El ecosistema MCP explota — y los riesgos de seguridad crecen con él
El Model Context Protocol se ha convertido en el protocolo estándar para que los agentes de IA se conecten a herramientas empresariales. El ecosistema ahora cuenta con más de 1.864 servidores MCP. Gartner predice que el 75% de las puertas de enlace API soportarán MCP para finales de 2026.
Sin embargo, los datos de seguridad son alarmantes:
- 30+ CVE divulgados en 60 días — una nueva vulnerabilidad cada dos días
- El 38% de los servidores escaneados sin ninguna autenticación — sin claves API, sin OAuth, sin validación de tokens
- Servidores maliciosos pueden inducir “bucles de sobre-pensamiento”, amplificando el consumo de tokens 142x (ataques de “denegación de billetera”)
- Los ataques de envenenamiento de herramientas pueden secuestrar el comportamiento de la IA sin conocimiento del usuario
El riesgo para las PYMES
Cuando su equipo conecta flujos de trabajo de IA a servidores MCP no verificados, sus datos de clientes, información financiera e inteligencia comercial quedan expuestos. Una integración no verificada no es automatización — es una responsabilidad.
El enfoque de JieGou: certificación de 3 niveles
JieGou ofrece 245 servidores MCP en tres niveles de certificación:
| Nivel | Cantidad | Descripción |
|---|---|---|
| Comunidad | 180+ | Con advertencias, para experimentación no sensible |
| Verificado | 50+ | Escaneos de vulnerabilidades automatizados y revisión de código aprobados |
| Certificado | 15 | Auditoría de seguridad completa, SLA garantizado, monitoreo continuo |
Más presupuestos de tokens, limitación de velocidad, circuit breakers y controles de administrador con listas de permitidos/bloqueados.
Actualización: Claude Code como objetivo de vulnerabilidades MCP (marzo 2026)
Desde la publicación original de este artículo, se han divulgado dos CVE críticos que atacan específicamente a Claude Code — una de las herramientas de programación con IA más populares — a través de MCP:
| CVE | Vector de ataque | Riesgo |
|---|---|---|
| CVE-2025-59536 | Inyección de prompts a través de descripciones de herramientas MCP | Las descripciones de herramientas pueden anular el comportamiento del agente IA y ejecutar acciones no aprobadas |
| CVE-2026-21852 | Exfiltración de datos entre servidores | Un servidor MCP lee datos sensibles; otro los transfiere silenciosamente a un endpoint externo |
La vulnerabilidad de exfiltración entre servidores (CVE-2026-21852) es especialmente peligrosa para equipos que conectan múltiples servidores MCP simultáneamente. El sistema de certificación de 3 niveles de JieGou garantiza la validación de descripciones de herramientas, la aplicación de límites de datos y el aislamiento sandbox de la comunicación entre servidores.
Actualización: CVE-2025-6514 — CVSS 9.6, la vulnerabilidad MCP más grave hasta la fecha (marzo 2026)
La situación de seguridad de MCP se ha agravado aún más. CVE-2025-6514 es una vulnerabilidad de ejecución remota de código en mcp-remote — la biblioteca de transporte MCP más popular — con una puntuación CVSS de 9.6 (Crítico).
| Detalle | Valor |
|---|---|
| ID de CVE | CVE-2025-6514 |
| Puntuación CVSS | 9.6 (Crítico) |
| Vector de ataque | Remoto, sin autenticación requerida |
| Impacto | Ejecución remota de código completa |
| Paquete afectado | mcp-remote (biblioteca de transporte MCP más popular) |
| Descargas mensuales | 97 M+ (a través del ecosistema npm) |
Esta no es una biblioteca de nicho. mcp-remote es la capa de transporte estándar de la que dependen la mayoría de las implementaciones MCP. Una puntuación CVSS de 9.6 significa: atacable de forma remota, sin necesidad de autenticación, compromiso total del sistema posible.
Los propios servidores de Anthropic también tienen vulnerabilidades
Para mayor preocupación: el mcp-server-git oficial de Anthropic — una implementación de referencia del creador del protocolo — tiene tres vulnerabilidades encadenadas que juntas permiten la exfiltración de datos del repositorio. Cuando la organización que diseñó MCP no puede asegurar sus propios servidores, el argumento a favor de la gobernanza externa se vuelve irrefutable.
El panorama acumulativo empeora
| Métrica | Enero 2026 | Marzo 2026 |
|---|---|---|
| Total de CVE divulgados | 20+ | 30+ |
| Puntuación CVSS más alta | 8.5 | 9.6 |
| Servidores sin autenticación | 38% | 38% |
| Descargas mensuales (paquetes afectados) | 70 M+ | 97 M+ |
Cada mes, el número de vulnerabilidades crece, la gravedad aumenta y el radio de impacto se expande. La brecha de autenticación del 38% no ha mejorado porque el ecosistema prioriza la velocidad de adopción sobre los fundamentos de seguridad.
Lo que esto significa para su equipo
Si sus flujos de trabajo de IA se conectan a servidores MCP — y cada vez más, esta es la única forma de conectar la IA a herramientas empresariales — necesita una capa de gobernanza entre su equipo y el ecosistema MCP sin procesar. No todos los servidores son peligrosos, pero sin certificación y revisión, no puede distinguir cuáles lo son.
Las 245 integraciones certificadas de JieGou han sido revisadas exactamente para estos patrones de vulnerabilidad. Nuestra certificación de 3 niveles (Comunidad → Verificado → Certificado) garantiza que su equipo nunca se conecte a un servidor no revisado en producción. Los presupuestos de tokens interceptan ataques de denegación de billetera. El sandboxing previene la exfiltración de datos entre servidores. Los controles de administrador le permiten restringir a qué servidores puede acceder su equipo.
Eso no es una característica — es un requisito.
Adopción segura desde el primer día
Las integraciones gobernadas significan que su equipo avanza rápido mientras la plataforma gestiona la seguridad.