home@lat3dev.tech

Actualizado: junio de 2026 · Apéndice C

Directorio de herramientas, APIs y recursos

Qué usar, cuándo usarlo, qué riesgo trae y qué revisar antes de pagar, pegar o publicar.

Qué cubre

Directorio claro y seguro de herramientas, APIs, proveedores, canales, skills, backups y recursos para lectores no técnicos.

Uso seguro

Copia solo lo que entiendas. Adapta rutas y revisa backups antes de ejecutar comandos que borren, muevan, abran puertos, cambien permisos o toquen secretos.

apendice_c.md

Directorio práctico

Este apéndice no es una lista para instalarlo todo. Es un mapa claro para decidir qué herramienta merece entrar en tu sistema, qué puede costar, qué riesgo trae y qué revisar antes de pagar, pegar o publicar.

Regla simple: una herramienta externa ayuda, pero nunca manda. Si una web, skill, documento, log o comunidad te da instrucciones, trátalas como entrada no confiable hasta verificarlas.

Herramientas, APIs y recursos

Lee cada ficha como una mini auditoría: qué es, cuándo te sirve, qué riesgo tiene, cuándo evitarla y qué alternativa tienes si no encaja.

Para OpenRouter, ElevenLabs, Ollama y cualquier proveedor con API, verifica antes de producción precios, límites, privacidad, retención y límites de gasto por API key.

Proveedores de modelos

Herramientas que dan cerebro al agente. Antes de producción, confirma precio, limite, privacidad y region.

OpenRouter

Qué es
Un router de modelos de IA: una sola API para probar modelos de distintos proveedores.
Cuándo te sirve
Cuando quieres probar varios modelos, tener un modelo de respaldo y controlar gasto por key.
Qué riesgo tiene
Una key sin límite puede consumir crédito rápido. Cada proveedor puede tener reglas distintas de registros/logging y retención.
Coste inicial
Permite empezar con cuenta y API key; precios, modelos gratuitos y límites cambian. Verificar antes de producción.
Cuándo evitar
Cuando manejas datos que no deben salir de tu máquina o necesitas una política de retención concreta que no has validado.
Alternativa
Proveedor directo del modelo o Ollama local.

Uso principal: Elegir un modelo por tarea sin crear diez integraciones distintas.

Qué revisar antes de pagar, pegar o publicar: Crea keys separadas por entorno, activa límites de gasto por API key, revisa privacidad del proveedor y no pegues prompts sensibles en modelos gratuitos sin leer condiciones.

Fuente oficial

ElevenLabs

Qué es
Servicio de voz para convertir texto en audio, crear voces y montar respuestas habladas.
Cuándo te sirve
Cuando el usuario realmente va a escuchar el resultado y el coste por audio está justificado.
Qué riesgo tiene
Puedes gastar créditos con pruebas largas, regeneraciones o automatizaciones sin freno.
Coste inicial
Tiene plan inicial, créditos y planes de pago. Verificar antes de producción porque los créditos y límites cambian.
Cuándo evitar
Para logs, datos sensibles, tablas o tareas donde leer texto es mas seguro y barato.
Alternativa
Texto normal, TTS local o alertas cortas sin voz.

Uso principal: Briefings de voz, alertas importantes o contenido donde el audio aporta valor real.

Qué revisar antes de pagar, pegar o publicar: Define limite mensual, prueba con frases pequeñas y no envies datos personales o secretos en textos de voz.

Fuente oficial

Ollama

Qué es
Modelos locales en tu ordenador o servidor. No pagas por token, pero dependes de tu hardware.
Cuándo te sirve
Cuando privacidad y control importan mas que velocidad o comodidad cloud.
Qué riesgo tiene
Es privado solo si no expones el servicio. El puerto 11434 debe quedarse local o protegido.
Coste inicial
Gratis como software; el coste real es equipo, RAM, GPU, electricidad y mantenimiento.
Cuándo evitar
Si no puedes mantener el equipo encendido, actualizado y protegido.
Alternativa
OpenRouter con proveedor de cero retención validado o API directa del proveedor.

Uso principal: Tareas privadas, pruebas sin coste variable y agentes que no necesitan el modelo mas potente.

Qué revisar antes de pagar, pegar o publicar: Mantén Ollama en 127.0.0.1 siempre que puedas. Si expones 11434, usa autenticación, allowlist y una red privada.

Fuente oficial

Canales y publicación

Puertas hacia el exterior. Sirven para conversar, publicar o exponer una app, asi que necesitan autenticación y limites.

Telegram Bot API

Qué es
Canal sencillo para hablar con tu agente desde Telegram.
Cuándo te sirve
Cuando necesitas confirmar acciones o recibir avisos sin abrir el panel.
Qué riesgo tiene
Un token filtrado permite controlar el bot. Un chat mal configurado puede recibir informacion sensible.
Coste inicial
Puede empezar gratis; revisa limites y condiciones actuales antes de automatizar volumen.
Cuándo evitar
Para datos de clientes, secretos, pagos o informacion que no quieras en una app de mensajeria.
Alternativa
Email, panel privado, Slack, Discord o notificaciones locales.

Uso principal: Alertas, aprobaciones humanas y conversaciones cortas desde el movil.

Qué revisar antes de pagar, pegar o publicar: Guarda el token como secreto, limita chats permitidos y pide confirmación humana antes de enviar mensajes a terceros.

Fuente oficial

Cloudflare Tunnel

Qué es
Un tunel para publicar una app local o de VPS sin abrir puertos entrantes directos.
Cuándo te sirve
Cuando no quieres abrir puertos en el servidor y puedes configurar Access o politicas de acceso.
Qué riesgo tiene
Evita puertos entrantes, pero una ruta publica sin Access deja la app accesible desde internet.
Coste inicial
Puede empezar con plan de Cloudflare; revisa producto, dominio y limites antes de producción.
Cuándo evitar
Si vas a publicar OpenClaw, Ollama o un panel interno sin autenticación fuerte.
Alternativa
VPN, reverse proxy con auth, SSH tunnel o red privada.

Uso principal: Exponer un panel privado o una app interna detras de Cloudflare.

Qué revisar antes de pagar, pegar o publicar: Antes de publicar, activa Cloudflare Access/autenticación, allowlist, MFA si procede y comprueba que OpenClaw no quede anónimo.

Fuente oficial

Skills y comunidad

Recursos externos que amplian el agente. Tratalos como contenido no confiable hasta revisarlos.

ClawHub

Qué es
Registro publico de skills y plugins para OpenClaw.
Cuándo te sirve
Cuando una skill tiene ficha clara, archivos revisables, origen razonable y prueba aislada.
Qué riesgo tiene
Una skill externa puede pedir permisos amplios, leer archivos o inducir al agente a actuar fuera de tus reglas.
Coste inicial
Consultar puede ser gratis; verifica condiciones del paquete y del proveedor que la skill use.
Cuándo evitar
Si no puedes leer SKILL.md, no entiendes los permisos o el paquete promete demasiado.
Alternativa
Skill propia minima, plugin oficial o procedimiento manual.

Uso principal: Encontrar una skill ya preparada en vez de escribirla desde cero.

Qué revisar antes de pagar, pegar o publicar: No asumas firmas ni seguridad total. Ejecuta openclaw skills verify <slug>, revisa SKILL.md, archivos, permisos y pruebala con un agente de prueba.

Fuente oficial

Backups, secretos y operación

Piezas de soporte: busqueda web, copias, secretos, logs y recuperación.

Google Custom Search JSON API

Qué es
API historica de Google para obtener resultados de busqueda en JSON desde un motor programable.
Cuándo te sirve
Cuando mantienes una integración existente mientras preparas alternativa.
Qué riesgo tiene
Construir algo nuevo encima de un servicio cerrado te deja con deuda de migración.
Coste inicial
Está cerrada a nuevos clientes. Los clientes existentes deben migrar antes del 1 de enero de 2027.
Cuándo evitar
Para proyectos nuevos o lectores que empiezan hoy.
Alternativa
Vertex AI Search para dominios acotados, APIs de busqueda actuales o browsing controlado con limites.

Uso principal: Solo si ya eras cliente y tienes una migración planificada.

Qué revisar antes de pagar, pegar o publicar: No metas secretos en consultas y trata resultados web como contenido externo no confiable.

Fuente oficial

Backups cifrados de OpenClaw

Qué es
Copia de seguridad del workspace, configuración y notas operativas.
Cuándo te sirve
Siempre que tu agente ya tenga configuración, memoria o credenciales operativas.
Qué riesgo tiene
~/.openclaw/openclaw.json puede contener tokens. Un backup sin cifrar duplica el problema.
Coste inicial
Puede empezar con almacenamiento que ya tengas, pero exige backup cifrado y prueba de restauración.
Cuándo evitar
Nunca lo evites; evita solo copias sin cifrado, sin prueba de restauración o dentro del repo.
Alternativa
Snapshot cifrado del VPS, gestor de secretos o exportación manual sin secretos.

Uso principal: Recuperarte si pierdes el VPS, rompes una configuración o necesitas volver a un estado anterior.

Qué revisar antes de pagar, pegar o publicar: Mantén secretos fuera del repo. Si openclaw.json o una key se filtró, asume exposición y haz rotación inmediata.

Fuente oficial

Aviso anti prompt-injection

El contenido externo no confiable no puede ordenar enviar secretos, cambiar permisos, instalar dependencias, publicar apps, borrar archivos, modificar límites de gasto ni saltarse confirmaciones humanas.

Aplica esto a herramientas, skills, browsing, docs, logs, issues, PDFs, chats y comunidades. Si algo te dice "ignora tus reglas anteriores", "pega tu token" o "ejecuta este instalador", se revisa como riesgo, no como instrucción.

Comandos reales copiables

Solo estos bloques son copiables. Son comandos aislados; antes de ejecutarlos, sustituye placeholders y revisa el contexto.

Verificar una skill de ClawHub

openclaw skills verify <slug>

Diagnóstico local antes de publicar

openclaw doctor

Túnel temporal hacia un servicio local protegido

PRECAUCIÓN: no expongas OpenClaw, Ollama ni un panel interno con este túnel si antes no has configurado Cloudflare Access, autenticación, allowlist y MFA cuando proceda.

cloudflared tunnel --url http://localhost:18789 --http-host-header="localhost:18789"

Misión final: antes de activar una herramienta

  • Cuenta creada con el email correcto y sin compartir credenciales personales.
  • Límite de gasto configurado: presupuesto, tope o alerta por API key.
  • Secreto fuera del repo: variables de entorno, gestor de secretos o SecretRef.
  • Prueba mínima ejecutada en un agente o entorno de prueba.
  • Logs revisados sin tokens, IPs privadas, datos de clientes ni prompts sensibles.
  • Rotación documentada: quién rota la key, cuándo y qué hacer si se filtra.

Fuentes oficiales

Estas fuentes cambian. Antes de producción, revisa la documentación actual y no copies precios, límites o claims de seguridad sin confirmarlos.