El panorama de seguridad del Model Context Protocol MCP en 2025 exige una mirada urgente y práctica. MCP se está consolidando como un estándar para la comunicación entre aplicaciones externas, grandes modelos de lenguaje y agentes de IA, similar a cómo USB-C estandarizó la conexión física. Su adopción ha sido rápida y amplia, con miles de implementaciones comunitarias y con grandes empresas integrándolo en sus pilas tecnológicas.
Sin embargo, esa adopción acelerada trae consigo riesgos emergentes que deben abordarse desde el diseño hasta la operación. En este artículo explicamos los retos principales, vectores de ataque más comunes y defensas que las organizaciones deben implementar para proteger sus datos y servicios.
El reto central de seguridad es el clásico problema del confounded o confused deputy donde un servidor MCP actúa con privilegios superiores a los del usuario final. Un actor malicioso puede inducir a un modelo a solicitar acciones que provoquen operaciones no autorizadas por parte del servidor MCP, por ejemplo eliminar archivos, extraer datos o modificar configuraciones sensibles. La IA puede ser manipulada mediante instrucciones maliciosas que aparecen en herramientas, descripciones o en los datos que procesa.
Un vector de ataque crítico es la inyección de prompts. Los atacantes pueden ocultar instrucciones maliciosas en documentos, correos o cualquier contenido que el MCP procese. Cuando el modelo lee ese contenido interpreta esas instrucciones como legítimas. Los riesgos incluyen secuestro del comportamiento del modelo, exfiltración de información a través de otras conexiones MCP y el uso de herramientas conectadas para ejecutar acciones dañinas como enviar spam, borrar datos o realizar compras no autorizadas.
Los riesgos de la cadena de suministro y las herramientas de terceros no verificadas son igualmente preocupantes. Cualquiera puede publicar un servidor MCP, lo que facilita la distribución de servidores maliciosos diseñados para robar credenciales, ejecutar código o suplantar servicios legítimos. Aparece además el riesgo de typosquatting en nombres de servidores MCP y la ausencia de un proceso central de revisión equivalente a una tienda de aplicaciones, lo que deja a usuarios y empresas la carga de verificar la seguridad de las herramientas que integran.
Otro ataque sutil es el envenenamiento de herramientas o tool poisoning donde instrucciones peligrosas se incrustan en las definiciones de herramientas. Estas instrucciones pueden ser invisibles para un usuario humano pero legibles por un modelo, pudiendo provocar lectura de claves SSH, exfiltración de prompts o ejecución de comandos no autorizados.
La exposición de credenciales y tokens constituye un punto único de fallo. Los servidores MCP suelen almacenar claves API, tokens OAuth y otros secretos para conectar servicios externos. Si un servidor se compromete, el atacante puede obtener acceso a correo, almacenamiento en la nube, repositorios de código y más, creando un escenario de llaves del reino que permite movimientos laterales extensos.
El exceso de privilegios es otro problema recurrente. Para facilitar funcionalidades, desarrolladores piden permisos amplios en vez de limitar el alcance. Un servidor que solicita lectura, escritura y borrado de una cuenta completa cuando solo necesita leer asuntos de correo viola el principio de mínimo privilegio y aumenta la superficie de ataque.
La falta de auditoría y monitoreo granular complica la detección y respuesta ante incidentes. MCP aún está en fases tempranas y muchas implementaciones carecen de registros detallados de operaciones, de trazas que permitan identificar qué datos se consultaron o qué acciones realizaron los agentes. Cuando varios tokens y servicios se concentran en un único servidor, un compromiso puede pasar desapercibido durante tiempo suficiente para causar daños graves.
Frente a estos riesgos se han propuesto y adoptado medidas técnicas. La especificación publicada en 2025 incorpora requisitos basados en OAuth 2.1 para clasificar MCP servers como resource servers y define flujos de autorización robustos. Entre las prácticas críticas están la validación estricta de tokens, la vinculación de audiencia, el uso de PKCE en clientes públicos, el envío de tokens únicamente por cabeceras Authorization Bearer y la prohibición de incluir tokens en cadenas de consulta.
Recomendaciones de seguridad adicionales incluyen emitir tokens de corta vida, almacenamiento seguro de credenciales, uso obligatorio de HTTPS en todos los endpoints de autorización, validación exacta de redirect URIs y la verificación del state parameter para evitar ataques de redirección y CSRF. Las implementaciones deberían soportar metadata de servidor de autorización y metadatos de recursos protegidos para facilitar descubrimiento seguro y evitar token passthrough.
En el plano operativo, es imprescindible aplicar controles como rate limiting, validación y saneamiento de entradas, monitorización continua, alertas y trazabilidad de acciones. Mantener límites de confianza claros entre servicios, auditar claims de tokens para roles y audiencias, y aplicar políticas de rotación y expiración de sesiones reduce el riesgo de session hijacking y abuso de tokens.
La comunidad ya ha identificado incidentes reales que ilustran estos riesgos: accesos no autorizados a repositorios mediante implementaciones MCP mal configuradas, filtraciones de bases de datos por servidores inseguros, errores que permitieron a usuarios ver espacios de trabajo ajenos y vulnerabilidades de inyección SQL en servidores populares que fueron clonados muchas veces aumentando el alcance del desastre. También se han detectado vulnerabilidades críticas en proxys que permiten ejecución de comandos en sistemas cliente cuando se conectan a servidores MCP maliciosos.
En respuesta, los equipos de seguridad deben realizar revisiones de diseño, pruebas de penetración específicas para flujos MCP, escaneos de dependencias y auditorías de configuraciones. Es recomendable que las organizaciones empleen listas blancas de servidores MCP confiables, validen dinámicamente clientes registrados y exijan consentimiento explícito del usuario para que proxies o servidores actúen en su nombre.
Q2BSTUDIO como socio tecnológico ofrece apoyo integral para enfrentar estos desafíos. Somos una empresa de desarrollo de software y aplicaciones a medida con experiencia en inteligencia artificial, ciberseguridad y servicios cloud aws y azure. Diseñamos software a medida que incorpora controles de seguridad desde la arquitectura, desarrollamos agentes IA seguros para tareas empresariales y construimos soluciones de inteligencia de negocio y power bi para transformar datos en decisiones accionables. Nuestros servicios de inteligencia artificial y ia para empresas incluyen integración segura de modelos, gestión de secrets y auditoría de comunicaciones MCP para minimizar riesgos de supply chain y tool poisoning.
Ofrecemos evaluaciones de seguridad MCP, hardening de servidores, implementación de OAuth 2.1 y PKCE, diseño de políticas de least privilege, y desarrollo de microsservicios con prácticas de secure by design. Además implementamos monitorización avanzada, logging en cumplimiento con buenas prácticas y planes de respuesta a incidentes para mitigar fugas de tokens y exposición de credenciales. Si su organización necesita soluciones cloud seguras ofrecemos despliegues y gobernanza en servicios cloud aws y azure, optimización de costos y respaldo en alta disponibilidad.
Para proyectos de inteligencia de negocio trabajamos con power bi y pipelines de datos que respetan límites de confianza entre fuentes, encriptación en tránsito y en reposo, y controles de acceso basados en roles. Nuestros desarrollos de aplicaciones a medida y software a medida incorporan pruebas de seguridad automatizadas, revisión de dependencias y políticas de actualización para reducir la ventana de exposición ante vulnerabilidades conocidas.
En resumen, el futuro seguro de MCP depende de la adopción consistente de buenas prácticas de autorización, manejo de tokens, principio de mínimo privilegio, y robustos mecanismos de auditoría y monitoreo. Las especificaciones recientes ofrecen una base sólida, pero la seguridad real se logra con implementación cuidadosa, revisiones constantes y formación de equipos. Q2BSTUDIO acompaña a empresas en ese viaje, aportando experiencia en inteligencia artificial, agentes IA, ciberseguridad, servicios inteligencia de negocio y servicios cloud aws y azure para construir soluciones confiables y escalables.
Si desea evaluar su postura frente a MCP, realizar una auditoría o desarrollar una solución segura a medida, nuestro equipo en Q2BSTUDIO está listo para ayudar en cada etapa del proceso y para crear soluciones que integren inteligencia artificial y ciberseguridad con el objetivo de proteger datos, optimizar procesos y aprovechar al máximo las oportunidades de la transformación digital.