Qué es OpenClaw y por qué autohospedarlo
En el mundo de la IA conversacional, la mayoría de las soluciones son servicios cloud cerrados donde tus datos pasan por servidores de terceros. OpenClaw es diferente: es un framework open-source para construir asistentes AI que corren en tu infraestructura, con memoria persistente, integraciones reales y ejecución de comandos.
Lo desplegué en un VPS de DigitalOcean con Claude como LLM. Este artículo documenta las decisiones, los problemas y las lecciones - no los comandos de instalación (para eso está la documentación oficial).
Arquitectura
VPS: DigitalOcean Droplet (2 GB RAM, 2 vCPUs, Ubuntu) LLM: Claude Sonnet 4.5 vía API de Anthropic Canales: WebChat custom + WhatsApp Integraciones: Google Workspace (Gmail, Calendar, Drive, Docs, Sheets) vía gogcli
El gateway corre como servicio systemd, escucha en loopback, y Caddy hace de reverse proxy con SSL automático. El asistente mantiene memoria entre sesiones usando archivos Markdown en el workspace:
~/.openclaw/workspace/
├── SOUL.md # Personalidad del asistente
├── USER.md # Información del usuario
├── MEMORY.md # Memoria a largo plazo
├── TOOLS.md # Notas sobre herramientas
└── memory/
└── 2026-03-08.md # Log diarioHardening: no es opcional
Un asistente AI con acceso a tu Gmail, calendario y terminal puede ser devastador si se compromete. Esto es lo que implementé y por qué:
Firewall (UFW): deny-by-default, solo puertos 22, 80, 443. Todo lo demás cerrado.
SSH: solo autenticación por key Ed25519, passwords deshabilitados, root login prohibido. No hay excusa para no hacer esto en 2026.
Fail2ban: protección contra fuerza bruta. En las primeras semanas baneó más de 1,600 IPs. Los bots no descansan.
Credentials: chmod 700 en el directorio de credenciales, 600 en los archivos JSON. Si alguien compromete el servidor, al menos los tokens de Google no están expuestos al mundo.
OpenClaw incluye un comando de auditoría (openclaw status --security) que verifica todo esto de un vistazo.
Google Workspace: el poder real
La integración que convierte a OpenClaw de chatbot a asistente real es gog - un CLI para Google Workspace con OAuth 2.0. Le da al asistente acceso a Gmail, Calendar, Drive, Docs, Sheets y Contacts.
El setup de OAuth
Necesitas un proyecto en Google Cloud Console con las APIs habilitadas, credenciales OAuth tipo Desktop App, y los scopes correctos (Gmail, Calendar, Drive, Docs, Sheets, Contacts). La autenticación en un servidor headless requiere un SSH tunnel para el callback de OAuth - no es intuitivo pero funciona.
Qué puede hacer
Una vez configurado, el asistente puede hacer cosas como:
# Buscar emails recientes
gog gmail messages search "newer_than:7d" --max 10
# Crear evento en calendario
gog calendar create primary \
--summary "Reunión con equipo" \
--from "2026-03-10T14:00:00Z" \
--to "2026-03-10T15:00:00Z"
# Subir archivo a Drive
gog drive upload ./reporte.pdf
# Enviar email
gog gmail send \
--to user@example.com \
--subject "Reporte Diario" \
--body "Resumen del día adjunto."Todo esto invocado por el asistente de forma autónoma cuando se lo pides en lenguaje natural.
Watchlist financiera automatizada
Uno de los casos más interesantes: un cron job que consulta precios de acciones, compara con umbrales configurados, y envía alertas por email si hay cambios significativos. Semi-automático por diseño - el asistente prepara, yo apruebo.
Lecciones Aprendidas
OAuth > API Keys. Google Workspace con OAuth 2.0 permite revocar acceso sin cambiar passwords, scopes granulares, y auditoría de accesos. Siempre OAuth cuando esté disponible.
El sandbox protege pero limita. OpenClaw ejecuta comandos en Docker por defecto. Protege el host, pero herramientas como gog necesitan acceso al host. La solución: desactivar sandbox con controles compensatorios (loopback binding, token auth, Caddy proxy, WhatsApp allowlist).
Documentar es para ti, no para el reporte. El asistente es tan bueno como su documentación. Mantener TOOLS.md y SKILL.md actualizados hace la diferencia entre un asistente útil y uno que pregunta constantemente qué herramientas tiene disponibles.
El skill file define los límites del agente. Durante testing, el asistente no podía subir archivos a Drive - no porque gog no lo soportara, sino porque el SKILL.md no documentaba ese comando. El agente no sabe lo que no le dices que sabe.
Separación de sesiones importa. Múltiples canales (web, WhatsApp) son sesiones separadas que no comparten memoria automáticamente. Archivos de memoria compartidos (MEMORY.md) resuelven esto.
Costos
| Componente | Costo mensual |
|---|---|
| VPS (DigitalOcean) | $12-24 |
| API Claude (Anthropic) | $10-50 (según uso) |
| APIs de Google | Gratis (dentro de cuotas) |
| Total estimado | $25-70/mes |
Comparado con servicios cloud de IA que no incluyen integraciones reales ni control de datos, sale muy competitivo.
Lo que sigue
La implementación actual cubre servidor hardened, Google Workspace, memoria persistente y tareas programadas. En el roadmap: integración de voz (Twilio + ElevenLabs), dashboard web personalizado, y automatización de facturación.
La segunda fase de este deployment está documentada en OpenClaw: Parte 2.
¿Interesado en autohospedar tu propio asistente AI? La documentación oficial está en docs.openclaw.ai.
Por: Cesar Rosa Polanco - Basado en un caso real, con apoyo editorial de inteligencia artificial.
