.0 GB de 116 GB
- Puertos públicos activos: solo SSH en puerto 22
Conectás con ssh root@TU_IP_DEL_SERVIDOR y desde ahí ejecutás ss -tlnp para ver qué está escuchando. Guardá el output. Ese es tu punto de referencia. Te puede servir nuestra cobertura de modelos de inteligencia artificial disponibles.
Autenticación y protección del token de gateway
Acá viene lo importante: cuando instalás OpenClaw desde el Marketplace de DigitalOcean como Droplet, el sistema genera un token de gateway aleatorio de forma automática. Eso es bueno. El problema aparece si instalás manualmente fuera de ese entorno.
En una instalación manual, ese token no existe por defecto. Tenés que generarlo y configurarlo vos. Y si no lo hacés (o si lo dejás hardcodeado en texto plano en un archivo de configuración), cualquier proceso con acceso al filesystem puede leerlo.
El riesgo de exfiltración de tokens no es hipotético: si el agente procesa contenido externo no confiable (páginas web, documentos, emails), un atacante puede intentar inyectar instrucciones para que el agente mismo exfiltre el token a una URL controlada por el atacante. Por eso el aislamiento de procesos importa tanto.
Firewall, Docker y aislamiento de procesos
Tres capas de defensa, en orden de importancia:
Reglas de firewall con rate limiting
Los puertos de OpenClaw deben tener rate limiting activado. No alcanza con solo “abrir” o “cerrar” un puerto: si dejás el puerto accesible sin límite de intentos, un ataque de fuerza bruta puede probar miles de combinaciones por minuto.
Usuario no-root
OpenClaw debe correr como usuario sin privilegios. Esto parece obvio pero mucha gente lo saltea por comodidad. Si el proceso del agente se compromete y corre como root, el atacante tiene control total del servidor. Corriendo como usuario limitado, el radio de explosión se acota bastante.
Contenedor Docker
El aislamiento en Docker agrega otra capa: si algo falla dentro del contenedor, no llega directo al sistema operativo anfitrión. No es una bala de plata, pero junto con las otras dos capas da una defensa en profundidad que vale la pena armar. Tema relacionado: pipelines de CI/CD para automatización.
Protección del puerto 18789: VPN o proxy inverso
Este es el punto donde más gente se manda errores. El puerto 18789 es donde escucha el gateway de OpenClaw. Si lo dejás abierto a 0.0.0.0, cualquiera en internet puede intentar conectarse.
¿Cuáles son las dos opciones reales?
Opción 1: Tailscale (recomendada para uso personal)
Tailscale crea una red privada entre tus dispositivos. El puerto 18789 no se abre al público: solo los dispositivos en tu red Tailscale pueden acceder. Setup de 10 minutos, sin configuración de firewall compleja. El acceso queda atado a tu cuenta de Tailscale, que tiene autenticación propia.
Opción 2: Caddy con proxy inverso y autenticación básica
Si necesitás acceso desde más dispositivos o preferís no depender de Tailscale, Caddy como proxy inverso con autenticación básica HTTP es la alternativa. Caddy maneja TLS automáticamente con Let’s Encrypt, y podés agregar una capa de usuario/contraseña antes de que el request llegue al gateway de OpenClaw.
La configuración básica de Caddy para esto se ve así:
openclaw.tudominio.com { reverse_proxy localhost:18789 basicauth { usuario $2a$14$hash_de_tu_password } }
En ninguno de los dos casos el puerto 18789 debe estar en las reglas de firewall públicas. Bloquealo en el firewall de DigitalOcean y accedé solo a través del túnel.
Integración con DeepSeek, Claude u otros modelos
Una vez que el servidor está hardened, viene la decisión del modelo. La comparativa real entre opciones: Para más detalles técnicos, mirá comparativa entre Jenkins y GitHub Actions.
| Modelo | Costo relativo | Razonamiento | Contexto | Riesgo prompt injection |
|---|---|---|---|---|
| DeepSeek V3 | 10-50x más barato | Débil en tareas complejas | Corto | Alto |
| Claude Opus/Sonnet | Caro | Fuerte | Largo | Bajo (mejor alineamiento) |
| Llama / Qwen (local, vía Ollama) | Costo infra solo | Variable por modelo | Variable | Medio |
El creador de OpenClaw recomienda Claude Opus o Sonnet para producción. DeepSeek V3 es la opción barata, y zafa para pruebas, pero tiene dos problemas concretos: contexto corto (menos capacidad para mantener estado en tareas largas) y mayor vulnerabilidad a inyección de prompts, lo que es especialmente relevante si tu agente procesa contenido externo.
La opción de modelos locales con Ollama (Llama, Qwen) tiene sentido si la privacidad de los datos es crítica y no querés mandar nada a APIs externas. El costo es solo infraestructura, pero los modelos locales de calidad suficiente para tareas de agente requieren hardware más potente que los 4 GB del Droplet base.
Validación post-instalación y monitoreo
Después de instalar, verificá:
ps aux | grep openclaw: el proceso debe correr como usuario no-rootss -tlnp: comparalo con el baseline inicial. El puerto 18789 NO debe aparecer en interfaces públicas- Revisá los logs de acceso del gateway en las primeras horas: buscá IPs que no reconocés haciendo requests
¿Y cómo sabés si alguien intentó acceder sin autorización? Los logs del gateway de OpenClaw registran cada request con IP de origen y timestamp. Un patrón de muchos intentos fallidos desde la misma IP en poco tiempo es señal de escaneo o fuerza bruta. Con rate limiting en el firewall, esos intentos se cortan solos, pero igual conviene monitorear.
Qué está confirmado / Qué no
| Punto | Estado |
|---|---|
| Setup funcional en Droplet 4 GB / Ubuntu 24.04 | Confirmado (prueba directa, mayo 2026) |
| Token de gateway auto-generado en instalación Marketplace | Confirmado |
| Ausencia de token en instalación manual | Confirmado (requiere configuración adicional) |
| DeepSeek V3 más vulnerable a prompt injection que Claude | Señalado por el autor, sin benchmark publicado independiente |
| Funcionamiento estable con Ollama en 4 GB RAM | No verificado para modelos de tamaño útil en producción |
Errores comunes en el setup de OpenClaw
Error 1: Abrir el puerto 18789 en el firewall público. El gateway de OpenClaw no está diseñado para exponerse a internet directo. Si abrís ese puerto en las reglas del firewall de DigitalOcean, cualquiera puede intentar conectarse. Siempre usá Tailscale o un proxy inverso como intermediario.
Error 2: Instalar en 2 GB RAM esperando que “alcance”. Tal vez arranca, pero en cuanto el agente empieza a procesar tareas largas o a usar plugins, el sistema empieza a swappear. Los resultados se degradan y los logs de error te van a confundir porque parecen problemas del agente cuando son problemas de memoria. El mínimo real para uso serio es 4 GB.
Error 3: Correr el proceso como root porque “es más fácil”. Es más fácil hasta que el agente procesa un prompt malicioso y el atacante tiene acceso root al servidor. Crear un usuario dedicado sin privilegios lleva 5 minutos y acota el radio de cualquier compromiso. No es opcional en producción. Cubrimos ese tema en detalle en guía de SEO multiidioma.
Preguntas Frecuentes
¿Cómo instalar OpenClaw en DigitalOcean de forma segura?
La ruta más segura es usar el Marketplace de DigitalOcean, que genera el token de gateway automáticamente y aplica configuración base. Después de instalar, bloqueá el puerto 18789 en el firewall público y configurá acceso privado vía Tailscale o proxy inverso con Caddy. Verificá que el proceso corra como usuario no-root con ps aux | grep openclaw.
¿Qué configuración de RAM y CPU necesita OpenClaw?
El mínimo probado en producción es 2 vCPU y 4 GB RAM, con 120 GB de SSD. Un Droplet de 2 GB puede arrancar el proceso, pero el swapping degrada la performance y complica el diagnóstico de errores. Para pruebas aisladas puede alcanzar; para uso continuo, no.
¿Cuáles son las vulnerabilidades de seguridad en OpenClaw?
Las principales son tres: gateway expuesto públicamente en el puerto 18789, token de autenticación mal protegido (especialmente en instalaciones manuales), e inyección de prompts si el agente procesa contenido externo no confiable. Las dos primeras se resuelven con firewall y acceso privado. La tercera depende del modelo elegido y de la arquitectura del agente.
¿Cómo proteger el agente IA en una VPS pública?
Tres capas en simultáneo: firewall con rate limiting en puertos de OpenClaw, ejecución como usuario no-root dentro de un contenedor Docker, y acceso al gateway solo a través de red privada (Tailscale) o proxy inverso autenticado (Caddy). Ninguna de las tres por sí sola alcanza, pero las tres juntas dan una defensa razonable.
¿DeepSeek o Claude: cuál es mejor para OpenClaw?
Depende del caso de uso. DeepSeek V3 es 10-50x más barato y sirve para pruebas o tareas simples, pero tiene contexto corto y mayor exposición a inyección de prompts. Claude Opus o Sonnet es lo que recomienda el creador del proyecto para producción: mejor razonamiento, contexto más largo y menor riesgo ante inputs maliciosos. Si la privacidad de datos es crítica, los modelos locales vía Ollama son una tercera opción.
Conclusión
OpenClaw en DigitalOcean funciona bien con el hardware correcto y los pasos de seguridad completos. El punto que más gente saltea es el del puerto 18789: dejarlo abierto al público es el error más común y el de mayor impacto. Con Tailscale o Caddy como intermediario, 4 GB de RAM, usuario no-root y Docker, tenés un setup que aguanta uso real sin convertirse en un blanco fácil.
Si vas a usarlo con un modelo de lenguaje externo, Claude es la elección más sólida para producción aunque cueste más. DeepSeek zafa para pruebas. Y si alguna vez terminás de hacer todo esto y el gateway sigue sin responder donde debería, lo primero que revisás es si el puerto está en el firewall privado y no en el público, porque casi siempre es eso.
Fuentes
- dev.to – OpenClaw on DigitalOcean: guía de setup con prueba directa (mayo 2026)
- DigitalOcean Docs – OpenClaw en el Marketplace oficial
- Twingate – Integración de acceso privado con OpenClaw en DigitalOcean
- Daily Dose of DS – Guía de deployment seguro de OpenClaw
- RubenRemote – Cómo instalar OpenClaw (guía en español)
