MCP permite que los agentes usen herramientas reales. Esa es su fuerza y tambien su riesgo: cada servidor nuevo amplia la superficie de ataque.
Model Context Protocol resuelve un problema real: cada agente necesita acceso a herramientas, repositorios, bases de datos, navegadores, CRMs, tickets o documentacion. Sin un protocolo comun, cada integracion termina siendo una pieza ad hoc dificil de auditar.
Riesgo principal La promesa y el riesgo Pero MCP tambien convierte a los agentes en operadores de sistemas. Si un servidor puede leer archivos, ejecutar comandos, consultar clientes o escribir en produccion, el problema deja de ser solo de prompt engineering. Entra en seguridad, permisos, identidad, logging y supply chain.
Briefing Modelo mental correcto Un servidor MCP no deberia verse como un plugin inocente. Debe tratarse como una dependencia ejecutable con permisos. La pregunta no es si el servidor funciona, sino que puede hacer, con que identidad, sobre que datos, bajo que aprobaciones y con que trazabilidad. El registro oficial ayuda a descubrir servidores, pero descubrir no equivale a aprobar. En produccion, cada servidor necesita revision como cualquier paquete que toca datos o automatiza acciones.
Lectura práctica Permisos minimos Empieza por scopes pequenos. Si un agente solo necesita leer issues, no le des permisos para cerrar issues. Si solo necesita consultar logs, no le des credenciales para modificar infraestructura. Si un flujo requiere escritura, separa lectura, propuesta y accion final. El patron sano es defensa por capas: permisos del servidor, permisos del token, permisos del usuario, allowlists de herramientas, confirmaciones para acciones destructivas y logs que permitan reconstruir quien pidio que.
Autorizacion y token passthrough
La especificacion de seguridad de MCP es clara al tratar token passthrough como un riesgo. Pasar tokens entre componentes sin audiencia correcta rompe aislamiento: un token emitido para un servicio puede acabar siendo usado por otro contexto.
En entornos serios, cada servidor debe recibir tokens con audiencia y alcance apropiados. Tambien conviene separar identidad humana de identidad de agente. Si todo ocurre con un token personal amplio, no podras distinguir automatizacion legitima de abuso.
Checklist
Supply chain de servidores MCP
El riesgo no esta solo en servidores maliciosos. Tambien esta en servidores abandonados, dependencias transitivas, comandos shell sin sanitizar, marketplaces sin revision y configuraciones copiadas de ejemplos. Un MCP que parece util puede convertirse en canal de ejecucion local.
Antes de instalar, revisa repositorio, mantenedores, permisos solicitados, transporte usado, comandos ejecutados, dependencias y frecuencia de releases. Si el servidor pide mas de lo que necesita, esa es una senal para aislarlo o descartarlo.
Lectura práctica Checklist de adopcion Inventario de servidores MCP aprobados. Scopes por servidor y por entorno. Tokens con audiencia separada. Logs de cada tool call relevante. Aprobacion humana para escritura sensible. Sandbox o contenedor para servidores no confiables. Proceso de retirada si una dependencia se vuelve insegura.
Conclusion
MCP sera una pieza importante del stack de agentes, pero no deberia entrar en produccion como un conjunto de plugins instalados por conveniencia. Cuanto mas util es un servidor MCP, mas permisos suele necesitar.
Puntos a revisar
Lo que conviene comprobar
- La regla practica: si no sabes explicar que puede hacer un servidor MCP en una frase concreta, todavia no deberia estar conectado a un agente con acceso a datos reales.
Cierre editorial Política mínima Cuenta gestionada, límites de contexto y revisión humana explícita. Sin esas tres piezas, la privacidad queda demasiado abierta a interpretaciones.
Fuentes y referencias
También te puede interesar
Serena MCP: busqueda semanticaReal-time chunking para RAGRTK: proxy CLI para reducir tokens
Recibe una lectura semanal de herramientas IA para devs
Cada martes: Claude Code, Cursor, Copilot, MCP, agentes y herramientas nuevas. En español y sin ruido.
Top comments (0)