Adversa ha publicado un análisis sistemático de las 25 principales vulnerabilidades del Model Context Protocol (MCP), que actualmente constituye uno de los inventarios más completos de riesgos para ecosistemas de agentes de IA. El informe combina un catálogo de amenazas, una metodología de scoring y un plan de mitigación accionable para equipos que diseñan, integran y operan agentes conectados a herramientas y datos externos.
¿Qué es el Model Context Protocol (MCP) y por qué importa para la seguridad?
MCP, presentado por Anthropic en 2024 como estándar abierto, define un método unificado y auditable para que los agentes de IA accedan de forma segura a herramientas, datos, otros agentes y contexto. Al normalizar el “cómo” y “a través de qué” se realizan estas interacciones, MCP busca reducir ambigüedades y mejorar la trazabilidad. Como toda plataforma de integración, es susceptible a fallos que pueden derivar en exfiltración de información, escalada de privilegios o ejecución remota de código (RCE).
Metodología de Adversa: cómo se priorizan los riesgos en MCP
Criterios de evaluación y fórmula de puntuación
Cada vulnerabilidad se documenta con denominaciones oficiales y alternativas, referencias técnicas y dos ejes principales: impacto (de divulgación menor hasta compromiso total o RCE) y explotabilidad (desde trivial —solo navegador y conocimiento básico— hasta altamente compleja —capacidad estatal—). El puntaje final pondera 40% impacto, 30% explotabilidad, 20% prevalencia y 10% dificultad de remediación, facilitando la priorización de parches y controles compensatorios.
Hallazgos clave: la inyección de prompts lidera el ranking
La inyección de prompts encabeza el Top‑25 por combinar alta criticidad con un umbral de explotación bajo, lo que la convierte en amenaza prioritaria para entornos MCP. En el extremo opuesto, el MCP Preference Manipulation Attack (MPMA) se sitúa en posiciones bajas por su impacto limitado y complejidad práctica. Adversa prevé actualizaciones mensuales del listado o revisiones ad hoc ante nuevos incidentes y CVE, alineando sus resultados con marcos de OWASP, CSA y NIST.
Buenas prácticas y controles de seguridad para MCP
Acciones inmediatas: validación estricta de entradas
La recomendación prioritaria es reforzar la validación y saneamiento de todos los datos de entrada. Según el análisis de Adversa, el 43% de los servidores MCP presenta exposición a inyecciones de comandos, por lo que la normalización de entradas, la codificación adecuada de salidas y la detección de patrones hostiles deben implantarse de forma obligatoria.
Estrategia por capas: protocolo, aplicación, capa de IA e infraestructura
Adversa propone un enfoque de defensa en profundidad: a nivel de protocolo, uso obligatorio de TLS en todas las conexiones; en aplicación, consultas parametrizadas a bases de datos y tratamiento seguro de ficheros; en la capa de IA, mitigación de prompt injection, controles de llamadas a herramientas y revisión de salidas; y en infraestructura, principio de mínimo privilegio, registro centralizado y monitorización de anomalías.
Hoja de ruta de 90 días hacia un modelo zero trust
Como plan trimestral, se recomienda: de inmediato, habilitar autenticación en todos los endpoints expuestos y cerrar vectores evidentes de inyección; a medio plazo, fortalecer la segmentación de red, aplicar control de acceso basado en roles y auditoría central; y al final del tercer mes, replantear la arquitectura hacia zero trust para limitar el impacto de componentes o proveedores comprometidos.
Sinergias con OWASP, CSA y NIST para gobernanza y cumplimiento
El mapeo de riesgos MCP a marcos establecidos simplifica la gestión y el cumplimiento: OWASP (incluyendo el LLM Top 10 2023, donde la inyección de prompts —LLM01— es crítica), Cloud Security Alliance y el NIST AI Risk Management Framework aportan taxonomías y controles reutilizables. Adversa planea contribuir al futuro OWASP MCP Top‑10, promoviendo un lenguaje común entre desarrollo, SecOps y auditoría.
Las organizaciones que ya operan agentes sobre MCP pueden elevar su resiliencia con un inventario de endpoints e instrumentos MCP, formación específica frente a prompt injection, y la implementación gradual de controles por capas. Mantenerse al día con las revisiones mensuales del Top‑25, alinear riesgos con OWASP/CSA/NIST y avanzar hacia zero trust permitirá reducir la probabilidad de incidentes y mitigar su impacto operativo y reputacional.