Hay 12.520 herramientas de agentes en internet sin candado en la puerta

Aquí va una frase que debería preocupar a cualquiera que construya con agentes. A finales de abril, la firma de escaneo Censys salió a buscar por el internet público y encontró 12.520 servidores MCP accesibles por cualquiera, la mayoría sin ninguna autenticación.

Si «servidor MCP» no te dice nada, aquí va la versión simple. MCP —el Model Context Protocol— es cómo un agente de IA consigue manos: es la forma estándar de darle herramientas a un modelo, para que pueda consultar una base de datos, enviar un correo, ejecutar un comando, tocar un sistema real. Un servidor MCP es la caja que expone esas herramientas. Y 12.520 de ellas estaban a la vista en el internet abierto, con la puerta sin llave.

Se pone peor cuando miras lo que hacen esas herramientas. La categoría más grande que encontró Censys fueron interfaces directas de consulta a bases de datos. Otra porción importante era «control de sistema»: servidores que exponen la ejecución de comandos y la interacción remota con el sistema. En otras palabras: desconocidos en internet podían listar las herramientas disponibles y luego llamarlas —leer los datos, ejecutar los comandos— sin que nadie verificara quiénes eran. Otro equipo, Knostic, encontró 1.862 servidores expuestos y revisó a mano una muestra; cada uno de ellos dejaba que un visitante anónimo leyera su listado interno de herramientas.

El protocolo recién hizo obligatorio el candado. Esa es la señal.

La buena noticia, más o menos: la especificación de MCP fue actualizada, y ahora todo servidor accesible por una red debe usar OAuth 2.1 con PKCE: autenticación real, no un sistema basado en la confianza. La autenticación por fin es obligatoria.

Pero detente a pensar por qué hubo que añadirla. Durante la mayor parte de la vida de MCP, la especificación simplemente no requería autenticación. El protocolo fue diseñado para correr de forma local, en tu propia máquina, dentro de un límite de confianza, así que «sin auth» era un valor por defecto razonable ahí. Luego la gente tomó esos mismos servidores y los puso en internet, donde una herramienta local sin auth se convierte en un endpoint de control remoto abierto y sin autenticar. Los miles de servidores expuestos no son en su mayoría el resultado de gente desactivando la seguridad. Son el resultado de gente publicando el valor por defecto, y ese valor por defecto estaba «apagado».

Esa es la lección, y es más vieja que MCP: los valores por defecto son destino. Haga lo que haga el camino fácil, eso es lo que harán la mayoría de los despliegues. Un protocolo cuyo camino fácil era «sin candado» produjo doce mil puertas sin llave, exactamente como lo predecirías.

Este es el mismo agujero, una capa más abajo

Ya he escrito que tu agente confía en la descripción de la herramienta: que el modelo se creerá lo que sea que una herramienta le diga, lo cual es un riesgo de envenenamiento. Esto es el suelo debajo de eso: antes incluso de preocuparte por que una herramienta le mienta a tu agente, preocúpate por si un desconocido puede llamar tus herramientas siquiera. El servidor MCP expuesto es el equivalente, en el mundo de los agentes, a una base de datos sin contraseña. No requiere un ataque ingenioso. Requiere notar que la puerta está abierta, algo que los escáneres hacen automáticamente, a escala de internet, todos los días.

Y no es teórico. Un popular paquete auxiliar de MCP arrastraba una falla de inyección de comandos y fue descargado más de 437.000 veces antes de que lo detectaran. La capa de herramientas es nueva, se mueve rápido y está llena del tipo de exposición básica que la web tardó veinte años en aprender a cerrar.

Qué hacer en concreto

No necesitas ser especialista en seguridad para no ser uno de los doce mil. Una lista corta y poco glamorosa:

• Asume que todo endpoint de herramienta es accesible hasta que hayas probado que no lo es. No confíes en el «solo está en nuestra red». El punto central de Knostic es que los servidores «internos» terminan expuestos constantemente. Ponle auth de todas formas.
• Activa el candado: la especificación ahora te lo entrega. OAuth 2.1 con PKCE es la base requerida para cualquier servidor MCP en red. Úsalo. «Añadiremos auth después» es como te conviertes en una estadística.
• Dale a cada herramienta el mínimo poder que necesite. Una herramienta de control de sistema o de base de datos en crudo expuesta a un agente es un arma cargada. Redúcele el alcance: solo lectura cuando sea posible, consultas acotadas, nada de shell a menos que haya un humano de verdad en el circuito.
• Vigila las llamadas. Una encuesta de Cisco de este año encontró que el 71% de las organizaciones están ejecutando agentes que no pueden monitorear adecuadamente. Si no puedes ver qué herramientas se dispararon y en nombre de quién, no podrás atrapar el día en que algo salga mal.

En resumen

Los agentes emocionan porque pueden hacer cosas. Eso también es todo el peligro: en el momento en que tu agente puede ejecutar una consulta o un comando, la pregunta no es si esa capacidad es poderosa, sino quién más puede alcanzarla. Doce mil equipos acaban de responder esa pregunta por accidente, y la respuesta fue «cualquiera».

Que la especificación añada auth obligatoria es el ecosistema madurando. No esperes a que el valor por defecto te salve. La puerta no se cierra sola, y en internet, alguien siempre está ya probando la manija.