Identificamos fallas de seguridad en el Model Context Protocol.
TL;DR
El <strong>Model Context Protocol (MCP)</strong> enfrenta graves problemas de seguridad debido a la falta de autenticación obligatoria. Un informe de VentureBeat reveló que la implementación de solo 10 complementos del MCP ofrece una probabilidad del 92% de explotación. La investigación de Pynt respalda este hallazgo, indicando riesgos significativos incluso con un único complemento.
Identificamos fallas de seguridad en el Model Context Protocol
El Model Context Protocol (MCP) enfrenta graves problemas de seguridad debido a la falta de autenticación obligatoria. VentureBeat destacó estos riesgos en un informe publicado el pasado octubre, revelando que la implementación de solo 10 complementos del MCP ofrece una probabilidad del 92% de explotación. La investigación de Pynt corrobora este hallazgo, indicando riesgos significativos incluso con un único complemento.
El principal error del MCP fue el lanzamiento sin autenticación obligatoria. Las estructuras de autorización se introdujeron solo seis meses después del uso generalizado del protocolo. Merritt Baer, directora de seguridad de Enkrypt AI, advierte: "El MCP se está lanzando con el mismo error observado en todos los lanzamientos principales de protocolos: estándares inseguros. Si no implementamos autenticación desde el inicio, enfrentaremos violaciones durante una década."
Tres meses después, la situación empeora. Clawdbot, asistente personal de IA que automatiza tareas como la gestión de correos electrónicos, opera completamente basado en MCP. Los desarrolladores que implementaron Clawdbot en servidores virtuales privados (VPS) sin seguir las directrices de seguridad están ahora expuestos a todo el potencial de ataque del protocolo.
El experto Itamar Golan ya previó tal situación. Vendiendo su empresa, Prompt Security, por un valor estimado de $250 millones, recientemente advirtió: "La catástrofe está en camino. Miles de Clawdbots están activos en VPS con puertos abiertos a internet y sin autenticación. Esto se pondrá feo."
Vulnerabilidades críticas no corregidas
Las fallas de seguridad son consecuencias directas de las elecciones de diseño del MCP. El CVE-2025-49596, por ejemplo, permite acceso no autenticado entre la interfaz web y el servidor proxy del MCP, posibilitando compromisos completos del sistema. Otro caso grave es el CVE-2025-6514, donde una inyección de comando en un proxy OAuth permite el control de sistemas. Ya el CVE-2025-52882 permite acceso a archivos arbitrarios debido a servidores WebSocket no autenticados.
Con tres vulnerabilidades críticas en seis meses, la causa raíz es clara: la autenticación se dejó opcional, llevando a los desarrolladores a desconsiderarla.
La superficie de ataque se expande
El análisis de Equixly revela que el 43% de las implementaciones del MCP presentan fallas de inyección de comandos, mientras que el 30% permiten accesos no restringidos a URLs. Según el analista de Forrester, Jeff Pollard: "Será una manera efectiva de introducir un nuevo actor poderoso en su ambiente sin protección." Los servidores MCP, con acceso al shell, pueden ser utilizados para movimiento lateral, robo de credenciales y despliegue de ransomware, todo activado por un ataque de inyección de prompt.
Acciones recomendadas para líderes de seguridad
- Haga un inventario de la exposición al MCP ahora. Herramientas tradicionales de detección de puntos finales no identifican servidores MCP como amenazas.
- Trate la autenticación como obligatoria. Es imperativo implementar autenticación en la implementación en sistemas de producción.
- Restringa la exposición de la red. Conecte servidores MCP al localhost, a menos que el acceso remoto autenticado sea explícitamente necesario.
- Suponga que los ataques de inyección de prompt ocurrirán. Los servidores MCP heredan el radio de explosión de las herramientas que involucran.
- Exija aprobación humana para acciones de alto riesgo. Confirmación explícita debe ser necesaria antes de que agentes envíen correos electrónicos o accedan a información sensible.
Desafíos de gobernanza abiertos
Aunque los proveedores de seguridad se han apresurado a monetizar los riesgos del MCP, muchas empresas aún no han adoptado medidas adecuadas. La adopción de Clawdbot aumentó exponencialmente en el cuarto trimestre de 2025, pero muchas rutas de seguridad de 2026 no contemplan controles para agentes de IA. El espacio para atacantes permanece abierto.
La pregunta es si las organizaciones lograrán asegurar su exposición al MCP antes de que alguien la explote.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
