Tenías tus herramientas MCP funcionando. Slack, GitHub, Jira, una base de datos — todo conectado a través de MCP, el estándar universal de plugins para herramientas de IA. Pegaste las API keys en un JSON de configuración, lo corriste localmente y te sentiste un mago. Todo hablaba con todo.

Entonces apareció tu equipo de seguridad. ¿Dónde están guardadas esas credenciales? ¿Cómo se rotan? ¿Quién más puede leerlas? La respuesta a las tres: nadie sabe. ¿Ese pánico silencioso que sentiste? Multiplicalo por cada empresa que intenta llevar agentes de IA del demo a producción.

En abril de 2026, las tres grandes plataformas de IA lanzaron sus soluciones de credenciales para MCP — y ninguna se pone de acuerdo en cómo debería funcionar.

Un Protocolo, Tres Cajas Fuertes

El 9 de abril, Anthropic lanzó Managed Agents con Credential Vault — un proxy cifrado que busca tus secretos para que el código de tu agente nunca toque las credenciales reales. OAuth con auto-refresh, bearer tokens estáticos, todo el paquete. Con un tope de 20 credenciales por vault, porque aparentemente la seguridad empresarial viene con tarjeta de puntos.

El 15 de abril, OpenAI actualizó su Agents SDK. Su propuesta: pasá un bearer token en el header, manejá el refresh vos mismo. ¿Necesitás OAuth? Construilo. Pero acá viene lo cómico: las ChatGPT Apps exigen OAuth 2.1 — bearer tokens rechazados en la puerta. Una misma empresa que lanza un SDK diciendo "los tokens están bien" y un producto que dice "ni de broma." OpenAI está teniendo una discusión pública consigo misma sobre autenticación, y los desarrolladores tienen que elegir bando.

El 17 de abril, Google lanzó ADK 1.0 — presentado después en Cloud Next el 22 de abril. Cinco tipos de credenciales incluyendo service accounts, Application Default Credentials, y un flujo OAuth con pausa y reanudación. Funciona de maravilla — si ya le juraste lealtad a GCP. Para todos los demás, es reescribir toda la autenticación con acento de Google.

Tres enfoques inteligentes. Tres sistemas incompatibles. MCP iba a ser el USB de la IA. Resulta que cada puerto necesita un cargador diferente.

La Especificación Que Nadie Sigue

La especificación de MCP (versión 2026-03-15) exige OAuth 2.1 con resource indicators — tokens con scope adecuado, seguridad correcta, todo en regla. En papel, esto está resuelto.

En la práctica, al ecosistema no le llegó el memo. Como cubrimos en el análisis de supply chain de la semana pasada, los servidores MCP tienen un problema fundamental de higiene — la mayoría de los servidores comunitarios todavía dependen de API keys estáticas metidas en archivos de configuración. La auditoría de AgentSeal del 10 de abril sobre 1,808 servidores encontró que dos tercios estaban plagados de vulnerabilidades, desde bypasses de autenticación hasta inyección de comandos. Nada de eso mejoró en dos semanas.

Pero el ángulo específico de autenticación importa más aquí: de los partners de lanzamiento de las tres plataformas, casi ninguno implementa OAuth 2.1 según la especificación real. El Credential Vault de Anthropic debutó con Notion, Asana y Sentry — tres integraciones gestionadas de los cientos de servidores que los desarrolladores realmente usan. La documentación de ADK de Google muestra cinco patrones de autenticación pero usa API keys por defecto en sus ejemplos. El SDK de OpenAI se lava las manos — "traé tu propia auth" significa que la mayoría de los desarrolladores eligen el camino más fácil: un token estático copiado de un dashboard.

¿Por qué la brecha? OAuth 2.1 requiere infraestructura del lado del servidor. Un desarrollador solitario que mantiene un conector MCP open-source los fines de semana no tiene un token endpoint, un servidor de redirect, ni un flujo de refresh. Como dijo un frustrado mantenedor en los foros de la comunidad: "Simplemente odio que los clientes no soporten todos OAuth o API key, así que tengo que soportar ambos." La spec exige lo que la fuerza laboral del ecosistema no puede entregar.

El Costo Real: Escribí Una Vez, Quedate Atrapado en Todos Lados

El modelo de auth de cada plataforma tiene sentido internamente. Anthropic juega al padre corporativo — cerrando el botiquín para que los niños no se envenenen. Google aprovecha su stack de identidad en la nube — eficiente si ya te mudaste a la casa de GCP. OpenAI maximiza la libertad del desarrollador — que es la forma diplomática de decir que no quisieron construir infraestructura de autenticación y lo llamaron feature.

El costo colectivo es el lock-in en la capa de credenciales. Una herramienta conectada al Credential Vault de Anthropic no funciona en Google ADK sin reescribir su auth. Una herramienta que depende de service accounts de GCP es inútil en el SDK de OpenAI. MCP prometía "escribí una vez, conectá en cualquier lado." La autenticación lo convirtió en "escribí una vez, después reescribí la autenticación para cada plataforma." Misma herramienta, tres facturas de impuesto de integración.

El reporte de seguridad MCP del Futurum Group lo dijo sin rodeos: "La pregunta que las empresas realmente están haciendo no es si MCP funciona. Es si pueden gobernar lo que hace."

Tu Equipo de Seguridad Sigue Esperando

¿Te acordás de ellos? Siguen parados en tu puerta. Solo que ahora en vez de una respuesta incómoda, les debés tres — cada una atándote a la teología de una plataforma diferente sobre cómo deberían funcionar las credenciales.

Si estás evaluando herramientas MCP para producción, verificar la funcionalidad no alcanza. ¿Ese conector de Slack zumbando tranquilo en los Managed Agents de Claude? Presupuestá una reescritura completa de auth para Google ADK. ¿Tu equipo eligió el SDK de OpenAI por la "flexibilidad"? Disfrutá construyendo OAuth desde cero mientras las ChatGPT Apps se niegan a usar lo que construiste.

MCP tiene un protocolo y tres religiones de credenciales. El protocolo funciona. La parte "universal" se hizo pedazos en la capa de autenticación — exactamente donde los demos se convierten en deployments. El que logre que la autenticación basada en estándares sea fácil para la gente que realmente construye servidores MCP, no solo para los que los consumen, se queda con el mercado de producción. Ahora mismo, nadie lo logró. Traé más sillas para tu equipo de seguridad — esta reunión va para largo.