MCP Security for Enterprise Organizations: Experiencias reales y defensa avanzada
Resumen del artículo
Por qué importa este artículo
A MCP le dicen el 'USB de la IA'—pero esa universalidad es exactamente lo que lo convierte en una superficie de ataque rica. Este post cataloga las amenazas concretas (envenenamiento de herramientas, RCE vía runtimes con demasiado poder, raids de prompt injection desde datos ingeridos, typosquatting en la cadena de suministro) y mapea cada una a defensas de grado enterprise: aislamiento con Firecracker/gVisor, filesystems efímeros, zero-trust auth con mTLS y secrets respaldados por vault, y capas de validación y rate limiting. Te llevás una arquitectura de referencia por zonas y links curados a los papers y herramientas detrás de cada recomendación.
Introducción
Hola, ¿cómo estás? Espero que muy, muy bien.
Pasó literalmente un día de la vorágine de la Ekoparty y un poco más de una semana del evento de la comunidad que llevamos con el super equipo de ThreatX Security. Este blog post será algo más personal al inicio, para luego enfocarnos de lleno en lo técnico del protocolo MCP, así tienen en detalle lo poco que pudimos ver en la presentación de la Ekoparty.
En lo personal, fue mi primera charla en la Eko. Me tocó darla con la village de AI Resilience Hub, creada y llevada con pasión, amor y dedicación por Dany y su equipo.
Como todos sabemos, la Eko es sinónimo de nivel, tanto en el tipo de evento como en los expositores. Obviamente varía muchísimo, pero ese pensamiento está generalizado en el subconsciente de la comunidad de seguridad informática de Argentina y LATAM. Y esto mismo fue lo que hizo que dudara tanto en siquiera pensar en qué podría compartir…
El proceso creativo y la duda
Mi idea inicial era crear algo novedoso, totalmente nuevo y de calidad, basado en una investigación personal compleja, con muchísimos meses invertidos y todo el "biri biri" que te puedas imaginar. Este era el escenario ideal (a veces pienso que podría ser mi excusa para no hacer nada), y suelen ser las charlas más lindas de ver porque se nota ese extra de investigación y apropiación del conocimiento.
En mi caso no lo fue, claramente, pero sí me marcó el proceso interno para llegar a la conclusión de que no todo tiene que ser increíblemente novedoso o complejo (como la investigación para explotar CUDA de NVIDIA, ¡kudos para los researchers que presentaron eso, fue espectacular!). A veces, lo valioso es mostrar un proceso específico de trabajo e investigación que le sirva a otra persona.
Esto me llevó a crear “MCP Security for Enterprise Organizations”, una charla que conecta lo que hago actualmente en mi empresa, mi tesis de posgrado y lo que me apasiona dentro de este increíble mundo de infosec.
Consejo de alguien que se tira a la pileta
Si estás pensando en una idea, incluso de forma superficial, y hay una parte de vos que grita "¡quiero hacerlo!", HÁGANLO. Esa incomodidad es crecimiento puro.
Si tenés ganas de presentar algo, de compartir tu conocimiento o investigación, escribime por LinkedIn o a cualquier integrante de Threat X. Podemos hacerlo posible en nuestro espacio, nuestras meetups o buscar otro evento para tu próxima gran charla.
¡Te deseo todo lo mejor, a seguir forzando la máquina que nosotros podemos!
Parte Técnica: MCP Security, Ataques reales y Defensas recomendadas
Si te perdiste la charla o te quedaste con dudas, acá vamos a profundizar en los aspectos técnicos.
¿Qué es MCP y por qué importa en seguridad de agentes AI?
El Model Context Protocol (MCP) es el estándar abierto que conecta LLMs y agentes AI con herramientas externas, permitiendo automatización, llamadas vía APIs y acceso seguro a datos. Podes imaginarlo como el "USB" para las aplicaciones de IA.
- Spec oficial: Github MCP
- Intro Anthropic: Anthropic News
Componentes Clave y Arquitectura
Para entender la superficie de ataque, primero debemos entender las piezas del tablero:
- MCP Server: Expone herramientas (
tools), recursos (resources) y prompts. Es el que "tiene" la capacidad de acción. - MCP Client: Realiza invocaciones sobre el servidor, gestiona la orquestación y validación. Es el "cerebro" que decide qué usar.
- Transporte: Puede ser local (STDIN/pipes) para máxima velocidad o remoto (HTTP, SSE, WebSocket) para arquitecturas distribuidas.
Renderizando diagrama...
El Panorama de Amenazas: Ataques Documentados
El ecosistema MCP introduce vectores de ataque fascinantes y peligrosos. No es solo "hackear una API", es hackear la lógica de un agente.
1. Tool Poisoning & Spoofing ¿Qué pasa si la herramienta que el agente cree usar no es la real?
- Injection: Inyección de instrucciones en la metadata de las herramientas para confundir al LLM.
- Spoofing: Servidores MCP falsos que imitan a los legítimos para interceptar datos.
2. Remote Code Execution (RCE) El clásico, pero potenciado. Si un agente tiene permiso para ejecutar scripts (como un servidor MCP de Python), un prompt malicioso puede llevar a la ejecución de comandos arbitrarios, manipulación de archivos de configuración y escalada de privilegios.
3. Raid de Prompt Injection Ataques indirectos donde el payload no viene del usuario, sino de los datos que el agente lee (un documento, una transcripción de YouTube, una base de datos vectorial Chroma DB). El agente lee el dato, se "infecta" y ejecuta la instrucción maliciosa.
Riesgo de Cadena de Suministro
Ten cuidado con los paquetes MCP en repositorios públicos. Ya existen casos de typosquatting y paquetes falsos en PyPI diseñados para robar credenciales de entorno.
Estrategias de Defensa Modernas
Basado en field guides y frameworks actuales (como el A2AS), estas son las capas de defensa que deberías implementar:
Aislamiento y Sandboxing No confíes en el runtime por defecto.
- Usa Firecracker o gVisor para aislar cada ejecución de herramienta.
- Implementa overlays de sistema de archivos efímeros (solo lectura o destrucción tras uso).
- Control estricto de Egress: ¿Por qué tu calculadora necesita conectar a internet? Bloquealo.
Autenticación y Secretos
- Zero Trust: Denegar todo acceso por defecto.
- Rotación de Secretos: Nunca montes tokens directamente en variables de ambiente persistentes. Usa Vaults y proyección de volúmenes en memoria.
- mTLS: Si usas transporte remoto, asegura el canal con autenticación mutua.
Validación de Inputs (Human-in-the-loop) Aunque automatizamos, la validación estricta de JSON-schemas es vital.
- Usa Linters de seguridad (semgrep) en tiempo real sobre los payloads.
- Implementa Rate Limiting para prevenir ataques de DoS económico o fuerza bruta.
Arquitectura Segura de Referencia
Una implementación robusta debería dividir responsabilidades en zonas:
| Zona | Componente | Controles |
|---|---|---|
| Zona 0 | Control Plane | Vault PKI, Políticas OPA, Observabilidad centralizada. |
| Zona 1 | Fleet MCP | mTLS mesh, Sistema de archivos RO (Read-Only). |
| Zona 2 | Tool Runtime | Aislamiento fuerte (MicroVMs), vida útil de 5 minutos. |
| Zona 3 | Downstream APIs | Tokens con scope mínimo y audiencia restringida. |
Recursos Imprescindibles
Si querés profundizar, acá tenés la "bibliografía" de la charla:
- Presentación: Descargar PDF de la charla
- Research: Systematic Analysis of MCP Security (arXiv)
- Defensa: A2AS Framework: Agentic AI Runtime Security
- Herramientas: MCP Safety Scanner
El mundo de la seguridad en agentes de IA recién empieza. Es un terreno fértil para investigar, romper y, sobre todo, construir defensas más inteligentes.
¡Nos vemos en la próxima!
Pon a Prueba tu Conocimiento Técnico
Repaso de Seguridad en MCP
¿Cómo describe el post el rol del Model Context Protocol (MCP)?
¿Qué tipo de ataque del post se refiere a instrucciones maliciosas que provienen de datos que el agente lee, como documentos, transcripciones o vector databases?
¿Qué combinación defensiva coincide mejor con la estrategia de aislamiento recomendada para ejecutar tools MCP de alto riesgo?
AI Security Series
Part 4 of 4- 1Comprometiendo Aplicaciones Reales Integradas con LLMs mediante Indirect Prompt Injection
- 2DemonAgent al Descubierto: Entendiendo Ataques de Implantación de Múltiples Backdoors en LLMs
- 3A2AS: Un nuevo estándar para la seguridad en sistemas de IA agéntica
- 4MCP Security for Enterprise Organizations: Experiencias reales y defensa avanzada
Seguir leyendo
Más en el archivo
Artículo más reciente
Rules vs. Skills: Creando Contexto de IA Seguro para Equipos de Ingeniería
En mi empresa nos topamos con una duda muy común al escalar asistentes de código con IA: cuándo conviene usar una Rule o `CLAUDE.md`, y cuándo eso ya debería ser una Skill...
Artículo anterior
A2AS: Un nuevo estándar para la seguridad en sistemas de IA agéntica
Reflexión, explicación y análisis sobre el paper A2AS, el modelo BASIC y el framework A2AS, desde la perspectiva de los desafíos reales en controles y mitigacion de ataques en AI Security y GenAI Applications.
Seguir explorando
Lectura relacionada
Continuá por los temas más relacionados según las etiquetas.
A2AS: Un nuevo estándar para la seguridad en sistemas de IA agéntica
Reflexión, explicación y análisis sobre el paper A2AS, el modelo BASIC y el framework A2AS, desde la perspectiva de los desafíos reales en controles y mitigacion de ataques en AI Security y GenAI Applications.
DemonAgent al Descubierto: Entendiendo Ataques de Implantación de Múltiples Backdoors en LLMs
Este artículo sobre el excelente paper de investigación DemonAgent muestra cómo los atacantes pueden implantar múltiples backdoors en agentes basados en LLMs y los mecanismos técnicos detrás de estos ataques.
Comprometiendo Aplicaciones Reales Integradas con LLMs mediante Indirect Prompt Injection
Esta investigación introduce la Inyección Indirecta de Prompts (IPI), un método para manipular remotamente Modelos de Lenguaje Grande (LLMs) a través de prompts maliciosos en fuentes de datos, arriesgando robo de datos, desinformación y mucho más, destacando la necesidad de defensas más robustas.