APREX · EST. 2026
> PROMPT DE IMAGEN (HERO): Primer plano de las manos de un desarrollador escribiendo en un teclado mecánico en una oficina en casa tenuemente iluminada, múltiples ventanas de terminal abiertas en pantalla con flujos de datos JSON, luz cálida de mañana suave, editorial fotorrealista, grano de sensor leve, textura documental, sin texto, sin logos.
Anthropic Construyó la Autopista. Luego Dejó Conducir a Cualquiera Sin Licencia.
Cuando Anthropic lanzó el Model Context Protocol (MCP) en noviembre de 2024, lo presentó como una especificación técnica menor. Sin fanfarria. Sin keynote. Solo un repositorio de GitHub y una entrada de blog. Dieciocho meses después, el protocolo es la columna vertebral de cientos de miles de instalaciones de IA en todo el mundo — y una superficie de ataque que la firma de seguridad OX Security describe como «la madre de todos los ataques a la cadena de suministro de IA» (OX Security, abril de 2026).
¿Qué Es Exactamente MCP?
MCP es un protocolo basado en JSON-RPC 2.0. En términos simples: estandariza la conversación entre un cliente de IA (como Claude o Cursor) y una herramienta externa o fuente de datos.
Piénsalo como el USB-C de la IA. Antes de MCP, cada desarrollador tenía que escribir código de integración personalizado para cada herramienta. Con MCP, la interfaz es siempre la misma.
El servidor expone tres tipos de primitivas:
- Tools — funciones que el modelo de IA puede invocar directamente
- Resources — datos que el modelo puede leer
- Prompts — plantillas prediseñadas para tareas específicas
El cliente expone dos tipos de primitivas:
- Sampling — el servidor puede pedir al cliente que realice una nueva llamada al LLM
- Roots — el servidor puede consultar qué archivos o URIs ha autorizado el usuario
Esto convierte a MCP en algo más que un simple envoltorio de API. Es un marco de comunicación bidireccional donde los servidores pueden dirigir activamente el comportamiento del cliente.
| TABLA COMPARATIVA: MCP vs. Integración de API Tradicional |
| Característica | API Tradicional | MCP |
|---|---|---|
| Código de integración | Personalizado por herramienta | Estandarizado una sola vez |
| Dirección | Unidireccional (cliente pregunta al servidor) | Bidireccional (servidor puede dirigir al cliente) |
| Contexto de IA | Sin soporte nativo | Nativo, con Sampling y Roots |
| Autenticación | OAuth/clave API (variable) | OAuth 2.1 (especificado a mediados de 2025) |
| Transporte | HTTP/REST | stdio, Streamable HTTP |
| Tiempo de integración | Semanas por integración | Horas por integración |
| Madurez en seguridad | Madura | En desarrollo |
De Anthropic a Linux Foundation en 13 Meses
> 🕐 CRONOLOGÍA
>
> Noviembre de 2024 — Anthropic lanza MCP como especificación abierta. Soporte en Claude Desktop desde el primer día.
>
> Mediados de 2025 — OAuth 2.1 especificado para transporte remoto. El transporte SSE se marca como obsoleto. Streamable HTTP se convierte en el estándar recomendado.
>
> Diciembre de 2025 — Anthropic dona MCP a la Linux Foundation bajo el paraguas de la Agentic AI Foundation (AAIF). Miembros fundadores: Anthropic, Block y OpenAI. Google, Microsoft, AWS, Cloudflare y Bloomberg declaran su apoyo. Las descargas del SDK superan los 97 millones mensuales.
>
> 15 de abril de 2026 — OX Security publica el advisory «The Mother of All AI Supply Chains». 200.000 servidores potencialmente vulnerables. 14 CVEs asignados. Anthropic responde: «comportamiento esperado».
>
> Mayo-junio de 2026 — MCP Tasks, A2A (Agent-to-Agent) y Capability Attestation se anuncian como extensiones de próxima generación bajo AAIF.
La cesión a la Linux Foundation no fue simbólica. Señaló que MCP ya no pertenece a Anthropic — pertenece a la industria. Bajo la AAIF ahora también se encuentran goose (el agente runtime de Block) y AGENTS.md (el formato estándar de OpenAI para instrucciones de agentes). Es un intento de construir infraestructura compartida para la IA basada en agentes, independientemente del modelo que funcione bajo el capó (itecs.ai, 2026).
Los Números Detrás del Entusiasmo
> 📊 CIFRA CLAVE
>
> Más de 150 millones de descargas totales del SDK a abril de 2026
>
> Más de 10.000 servidores MCP públicos activos a nivel global
>
> 6 plataformas principales con soporte de primer nivel: ChatGPT, Claude, Gemini, Microsoft Copilot, Cursor, VS Code
El crecimiento es brutal. De cero a infraestructura en menos de dieciocho meses. Pero las cifras ocultan un problema: según la firma de análisis Rapid Claw, el 52 por ciento de todos los servidores MCP están inactivos. Y el 86 por ciento se ejecutan en laptops de desarrolladores — no en entornos de producción con seguridad adecuada. Solo el cinco por ciento de los servidores se encuentran en sistemas de producción reales (Rapid Claw, via birjob.com, 2026).
> «200.000 servidores potencialmente comprometibles. Anthropic lo llamó comportamiento esperado.»
> — Advisory de OX Security, 15 de abril de 2026
La Crisis de Seguridad que Nadie Quería Asumir
El 15 de abril de 2026, OX Security publicó un advisory técnico con un título que no dejaba mucho a la imaginación: «The Mother of All AI Supply Chains».
El problema: los SDKs para Python, TypeScript, Java y Rust aceptan comandos y argumentos que se pasan directamente a llamadas de subprocesos sin sanitización. Un atacante que controle un servidor MCP puede en la práctica ejecutar código arbitrario en la máquina cliente.
OX Security estimó que 200.000 servidores eran potencialmente vulnerables, de los cuales 7.000 estaban expuestos públicamente en la internet abierta. Se asignaron catorce CVEs. Entre los productos afectados: LiteLLM, LangFlow, Windsurf, Cursor, Flowise, DocsGPT y GPT Researcher (OX Security, pasqualepillitteri.it, 2026).
¿La respuesta de Anthropic? La vulnerabilidad fue caracterizada como «comportamiento esperado» — no un error. Una decisión de diseño.
Esto desató la furia en la comunidad de seguridad.
> 🔍 CAJA DE DATOS: Los Cuatro Mayores Riesgos de Seguridad en MCP
>
> 1. Envenenamiento de herramientas (Tool Poisoning) — Un servidor malicioso puede alterar su propio esquema de herramientas entre sesiones. Como MCP no tiene control de versiones integrado, el cliente no detecta el cambio.
>
> 2. Ataques a la cadena de suministro — Los servidores MCP se distribuyen a través de npm y PyPI. Un paquete comprometido se propaga automáticamente a todos los usuarios. El riesgo es exponencialmente mayor que el de los paquetes tradicionales porque los servidores se ejecutan con privilegios elevados.
>
> 3. Brecha de autenticación — Aunque OAuth 2.1 está especificado para el transporte remoto, no existe un marco de autenticación estandarizado en todas las implementaciones de MCP.
>
> 4. Clasificación OWASP — Los ataques específicos de MCP están ahora catalogados como MCP04:2025 en el marco de seguridad de IA de OWASP (OWASP / examcert.app, 2026).
¿Quién Abandona MCP y Quién Se Mantiene?
Perplexity AI dio un paso atrás públicamente. El análisis interno de la empresa mostró que las integraciones de MCP consumían el 72 por ciento de la ventana de contexto disponible — un coste de rendimiento que no estaban dispuestos a asumir (Perplexity, via birjob.com, 2026).
Pero para la mayoría de los grandes actores, la alternativa es peor que el problema. Block y Sourcegraph han respondido a los desafíos de seguridad construyendo gateways internos de MCP — proxies dedicados que gestionan autenticación, registro y limitación de velocidad antes de que el tráfico llegue a los servidores individuales. Proveedores como Zuplo, MintMCP y Stackone ahora venden estas soluciones empresariales de forma comercial.
Las propias directrices de Anthropic de noviembre de 2025 apuntan en otra dirección: la ejecución de código debería ser el modo principal de consumo de datos por parte de la IA — no la lectura de documentos estáticos. Las pruebas de rendimiento muestran una mejora dramática cuando los agentes tienen permiso para escribir y ejecutar código en lugar de procesar texto en bruto (anthropic.com, 2025).
> 💡 DESTACADO
>
> ¿Qué Viene Después de MCP? Tres conceptos dominan la conversación de 2026:
> - MCP Tasks — soporte para tareas de larga duración y asíncronas. Confirmado por David Soria Parra de Anthropic.
> - A2A (Agent-to-Agent) — protocolo para comunicación directa entre agentes, bajo el mismo paraguas de la Linux Foundation que MCP.
> - Capability Attestation — manifiestos firmados que prueban criptográficamente lo que un servidor puede hacer realmente, diseñados para resolver el problema de envenenamiento de herramientas.
¿Qué Significa Esto para Ti?
Si eres un desarrollador que usa servidores MCP hoy: actualiza todos los SDKs de inmediato, fija las versiones de las herramientas explícitamente y nunca ejecutes servidores MCP desconocidos con privilegios de administrador.
Si eres un arquitecto empresarial: un gateway interno de MCP no es un lujo — es el requisito mínimo para una operación responsable.
Si solo quieres entender por qué todos hablan de MCP: piénsalo como la tarjeta de sonido de tu ordenador. Nunca piensas en ella. Hasta que deja de funcionar.
CONCLUSIÓN FINAL
MCP es infraestructura real, no bombo publicitario. El protocolo resolvió un problema genuino — los agentes de IA necesitaban un lenguaje común para comunicarse con el mundo — y la industria respondió con una adopción masiva. Pero el crecimiento llegó más rápido que el modelo de seguridad. Los hallazgos de OX Security en abril de 2026 no son un argumento contra MCP. Son un argumento para tomarlo lo suficientemente en serio como para asegurarlo correctamente. La Linux Foundation ahora tiene la responsabilidad. Los próximos doce meses determinarán si MCP se convierte en la próxima capa SSL de internet — o en el próximo Log4j.
Verificado contra 10 fuentes primarias abiertas.
> PROMPT DE IMAGEN (BODY): Plano general de una moderna oficina tecnológica de planta abierta, filas de monitores mostrando diagramas de topología de red y código, luz diurna nórdica nublada a través de ventanales, luz editorial limpia y nublada, editorial fotorrealista, textura documental, sin texto, sin logos, sillas vacías que sugieren urgencia y horas tardías.