El ecosistema MCP creció rápido — la seguridad no
El Model Context Protocol se lanzó a finales de 2024. En menos de 18 meses se convirtió en el estándar para conectar herramientas de IA con sistemas externos. En marzo de 2026, el ecosistema incluye conectores de bases de datos, servidores de archivos, puentes de GitHub, clientes de Slack, herramientas de email y cientos de servidores especializados.
La curva de crecimiento es empinada. El panorama de seguridad no lo es.
En marzo de 2026, más de 8.000 servidores MCP están accesibles en Internet. Los investigadores encontraron 492 sin ninguna autenticación — sin clave de API, sin OAuth, sin filtro de IP. Cualquier cliente HTTP puede llamarlos. El 36,7 % de los endpoints analizados son vulnerables a SSRF (Server-Side Request Forgery). Eso significa que un atacante que controla la entrada de herramientas puede llegar a recursos de red internos.
En el mismo período, se presentaron más de 30 CVE en 60 días. Ese ritmo muestra tanto la inmadurez del ecosistema como la intensidad del escrutinio investigador.
Por qué el protocolo crea riesgo de PII
MCP da a los asistentes de IA el poder de actuar sobre los datos. Por eso también es un vector de riesgo de PII.
Cuando un desarrollador usa Cursor o Claude Desktop con un conector de base de datos, la IA genera SQL desde texto natural. Esas consultas devuelven filas reales — nombres, emails, datos de pago u otros PII. Esos datos se mueven por una cadena:
- Endpoint de base de datos → ventana de contexto del asistente IA
- Ventana de contexto → sistemas de registro del proveedor de modelos
- Historial de conversación → máquina local del desarrollador
- Sesiones de depuración → otras herramientas IA cuando el desarrollador pega contexto
Ninguno de estos pasos es una brecha. Así funciona el sistema. Pero los PII acaban en múltiples lugares no diseñados para gestionarlos, a menudo sin cifrado entre el endpoint y el cliente IA.
CVE-2026-25253 (CVSS 8.8), publicado en febrero de 2026, mostró un vector de ataque concreto. Un endpoint malicioso podía inyectar instrucciones ocultas en sus respuestas. Esas instrucciones decían a la IA conectada que extrajera datos de otras herramientas activas. Un desarrollador que usaba un endpoint comunitario comprometido junto a su propio conector de base de datos podía filtrar toda la base de datos.
Los 492 servidores sin autenticación
Los 492 endpoints abiertos son un problema distinto al CVE-2026-25253. No fueron hackeados. Fueron mal configurados.
La mayoría estaban pensados para ejecutarse localmente. Alguien los expuso mediante port forwarding o despliegue en la nube sin controles de acceso.
Lo que estos endpoints suelen exponer:
- Herramientas de sistema de archivos con acceso de lectura a carpetas de inicio
- Conectores de bases de datos con credenciales de producción en la configuración
- Herramientas de email vinculadas a bandejas de entrada reales
- Herramientas de ejecución de código — código arbitrario, sin auth, sin límites
Los desarrolladores casi con certeza no tenían intención de exponerlos. Pero Cursor y Claude Desktop se conectan a cualquier URL en la configuración. No hay verificación integrada de si un host es local o público.
La solución MCP de anonym.legal
La solución estructural al riesgo de PII en pipelines de herramientas es anonimizar los datos antes de que lleguen a una llamada que los envía a un LLM. Esto es lo que ofrece el servidor MCP de anonym.legal.
Expone 7 herramientas:
| Herramienta | Propósito |
|---|---|
analyze_text | Detectar entidades PII y devolver sus posiciones y tipos |
anonymize_text | Eliminar o pseudonimizar los PII detectados |
deanonymize_text | Revertir la pseudonimización usando su clave de cifrado |
anonymize_batch | Procesar múltiples textos en una sola llamada |
get_supported_entities | Listar los 285+ tipos de entidades para un idioma dado |
get_supported_languages | Listar los 48 idiomas soportados |
health_check | Verificar la conectividad |
Cuando un asistente IA tiene configurado tanto el servidor de anonym.legal como un conector de base de datos, el desarrollador puede indicar: «Antes de mostrar datos de clientes, llama a anonymize_text sobre el resultado.» La IA gestiona la orquestación. Los PII nunca llegan a la salida visible ni al historial de conversación en forma identificable.
Configuración en Cursor IDE
Para añadir el servidor de anonym.legal a Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Una vez configurado, pregunta a Cursor: «Analiza este ticket de soporte para detectar PII antes de pegarlo en el tracker.» Cursor llama a analyze_text, devuelve la lista de entidades, y tú decides si anonimizas antes de pegar.
Configuración en Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Con esta configuración, Claude Desktop puede anonimizar cualquier texto antes de incluirlo en llamadas a otros endpoints. Los PII nunca llegan a los servidores de Anthropic en forma identificable.
Reforzar tu configuración
Además de usar anonym.legal, aplica estos pasos. Consulta también nuestra descripción de seguridad y nuestro centro de cumplimiento.
Audita tu lista de herramientas. Revisa cada entrada en tu configuración. ¿Confías en el operador? ¿Sabes a qué datos puede acceder?
Prefiere local sobre remoto. Los endpoints locales funcionan vía stdio. No crean exposición de red. Usa endpoints remotos solo cuando no exista opción local.
Verifica la autenticación. Cada endpoint remoto debe requerir una clave API o token OAuth. Si no lo hace, no lo uses con datos de usuarios reales.
Separa desarrollo de producción. Mantén configuraciones separadas para trabajo de desarrollo (datos de prueba, sin PII) y cualquier flujo que toque usuarios reales.
Activa los registros de auditoría. Si soporta logs, actívalos. Conoce qué datos pasaron por cada llamada.
Nuestra página de funciones MCP tiene la lista completa de tipos de entidades e idiomas.
Los más de 30 CVE en 60 días muestran que el protocolo está bajo escrutinio activo. Aparecerán nuevas vulnerabilidades. Pero la defensa central — anonimizar antes de que los datos lleguen a cualquier llamada LLM — funciona contra cualquier CVE específico que aparezca después.
Configurar el servidor de anonym.legal en Cursor →
anonym.legal procesa la anonimización de PII en el servidor usando tu clave de cifrado. Los datos pseudonimizados solo son reversibles con esa clave. Publicado por anonym.legal, certificado ISO 27001.
Fuentes
- Datos de exposición de servidores MCP de Shodan, marzo de 2026 — más de 8.000 servidores, 492 sin autenticación
- CVE-2026-25253, CVSS 8.8, inyección cross-servidor vía Model Context Protocol
- Datos SSRF: escaneo de investigación de seguridad de endpoints accesibles públicamente, marzo de 2026
- Especificación MCP de Anthropic v1.2, sección de consideraciones de seguridad