Las tuberías de tu agente están de par en par

Aquí va una frase que debería poner alerta a cualquiera que esté corriendo agentes de IA. La primera medición a gran escala de la autenticación en servidores MCP remotos — los conectores que permiten a los agentes llegar a tus herramientas, tus archivos, tus bases de datos — encontró que cerca del 40% expone sus herramientas sin autenticación alguna. Censys contó 12.520 servicios MCP accesibles desde internet, y la mayoría estaban sin autenticar. Sin contraseña. Sin clave. Cualquiera que encuentre la dirección puede usar las herramientas.

Ese no es un riesgo teórico. MCP — el Model Context Protocol — es la tubería sobre la que corre todo el auge de los agentes: es la forma en que un agente obtiene permiso para leer tu repo, consultar tu base de datos, enviar correo, golpear una API. La industria conectó esa tubería a producción extraordinariamente rápido, y la seguridad, obviamente, no siguió el ritmo. Un barrido aparte de 40.000 repositorios de servidores MCP produjo 67 CVE nuevos, y la NSA sintió la necesidad de publicar su propia guía para blindar MCP. Cuando la NSA escribe un memo sobre tu tubería, la tubería tiene fugas.

Déjame explicar por qué esto es peligroso y qué hacer de verdad, porque el arreglo es en su mayoría aburrido y en su mayoría se pasa por alto.

Qué significa de verdad un servidor MCP abierto

Un servidor MCP no es un documento. Es un conjunto de acciones expuestas a cualquier agente que se conecte: «lee este directorio», «ejecuta esta consulta», «envía este mensaje», «llama a esta API de pago». Ese es justamente su propósito: darle al agente manos de verdad.

Así que «sin autenticación» no significa que alguien pueda leer un archivo de configuración. Significa que las manos están disponibles para cualquiera que encuentre la puerta. Un servidor MCP sin autenticar en la internet pública es un conjunto de capacidades — tus capacidades — entregadas al mundo. Según lo que envuelva, eso es exfiltración de datos, una base de datos borrada, un presupuesto de API drenado, o un punto de apoyo para profundizar más. Y los investigadores encontraron un runtime que confía en una bandera de propiedad controlada por el cliente, permitiendo a un desconocido simplemente afirmar que es el dueño y tomar el control del gateway. Los candados que sí existen no son todos candados de verdad.

Por qué pasó, y por qué es responsabilidad tuya

Esto no es porque MCP sea singularmente malo. Es el patrón más viejo de la tecnología: una capacidad nueva y potente se extiende más rápido que las normas de seguridad a su alrededor. Levantar un servidor MCP es fácil, los tutoriales optimizan para «funciona», y la autenticación es el paso que añades después — salvo que «después» a menudo significa nunca. Multiplica eso por cada desarrollador corriendo para darle a su agente más herramientas, y obtienes 12.520 puertas abiertas.

Conecta con algo que vengo señalando: tu agente confía en la herramienta, y la memoria y los conectores son la nueva superficie de ataque. Pasamos una década aprendiendo a asegurar nuestras APIs y nuestras puertas de entrada. MCP es una puerta nueva, abierta en la misma casa, y muchos equipos ni siquiera la han pensado como una puerta.

Qué revisar hoy

Las defensas aquí no son exóticas. Son lo básico, aplicado a una capa que la gente se olvidó de aplicárselo:

• Autentica cada servidor MCP. Sin excepciones. Si un servidor expone herramientas, necesita una clave o un token por delante. Un servidor solo para uso interno también necesita autenticación — «está en nuestra red» dejó de ser un límite de seguridad hace años.
• No lo pongas en la internet pública a menos que tenga que estarlo. La mayoría de los servidores MCP no tienen nada que hacer siendo accesibles desde internet. Enlázalo a localhost o a una red privada y te sacas de los 12.520.
• Acota las herramientas al mínimo. Un agente que solo necesita leer no debería recibir permisos de escritura y borrado. El menor privilegio a nivel de herramienta limita el radio de la explosión cuando algo sí se cuela.
• Desconfía de las afirmaciones de propiedad. Tras el hallazgo de la bandera controlada por el cliente, no asumas que los propios controles de acceso de un servidor son sólidos. Verifica la identidad fuera de aquello que estás tratando de proteger.
• Inventaría lo que has expuesto. Muchos de estos servidores abiertos están olvidados — levantados para una demo, nunca apagados. No puedes asegurar una puerta que no recuerdas haber abierto.

En resumen

La era de los agentes añadió una capa nueva y potente a tu stack — conectores que le dan al software manos de verdad — y la lanzó más rápido de lo que nadie la aseguró. Una tasa del 40% sin autenticar no es un problema de atacante sofisticado; es un problema de dejar-la-puerta-abierta, y el atacante solo tiene que entrar caminando. La buena noticia es que el arreglo es poco glamoroso y bien entendido: autentícalo, no lo expongas, acótalo, y sabe qué tienes corriendo.

Así que antes de darle a tu próximo agente otra herramienta, ve a mirar las tuberías que ya has tendido. La parte emocionante de los agentes es lo que pueden hacer; la parte que decide si te arrepientes es quién más puede hacérselo hacer. Ahora mismo, para muchos equipos, la respuesta es cualquiera — y eso es un arreglo de una tarde que no quieres seguir posponiendo.