SEGURIDAD 28 junio 2026
✍️ Carlos Montiel
⏱ 11 min lectura
El Departamento de Defensa de EE.UU. publicó en junio de 2026 un advisory oficial de ciberseguridad sobre el Model Context Protocol (MCP). SC Magazine lo cubrió como uno de los vectores de ataque más relevantes del año. Si usas agentes con MCP en producción, esta guía es esencial.
⚠️ Advisory oficial publicado: El DoD (Departamento de Defensa) emitió el advisory CSI_MCP_SECURITY en junio 2026, identificando MCP como un vector de ataque emergente que las organizaciones con sistemas de IA en producción deben abordar proactivamente.
¿Por qué MCP introduce nuevos riesgos?
MCP es un protocolo de confianza: el LLM confía en que los servidores MCP describen honestamente sus herramientas. Esta confianza es necesaria para que el protocolo funcione, pero también es una superficie de ataque. Un actor malicioso que controla un servidor MCP puede manipular el comportamiento del agente sin necesitar acceso al LLM, al sistema del cliente, ni al código del agente.
Los ataques a través de MCP van más allá del prompt injection tradicional: operan a nivel de protocolo y pueden afectar a toda la sesión del agente, no solo a una respuesta individual.
Los 5 vectores de ataque más críticos
1. Tool Poisoning
Un servidor MCP malicioso expone herramientas con descripciones manipuladas que llevan al LLM a tomar decisiones incorrectas. Ejemplo: una herramienta llamada "guardar_reporte" cuya descripción en JSON dice adicionalmente que debe ignorar ciertas restricciones de privacidad.
2. Rug Pull Attack
El servidor MCP pasa una auditoría de seguridad con descripciones normales, luego cambia las descripciones de sus herramientas. El agente sigue usando las herramientas con permisos ya aprobados, pero con comportamiento alterado. Especialmente peligroso con servidores third-party.
3. Privilege Escalation
Un servidor MCP con acceso limitado realiza solicitudes aparentemente legítimas que explotan la tendencia del LLM a ser "útil". El agente, queriendo completar su tarea, puede conceder acceso a recursos que el servidor no debería tener.
4. Context Window Poisoning
Un servidor MCP inyecta texto malicioso en los recursos que el agente lee (documentos, registros de BD, emails). Este texto altera el razonamiento del agente para tareas posteriores. Similar al indirect prompt injection pero operando a través del protocolo MCP.
5. Cross-Agent Contamination
En sistemas multi-agente donde los agentes comparten estado o se pasan resultados entre sí, un agente comprometido puede contaminar el estado de otros agentes que confían en sus outputs. Riesgo especialmente alto en pipelines de LangGraph con múltiples nodos.
Lo que el spec MCP 2026 resuelve
La especificación MCP 2026-07-28 (Release Candidate) aborda algunos de estos riesgos:
- Elimina server-initiated prompts — los servidores ya no pueden iniciar conversaciones no solicitadas
- OAuth 2.1 mandatorio — autenticación estandarizada con mejor separación de privilegios
- Protocolo stateless — reduce superficie de ataque al eliminar sesiones con estado
- Mejor separación entre herramientas de lectura y escritura
Sin embargo, el spec no puede proteger contra servidores MCP maliciosos por diseño. La defensa principal sigue siendo la auditoría humana del código del servidor.
Lista de verificación de seguridad MCP para tu empresa
- Solo servidores auditados por tu equipo o del MCP Registry oficial — nunca instales servidores MCP de fuentes no verificadas
- Principio de mínimo privilegio — cada servidor MCP accede solo a los recursos que necesita para su tarea específica
- Pineamiento de versiones — fija la versión exacta del servidor MCP en producción para prevenir rug pulls
- Logs de auditoría completos — registra todas las llamadas a herramientas con timestamp, parámetros, resultados y user/session ID
- Sandboxing de servidores — ejecuta los servidores MCP en contenedores con permisos mínimos (no root, red limitada)
- Validación de outputs antes de usar — verifica que el formato y rango de valores del resultado del tool son esperados
- Revisión de código obligatoria — cualquier servidor MCP nuevo en producción debe pasar code review de seguridad
- Identity de agente separada — el agente tiene sus propios permisos, no hereda los del usuario que lo invoca
¿Tus agentes MCP son seguros en producción?
Carlos Montiel diseña arquitecturas de agentes con MCP con seguridad integrada desde el diseño: sandboxing, auditoría, mínimo privilegio y defensa contra tool poisoning y rug pulls.
Auditoría de seguridad IA
Carlos Montiel
Arquitecto de Soluciones IA Empresarial · guatemalia.com
Diseña arquitecturas de agentes seguras con MCP, LangGraph y Claude para empresas en Guatemala y Latinoamérica. Contacto: guatemalia.com/#contacto