APREX · EST. 2026
> HERO IMAGE PROMPT: A dimly lit server room corridor stretching into darkness, a single engineer standing in silhouette before racks of blinking blue indicator lights, documentary-style, photorealistic editorial, mild sensor grain, bright Nordic daylight filtering through a high frosted window, no text, no logos
Un protocolo que nunca pidió permiso para convertirse en infraestructura crítica es ahora el nexo entre los agentes de IA más poderosos del mundo y todo, desde el código fuente corporativo hasta el historial de mensajes privados de los empleados. Model Context Protocol — MCP — fue lanzado por Anthropic en noviembre de 2024. Nueve meses después superó los 200.000 servidores en producción. Nadie exigió un control de seguridad en la puerta.
Ahora la industria paga el precio.
¿Qué es MCP y por qué está en todas partes?
MCP es un estándar abierto que permite a los grandes modelos de lenguaje comunicarse con herramientas externas y fuentes de datos de forma estructurada. Piénselo como el USB-C de la IA: un conector universal a través del cual el agente puede acceder al sistema de archivos, la base de datos, GitHub, Slack, el correo electrónico y cientos de otros servicios a través de la misma interfaz.
Antes de MCP, cada herramienta necesitaba su propia integración. MCP estandarizó la conexión. Eso explica el crecimiento explosivo. También explica el problema: una única superficie de ataque que toca todo.
Según análisis de Instatunnel y Pipelab, a principios de 2026 se encontraron cerca de 7.000 servidores MCP expuestos directamente a internet — aproximadamente la mitad de todos los despliegues conocidos en ese momento. Una gran proporción operaba sin ningún control de autenticación.
KEYFIGURE
| Cifra | Qué significa |
|---|---|
| 200.000+ | Servidores MCP en producción tras nueve meses |
| 85% | Tasa de éxito de ataques contra defensas de vanguardia con estrategias adaptativas |
| 88% | Proporción de servidores MCP de código abierto que requieren credenciales para funcionar |
| 53% | De estos, los que usan secretos estáticos de larga duración e inseguros |
Ocho formas en que alguien puede usar MCP contra usted
En marzo de 2026, investigadores publicaron en arXiv un análisis sistemático de miles de servidores MCP. Encontraron ocho tipos de vulnerabilidades distintas. El 7,2% de los servidores tenía fallos de seguridad generales. El 5,5% mostraba señales de envenenamiento activo de herramientas.
Estos son los vectores de ataque más importantes, explicados para quienes no son especialistas en seguridad:
1. Envenenamiento de herramientas (Tool Poisoning)
Este es el riesgo más invisible e insidioso. Un atacante oculta instrucciones maliciosas dentro del texto de descripción de una herramienta MCP. El usuario nunca ve ese texto — muchos clientes MCP truncan u ocultan las descripciones largas en la interfaz. Pero el agente de IA lo lee todo. Y sigue las instrucciones. Invariant Labs demostró un proof-of-concept en el que un servidor MCP malicioso extraía el historial completo de WhatsApp de un usuario insertando instrucciones maliciosas en la descripción de una herramienta.
2. Rug Pull
Un servidor MCP que instaló y en el que confiaba es sustituido silenciosamente por una versión maliciosa. La mayoría de los clientes MCP no vuelven a preguntar al usuario tras la instalación inicial. El nuevo servidor peligroso corre en segundo plano sin alertar a nadie. En septiembre de 2025 se documentó la primera versión in-the-wild conocida: el paquete npm postmark-mcp fue descubierto con una puerta trasera oculta.
3. Suplantación de herramientas entre servidores (Cross-Server Tool Shadowing)
Un servidor malicioso registra herramientas con nombres similares a los de un servidor de confianza. El agente de IA no verifica con qué servidor está hablando realmente. Las llamadas destinadas al servidor seguro son interceptadas y secuestradas.
4. Escalada de privilegios entre herramientas (Cross-Tool Privilege Escalation)
Dos servidores MCP aparentemente inofensivos se combinan de forma que permiten exfiltrar datos a través de fronteras que ninguno podría alcanzar por sí solo. Un agente conecta Jira y una herramienta de análisis en la nube, por ejemplo — a través de una cadena de llamadas a herramientas, información sensible se filtra entre sistemas sin que ninguna acción individual resulte alarmante.
5. Inyección de prompts a través de datos
Contenido malicioso se oculta en documentos, tickets o registros de bases de datos. Cuando el agente los recupera a través de MCP y los coloca en la ventana de contexto, el modelo interpreta el contenido como instrucciones. Invariant Labs demostró que un issue malicioso en GitHub podía instruir al agente para exfiltrar contenido de repositorios privados a través del servidor GitHub MCP, que tiene más de 14.000 estrellas en GitHub.
6. Inyección de comandos
Muchos servidores MCP pasan el input del usuario directamente a comandos de shell. CVE-2025-6514, que afecta al proxy OAuth de mcp-remote con una puntuación CVSS de 9.6, es un ejemplo clásico. El paquete tenía 437.000 descargas cuando se descubrió la vulnerabilidad. Era posible la ejecución remota completa de código arbitrario.
7. Rug pull a través de integración en IDE
CVE-2025-54136 en Cursor IDE (MCPoison) y CVE-2025-59536 en Claude Code demostraron que los atacantes pueden lograr ejecución de código a través de archivos de configuración y hooks que se ejecutan antes de que el servicio de confianza del cliente tenga oportunidad de advertir al usuario.
8. Vulnerabilidad de diseño en el propio protocolo
En abril de 2026 se descubrió un fallo de RCE (CVE-2026-30623) que amenaza los más de 200.000 despliegues MCP a través de LiteLLM. Anthropic se negó a reconocer el fallo como un "defecto de diseño" del protocolo. El debate sobre quién asume la responsabilidad continúa.
TABLA COMPARATIVA: CVEs clave de MCP
| CVE | CVSS | Objetivo | Consecuencia |
|---|---|---|---|
| CVE-2025-6514 | 9.6 | Proxy OAuth de mcp-remote | RCE completo, 437.000 descargas en riesgo |
| CVE-2025-68143/44/45 | No publicado | Servidor Git MCP oficial de Anthropic | Path traversal, inyección de argumentos |
| CVE-2025-59536 | 8.7 | Hooks de Claude Code | RCE vía .claude/settings.json |
| CVE-2025-54136 | No publicado | Cursor IDE | Ejecución persistente de código vía MCPoison |
| CVE-2026-30623 | No publicado | LiteLLM / diseño MCP | RCE contra más de 200.000 servidores |
> BODY IMAGE PROMPT: A close-up of a developer's hands typing on a laptop keyboard in a modern open-plan office, screen reflected faintly in glasses, shallow depth of field, photorealistic editorial, soft morning warmth, clean overcast daylight, no text, no logos
HIGHLIGHT
El 88% de todos los servidores MCP de código abierto requieren credenciales para funcionar. Más de la mitad de ellos almacenan secretos como claves API de larga duración y tokens de acceso personal — directamente en la configuración. Un único servidor comprometido puede entregar al atacante las llaves de todo lo que el agente puede alcanzar.
¿Quién avisa? ¿Y quién escucha?
OWASP publicó en 2026 dos listas de riesgos top-10 separadas para MCP y aplicaciones basadas en agentes. El OWASP MCP Top 10 (beta 2026), liderado por Vandana Verma Sehgal, cataloga desde la mala gestión de tokens y la escalada de privilegios hasta los servidores MCP en la sombra y la inyección de contexto.
La Cloud Security Alliance publicó en mayo de 2026 su guía Agentic MCP Security Best Practices v1 — una guía exhaustiva que cubre el envenenamiento de herramientas, el rug pull, la inyección de prompts y los ataques a la cadena de suministro.
Un meta-análisis académico que abarcó 78 estudios de 2021 a 2026 pintó un panorama sombrío: la tasa de éxito de los ataques contra defensas de vanguardia supera el 85% cuando los atacantes usan estrategias adaptativas. Se han catalogado 42 técnicas de ataque distintas. Dieciocho mecanismos de defensa no logran mitigar más de la mitad de los ataques adaptativos sofisticados.
CAJA DE DATOS: Cómo luce la defensa en 2026
Herramientas disponibles:
- mcp-scan (Invariant Labs, código abierto): Escanea definiciones de servidores MCP en busca de patrones de ataque conocidos
- MCP Gateways: Centraliza el enrutamiento, la autenticación y la aplicación de políticas
- Pinning de huellas digitales y hash pinning: Bloquea los rug pulls verificando la identidad del servidor
- Escaneo de respuestas: Analiza cada respuesta MCP en busca de contenido inyectado
- DLP en argumentos salientes: Previene la exfiltración a través de llamadas a herramientas
- Sandboxing: Aísla los servidores MCP entre sí y de los sistemas críticos
Qué falta:
Autenticación estandarizada a nivel de protocolo. Verificación automática de actualizaciones. Requisitos de certificación de seguridad para paquetes MCP a escala industrial.
LÍNEA DE TIEMPO: MCP del lanzamiento a la crisis de seguridad
- Noviembre 2024 — Anthropic lanza Model Context Protocol como estándar abierto
- Agosto 2025 — Se descubre CVE-2025-54136 en Cursor IDE (MCPoison)
- Septiembre 2025 — Primer servidor MCP malicioso in-the-wild detectado: paquete npm postmark-mcp con puerta trasera oculta
- Enero–febrero 2026 — Más de 30 CVE registrados en dos meses; el 43% son vulnerabilidades de inyección exec/shell
- Marzo 2026 — Análisis de arXiv de miles de servidores encuentra ocho tipos de vulnerabilidades; 7.000 servidores expuestos a internet sin autenticación
- Abril 2026 — Se revela CVE-2026-30623; Anthropic se niega a reconocer el defecto de diseño
- Mayo 2026 — CSA publica Agentic MCP Security Best Practices v1
PULLQUOTE
> "Se escanearon cerca de 2.000 servidores MCP de acceso público — y cada instancia verificada exponía listados internos de herramientas sin autenticación."
> — Estudio de seguridad de Unicrew, 2026
¿Qué puede hacer ahora?
Para los desarrolladores y empresas que ya ejecutan agentes MCP, el consejo de CSA e investigadores de seguridad es claro: No instale paquetes MCP sin verificar al proveedor. Use tokens de corta duración, no claves API estáticas. Despliegue mcp-scan en su pipeline CI/CD. Exija una MCP Gateway entre el agente y sus servidores. Escanee todas las respuestas MCP en busca de contenido inyectado. Active el hash pinning para definiciones de servidores aprobadas.
Para quienes simplemente tienen curiosidad por lo que los agentes de IA hacen realmente entre bambalinas: la respuesta es más de lo que la mayoría imagina.
BOTTOM LINE
MCP no es un proyecto en beta. Ya es infraestructura crítica para agentes de IA en producción en miles de empresas. El protocolo creció tan rápido que el marco de seguridad nunca llegó a alcanzarlo. Ocho vectores de ataque documentados, más de 30 CVE en dos meses, y una sobria conclusión académica de que el 85% de las defensas no resisten ante ataques sofisticados — esto no es una amenaza futura. Está ocurriendo ahora. La pregunta ya no es si sus agentes MCP están expuestos. La pregunta es si alguien lo ha comprobado.
Verificado contra 10 fuentes primarias abiertas.
Fuentes: arxiv.org/abs/2603.21642 · arxiv.org/abs/2601.17548 · pipelab.org · aminrj.com · instatunnel.my · venturebeat.com · labs.cloudsecurityalliance.org · unicrew.com · securie.ai · ismatsamadov.com