MCP sí introduce nuevos riesgos. ¿Estás preparado?

Con MCP, el contexto no es simplemente un bloque de datos estático, es memoria viva. Los agentes se apoyan en este estado compartido para tomar decisiones, escalar o retroceder. Pero cuando las actualizaciones del contexto se pierden, retrasan o corrompen, se produce una “deriva de contexto”. Piénsalo como una carrera de relevos en la que cada corredor tiene un mapa distinto y ninguno lo nota hasta que ya está casi fuera del camino. En MCP, la deriva de contexto significa que los agentes actúan con información contradictoria. El resultado no es solo confusión; es un caos total, con decisiones críticas basadas en datos erróneos y nadie alerta hasta que algo falla. ¿Dos agentes discrepan sobre lo que acaba de pasar? No es un debate, es un posible incidente.

Los sistemas tradicionales no enfrentan este problema a gran escala porque el contexto suele estar centralizado o ser estático, almacenado como cookies o en tablas de sesión. MCP hace que la desviación no solo sea posible, sino inevitable, a menos que incorpores sincronización estricta, chequeos de integridad y resolución automatizada de conflictos. Prepárate para un desafío a la hora de depurar cuando llames a tu equipo de respuesta a incidentes.

Todos conocen la TI en la sombra, ahora descubre los agentes en la sombra. MCP permite que los agentes se unan, se retiren y actualicen el contexto compartido de forma dinámica. Esa potencia y flexibilidad también abre la puerta a que agentes maliciosos o mal configurados participen en la conversación.

Si no controlas quién participa, qué permisos tienen y a qué hora entran, estás entregando las llaves sin darte cuenta. Los agentes ocultos pueden extraer datos, introducir instrucciones maliciosas o sabotear operaciones sin que lo notes. Tu inventario siempre está desfasado, y solo te enterarás cuando algo deje de funcionar.

Aparta, denegación de servicio. En el entorno MCP, no necesitas tumbar servidores, solo saturar o corromper los canales de contexto. Si los agentes no pueden compartir ni acceder a un contexto fiable, se quedan bloqueados, fallan o actúan por su cuenta. Tu automatización de flujo de trabajo se detiene y los procesos de negocio acaban paralizados. No es algo teórico; es la siguiente jugada lógica para cualquier atacante que comprenda cómo tus agentes realmente realizan su trabajo.

Antes gestionabas usuarios, cuentas de servicio y quizá algunos dispositivos. MCP y los agentes autónomos significa que ahora vigilas a una manada de gatos digitales (a veces indómitos), cada uno con su propia autenticación, ciclo de vida y conjunto de privilegios. Debemos aplicar la misma rigurosidad al incorporar, rotar o retirar agentes que a cualquier usuario o identidad de servicio. Si descuidas esto, abres la puerta a la suplantación, la escalada de privilegios y agentes zombis que perduran mucho después de ser útiles. Lo sé, es frustrante. Muchas organizaciones aún cargan con cuentas huérfanas sin limpiar desde 1998. Pero esas al menos no pueden actuar. Los agentes zombis sí pueden.

Cuando algo falla (y fallará), será complicado reconstruir lo ocurrido. El contexto MCP es efímero y desaparece al perder relevancia. Eso agiliza las operaciones, pero dificulta el análisis tras el incidente. Si no registras cada actualización, participante e interacción, nunca sabrás qué agente te pasó la manzana envenenada o qué cambio de contexto desencadenó el efecto dominó.

Esta es una de las razones por las que el registro semántico y la telemetría avanzada se integran cada vez más en las pilas de observabilidad. No solo rastreamos conexiones con marca temporal; precisamos un registro contextual completo para entender qué falló.