MCP Vulnerabilidades que todo desarrollador debe conocer
Resumen rápido: MCP se está adoptando con rapidez y con esa adopción han surgido riesgos críticos que pueden convertirse en desastres si no se gestionan correctamente. Este artículo traduce y resume los problemas más importantes, con ejemplos reales y recomendaciones prácticas orientadas a equipos de desarrollo y a empresas tecnológicas como Q2BSTUDIO, especialistas en aplicaciones a medida, software a medida, inteligencia artificial y ciberseguridad.
Qué es MCP y por qué importa: MCP es un protocolo emergente para conectar modelos de lenguaje con herramientas y fuentes de datos de forma estandarizada. Permite listar herramientas, invocarlas y recibir respuestas tipadas. En la práctica facilita integrar agentes IA con servicios como repositorios, APIs, bases de datos y plataformas en la nube. Sin embargo, esa superficie de integración también abre vectores de ataque nuevos y peligrosos.
Problema 1 Descripción de herramienta maliciosa: Los servidores MCP describen sus herramientas con texto que los agentes leen como contexto. Un atacante que controle una descripción puede insertar instrucciones ocultas que el agente ejecutará sin que el usuario lo note. Esto no es teoría; pruebas de seguridad han demostrado que descripciones manipuladas pueden inducir a exfiltrar credenciales o ejecutar órdenes indeseadas. Este vector rompe la expectativa de seguridad por ocultación y hace necesario sanitizar o validar las descripciones antes de pasarlas al contexto del modelo.
Problema 2 Autenticación débil o ausente: Aunque la especificación MCP 2025 06 18 obliga al uso de OAuth 2 1 y buenas prácticas, muchas implementaciones lo tratan como opcional o lo configuran mal. Se han descubierto servidores MCP expuestos sin ningún tipo de autenticación, configuraciones por defecto que enlazan a 0.0.0.0 y mecanismos de sesión inseguros que permiten el robo de tokens. Incluso cuando existe OAuth se observan prácticas peligrosas como almacenamiento en texto plano de tokens de servicios externos o uso de IDs cliente estáticos que permiten eludir pantallas de consentimient o por replay de cookies.
Problema 3 Riesgo en la cadena de suministro y en paquetes de herramientas: Muchos proyectos instalan paquetes MCP desde npm, PyPI o contenedores sin auditar el código. Un paquete popular puede contener una vulnerabilidad crítica o ser comprometido y, al distribuirse masivamente, afectar a miles de instalaciones. Las herramientas MCP corren con los permisos del sistema que las ejecuta, por lo que un paquete malicioso puede leer conversaciones, acceder a bases de datos internas o ejecutar comandos en el host. La recomendación es fijar versiones, preferir imágenes firmadas y revisar el código y los esquemas antes de confiar en paquetes externos.
Incidentes reales que demuestran el peligro: en 2025 se documentaron varios fallos graves. Uno bautizado como NeighborJack dejó cientos de servidores vinculados a 0.0.0.0 con rutas de inyección de comandos que permitían ejecución remota en el sistema host. En otro caso conocido como el ataque Lethal Trifecta contra un agente de soporte con acceso privilegiado, entradas no confiables en tickets permitieron filtrar tokens y datos de bases de datos. Empresas grandes como Asana tuvieron filtraciones inter inquilino al lanzar integraciones MCP mal aisladas. Un paquete npm llamado mcp remote contuvo una vulnerabilidad crítica que permitía ejecución de comandos en los hosts hasta su parcheo. También se registraron escenarios donde agentes con acceso a repositorios privados filtraron código a repositorios públicos tras encontrar issues maliciosas con instrucciones ocultas.
Por qué MCP agrava problemas tradicionales: Además de los riesgos habituales de software, las herramientas MCP pueden operar sobre capas de memoria del agente, historial de conversaciones y múltiples servicios internos simultáneamente. Esto permite exfiltrar datos sensibles de forma combinada, orquestar acciones sobre APIs internas y evadir controles tradicionales que no contemplan la semántica de agentes IA.
Buenas prácticas exigidas por la especificación y su estado real: La nueva especificación incluye recomendaciones concretas como no permitir el passthrough de tokens, forzar consentimient o explícito y validar tokens en cada petición. También propone mitigar delegación confusa y el secuestro de sesión. Sin embargo, muchas implementaciones aún no aplican estas medidas, por lo que la comunidad debe tratar estas guías como requisitos mínimos y auditar las implementaciones propias.
Cómo deben defenderse los desarrolladores y empresas: tratar cada herramienta como una superficie de ataque potencial. Aplicar principio de menor privilegio pidiendo solo los scopes estrictamente necesarios para la tarea. Evitar auto actualizaciones de paquetes sin revisión, pinnear versiones, usar contenedores firmados y políticas de CI que validen dependencias. Implementar sanitización y validación de descripciones y esquemas antes de inyectarlos en contextos de modelos. Mantener un inventario y observabilidad de llamadas a herramientas para detectar anomalías y activar bloqueos automáticos o intervención humana cuando sea necesario.
Qué puede aportar una capa de herramientas gestionada: soluciones que funcionan como intermediario seguro ofrecen autenticación gestionada sin almacenar tokens, permisos por herramienta y por sesión, control de selección de herramientas para reducir la superficie de ataque, recuperación ante fallos y observabilidad completa de llamadas y errores. Esto facilita ejecutar agentes IA en producción de forma más fiable y segura, sobre todo cuando se integran servicios cloud aws y azure, soluciones de inteligencia artificial y servicios inteligencia de negocio como Power BI.
Cómo Q2BSTUDIO puede ayudar: Q2BSTUDIO es una empresa de desarrollo de software y aplicaciones a medida especializada en inteligencia artificial, ciberseguridad y servicios cloud aws y azure. Ofrecemos desarrollo de software a medida, integración de agentes IA y soluciones de ia para empresas que incluyen control granular de permisos, auditoría y observabilidad. Nuestro enfoque combina diseño de arquitectura segura, hardening de servidores MCP, revisión de la cadena de suministro y políticas de despliegue que evitan actualizaciones automáticas no verificadas. También implementamos soluciones de inteligencia de negocio y power bi para transformar datos en información accionable, integrando la seguridad desde la fase de diseño hasta la operación.
Recomendaciones concretas desde Q2BSTUDIO: 1 Validar y sanitizar todas las descripciones de herramientas antes de incorporarlas al contexto del modelo. 2 Forzar OAuth 2 1 correctamente con verificación de tokens en cada petición y evitar client IDs estáticos. 3 Implementar control de scopes mínimos por herramienta y por sesión para proteger servicios externos. 4 Revisar y pinnear dependencias, preferir imágenes y paquetes firmados y auditar cambios en servidores MCP. 5 Añadir observabilidad y alertas que detecten patrones de exfiltración o llamadas inusuales. 6 Diseñar flujos con humano en el bucle para acciones privilegiadas que podrían exfiltrar datos.
Conclusión: MCP ofrece un modelo potente para ampliar capacidades de modelos de lenguaje mediante herramientas, pero la falta de seguridad por defecto y la rápida adopción han creado vectores de riesgo reales. Adoptar prácticas de seguridad robustas, tratar las descripciones y paquetes como datos no confiables y aplicar controles de acceso granular es imprescindible. Si necesitas ayuda para desplegar agentes IA seguros, proteger integraciones con servicios cloud aws y azure, desarrollar aplicaciones a medida o mejorar tu inteligencia de negocio con power bi, Q2BSTUDIO puede asesorarte e implementar soluciones de software a medida con foco en ciberseguridad e inteligencia artificial.
Contacto y siguiente paso: si te preocupa la seguridad de tus despliegues MCP o quieres diseñar agentes IA seguros e integraciones confiables, contacta a Q2BSTUDIO para una auditoría y plan de mitigación personalizado adaptado a aplicaciones a medida, software a medida, inteligencia artificial, ia para empresas, agentes IA y servicios inteligencia de negocio.