Riesgos de Malware MCP
Cómo los servidores MCP STDIO crean superficies de ataque no gestionadas - ataques a la cadena de suministro que llevan a RCE, el ataque "rug pull", y por qué "local" no significa "seguro contra la exfiltración de datos."
Dos tipos de servidores MCP
El protocolo MCP soporta dos mecanismos de transporte para conectar clientes de IA a servidores de herramientas:
STDIO (Standard I/O) - el cliente de IA lanza un proceso local en la máquina del usuario. El cliente y servidor se comunican a través de los pipes stdin/stdout del proceso. El código del servidor se ejecuta localmente con todos los permisos del usuario, acceso al sistema de archivos y acceso a la red.
HTTP (Streamable HTTP / SSE) - el cliente de IA se conecta a un servidor remoto por HTTP. El servidor se ejecuta en infraestructura gestionada, y toda la comunicación pasa por la red donde puede ser observada, filtrada y controlada.
La mayoría de los servidores MCP disponibles hoy - instalados via npx o uvx - usan el transporte STDIO. Esto tiene implicaciones de seguridad significativas.
Ataques a la cadena de suministro → Ejecución Remota de Código
El riesgo más crítico de los servidores MCP STDIO es que instalar uno equivale a otorgar ejecución arbitraria de código en la máquina del usuario. El modelo de ejecución npx / uvx es el anti-patrón "curl | bash" aplicado a herramientas de IA:
- Sin lockfile, sin verificación de hash, sin verificación de firma
- Cada invocación puede silenciosamente descargar una versión maliciosa recién publicada
- El proceso lanzado tiene acceso completo al sistema de archivos, red y entorno
Esto ya ha llevado a ataques reales:
- postmark-mcp (Sep 2025) - Primer servidor MCP malicioso encontrado. Paquete npm de typosquatting que silenciosamente enviaba BCC de todos los emails a un dominio del atacante.
- Shai-Hulud worm (2025–2026) - Gusano npm auto-replicante que inyectó servidores MCP maliciosos en Claude Code, Cursor y Windsurf. Exfiltró 14,000+ secretos en 487 organizaciones.
- mcp-remote RCE (CVE-2025-6514) - Vulnerabilidad crítica CVSS 9.6 en el paquete
mcp-remote(437K+ descargas). Primer RCE documentado contra un cliente MCP. - Fallo sistémico de MCP (Abr 2026) - OX Security divulgó una vulnerabilidad que permite RCE arbitrario en ~200K instancias de servidores MCP. Anthropic declinó parchear, calificándolo de "comportamiento esperado."
"Local" no significa seguro contra la exfiltración de datos
La gran mayoría de servidores MCP populares (GitHub, Slack, Notion, Linear, bases de datos) son envolturas locales delgadas alrededor de APIs HTTP remotas. Cuando un desarrollador ejecuta npx @modelcontextprotocol/server-github, lanza un proceso local que:
- Hace llamadas HTTPS salientes a la API de GitHub
- Lleva un Token de Acceso Personal en su entorno
- Tiene acceso completo al sistema de archivos y red
- Produce tráfico indistinguible de cualquier otra solicitud HTTPS
Desde la perspectiva del monitoreo de red, "local" no significa seguro contra la exfiltración de datos. El transporte STDIO solo describe cómo el cliente de IA se comunica con el proceso - no dice nada sobre lo que ese proceso hace con la red.
El ataque "rug pull"
Los servidores MCP pueden cambiar sus definiciones de herramientas después de que el usuario las ha aprobado:
- El servidor devuelve definiciones de herramientas limpias e inofensivas en la primera conexión
- El usuario revisa y aprueba
- En llamadas subsecuentes a
tools/list, el servidor devuelve definiciones modificadas con instrucciones de exfiltración - El agente de IA trata las nuevas instrucciones como legítimas
Ningún mecanismo en el protocolo MCP verifica la integridad del schema después del handshake inicial.
Por qué esto es shadow IT
Desde la perspectiva de un líder de seguridad, los servidores MCP STDIO son ingobernables:
| Capacidad | Servidores STDIO | Servidores HTTP gestionados |
|---|---|---|
| Bloqueo a nivel de red | Imposible (HTTPS saliente) | Bloquear en proxy/firewall |
| Revocación de auth | Buscar credenciales en cada máquina | Instantáneo en IdP/gateway |
| Registro de auditoría | Ninguno | Cada llamada a herramienta registrada |
| DLP/inspección de contenido | Imposible | El gateway inspecciona todo el tráfico |
| Control de cadena de suministro | Cualquier paquete npm se ejecuta | Registro verificado, versiones fijadas |
| Rotación de credenciales | Manual, por máquina | Automática, centralizada |
| Aplicación de políticas | Ninguna | RBAC, límites de tasa, geo-restricciones |
Qualys nombró esta clase de amenaza "MCP Servers: The New Shadow IT for AI" - empleados instalando software no verificado con acceso privilegiado a APIs corporativas, completamente invisibles para los equipos de seguridad.
Cómo Edison Watch mitiga estos riesgos
Edison Watch se sitúa entre los clientes de IA y los servidores MCP como un gateway de seguridad:
- Fijación de dependencias - bloquea las versiones de paquetes de servidores MCP en la primera ejecución, previniendo actualizaciones silenciosas de la cadena de suministro
- Cuarentena - los nuevos servidores MCP se ponen en cuarentena hasta que un administrador los aprueba explícitamente
- Motor de políticas - reglas basadas en CEL aplican qué datos pueden fluir a dónde, independientemente del transporte
- Aplicación de Lethal Trifecta - bloquea la exfiltración detectando cuando el acceso a datos privados + contenido no confiable + comunicaciones externas convergen en una sola sesión
- Registro de auditoría - cada llamada a herramienta se registra con contexto completo para respuesta a incidentes
Amenazas de Seguridad de IA
Comprender las nuevas amenazas de seguridad introducidas por los agentes de IA y el protocolo MCP - desde servidores STDIO con malware hasta la exfiltración de datos mediante la Tríada Letal.
La Tríada Letal
El modelo de amenaza de tres capacidades que permite la exfiltración de datos impulsada por IA - acceso a datos privados, exposición a contenido no confiable y comunicación externa.