Tu equipo conectó una docena de servidores MCP a sus agentes de IA el mes pasado. GitHub, Slack, Jira, tal vez una base de datos o dos. MCP — Model Context Protocol — es como un puerto USB universal para herramientas de IA: conectás un servidor y tu agente puede crear tickets, enviar mensajes, consultar datos. Simplemente funciona. Se siente como magia.

Pero, ¿alguien verificó quién mantiene esos servidores? ¿Cuándo se actualizó el código por última vez? ¿Si algún humano lo auditó alguna vez? Probablemente no — porque MCP hizo que conectar herramientas se sintiera tan fácil como instalar una extensión del navegador.

La casa se está incendiando

En las primeras dos semanas de abril de 2026, la magia dejó de funcionar.

El 11 de abril, investigadores divulgaron CVE-2026-5058 — una falla de inyección de comandos en el servidor MCP de AWS con puntuación CVSS 9.8. El 3 de abril, el servidor MCP de Azure DevOps de Microsoft recibió CVE-2026-32211 — CVSS 9.1, cero autenticación en un servidor que maneja infraestructura de desarrollo empresarial. Dos empresas de un billón de dólares, dos servidores a los que tus agentes probablemente se conectan, ambos completamente expuestos. Los detalles importan menos que el patrón: si AWS y Microsoft no pueden asegurar sus propios servidores MCP, ¿qué chance tiene el servidor comunitario de un desarrollador solitario?

Sin lockfile, sin seguridad

El ecosistema MCP ahora tiene más de 16,000 servidores construidos por la comunidad. Una auditoría de Qualys publicada el 20 de marzo — semanas antes de que empezaran a caer los CVE de abril — ya mostraba los cimientos agrietándose: el 53% de los servidores dependían de secretos estáticos — contraseñas hardcodeadas que nunca rotan.

Acá viene la parte que hace esto peor que npm — el gestor de paquetes que los desarrolladores JavaScript conocen y temen. Los paquetes de npm se pueden bloquear por versión: elegís una versión, la fijás, y una actualización maliciosa no te toca hasta que vos decidas actualizar. Los servidores MCP que corren vía SSE (Server-Sent Events — una forma en que un servidor envía actualizaciones en vivo a tu app) son servicios en vivo. Cuando el mantenedor sube código, cada agente conectado recibe el nuevo comportamiento instantáneamente. Sin lockfile. Sin revisión. Sin consentimiento.

Un tool schema — el contrato que le dice a tu agente de IA qué puede hacer un servidor — puede cambiar silenciosamente de un día para otro. No hay checksum. No hay notificación de diff. No hay equivalente a package-lock.json. Tu agente pidió "acceso de lectura a issues de GitHub" el lunes; para el jueves el mismo servidor podría solicitar "acceso de escritura a todos los repositorios", y tu agente obedecería porque confía en la identidad del servidor, no en el conjunto de permisos.

Si eso suena como darle a alguien la llave de tu casa y confiar en que nunca te va a cambiar la cerradura a vos — sí, es básicamente eso.

475 pull requests maliciosos en 26 horas

La prueba llegó el 4 de abril. Wiz Research publicó la campaña prt-scan: un atacante, seis cuentas falsas de GitHub, 475 pull requests maliciosos — propuestas de cambio de código — disparados a repos de herramientas para agentes en un solo día. Los payloads robaron claves de AWS, tokens de GitHub, tokens de API de Cloudflare. El atacante comprometió al menos dos paquetes de npm en 106 versiones publicadas. Wiz describió el enfoque como "automatización, no comprensión" — payloads elaborados de múltiples fases de alguien que no entendía del todo el modelo de seguridad de GitHub pero que igual logró hacer daño real.

Después, el 16 de abril, cayó CVE-2026-33032: MCPwn, un bypass de autenticación CVSS 9.8 en la integración MCP de nginx-ui, explotado activamente en 2,600 instancias expuestas en más de 50 países. ¿La solución? Veintisiete caracteres de código — agregar una llamada a middleware. El investigador de seguridad Yotam Perkal lo resumió perfectamente: "Cuando le atornillás MCP a una aplicación existente, los endpoints MCP heredan todas las capacidades de la aplicación pero no necesariamente sus controles de seguridad".

Veintisiete caracteres separaban a 2,600 servidores del compromiso total. Dejá que eso te cale.

¿Dónde está la red de seguridad?

Nadie ha construido npm audit para MCP todavía. Sin escaneo de vulnerabilidades a nivel de ecosistema. Sin lockfiles de dependencias para tool schemas. El MCP Registry oficial usa autenticación de namespace vinculada a cuentas de GitHub, pero no hay auditoría de código obligatoria, no hay verificación del mantenedor más allá de probar que sos dueño de un dominio. Herramientas como mcp-scan existen, pero la adopción es microscópica comparada con lo que el ecosistema necesita.

Mientras tanto, las empresas conectan estos servidores a flujos de trabajo de agentes en producción — sistemas de IA autónomos que crean tickets, hacen push de código y consultan bases de datos sin que un humano haga clic en "aprobar" cada vez. Qualys llama a los servidores MCP "el nuevo Shadow IT": se esconden detrás de localhost, puertos aleatorios y plugins de IDE, invisibles para toda herramienta de seguridad tradicional.

Qué deberías hacer de verdad

Antes de conectar otro servidor MCP comunitario a tus agentes en producción:

  • Revisá la cantidad de mantenedores. Una persona = un bus factor de uno. Si se aburre, heredás su deuda de seguridad.
  • Verificá la fecha del último commit. El código abandonado no recibe parches.
  • Leé las descripciones de las herramientas. La prompt injection — engañar a la IA para que haga cosas no deseadas — se esconde en texto plano, incluyendo los metadatos del servidor.
  • Fijá una versión conocida localmente. Corré los servidores MCP desde una copia local que hayas revisado, no desde un endpoint remoto en vivo.
  • Tené un plan de reemplazo. Cuando el servidor desaparezca — no si, sino cuando — necesitás poder reemplazarlo sin romper tus agentes.

El reloj no para

npm tardó 15 años en aprender que las cadenas de suministro open-source necesitan gobernanza — desde left-pad rompiendo medio internet en 2016, pasando por event-stream robando criptomonedas en 2018, hasta la autenticación de dos factores obligatoria para mantenedores en 2022. MCP está speedrunneando la misma lección en 18 meses, con apuestas más altas: estos no son libraries que construyen tu app, son servicios en vivo que actúan como tu app.

La primera brecha mayor — no un CVE, no una prueba de concepto, sino datos reales de clientes saliendo por un servidor MCP comprometido — determinará si el ecosistema construye infraestructura de seguridad o simplemente sigue construyendo más servidores.

Yo le apuesto a los servidores.