Dentro del Colapso del MCP de Anthropic: Cómo una Falla de Diseño Oculta Expuso la Cadena de Suministro de IA

En un tranquilo lunes de abril de 2026, el mundo de la inteligencia artificial se vio sacudido por un descubrimiento que puso a los equipos de seguridad en alerta: una falla crítica y arquitectónica acechaba en el Protocolo de Contexto de Modelo (MCP) de Anthropic. A diferencia de los errores habituales que pueden corregirse con unas pocas líneas de código, esta era una decisión de diseño enterrada en los cimientos - una que silenciosamente expuso más de 150 millones de descargas y hasta 200,000 servidores a la toma de control remota. Los hallazgos del equipo de Investigación de Seguridad de OX ofrecen un recordatorio escalofriante: en la carrera por construir máquinas más inteligentes, lo básico del diseño seguro puede pasarse peligrosamente por alto.

Una Vulnerabilidad Como Ninguna Otra

La vulnerabilidad en el centro de esta crisis no es el típico error de programación. Más bien, es un descuido a nivel de protocolo - una decisión arquitectónica incorporada directamente en los SDK de MCP de Anthropic para cada lenguaje de programación principal. Cualquier desarrollador que haya construido con MCP, consciente o no, heredó esta falla a través de la cadena de suministro, poniendo en peligro a sus usuarios e infraestructura.

La investigación de OX Security reveló cuatro vectores principales de ataque: inyección de interfaz de usuario (UI) no autenticada en marcos de IA populares, elusión de seguridad en entornos “protegidos” como Flowise, inyecciones de prompt sin clic en herramientas de codificación de IA como Windsurf y Cursor, y cargas maliciosas distribuidas a través de registros de MCP comprometidos. ¿El radio de impacto? Abrumador. Nueve de once registros de MCP fueron contaminados exitosamente en una prueba, y los atacantes pudieron ejecutar comandos en seis plataformas de producción en vivo - including herramientas de alto perfil como LiteLLM y LangChain.

CVEs Críticos y Repercusiones en la Industria

Entre las más de diez vulnerabilidades críticas registradas, destacan casos como RCE sin clic en Windsurf, RCE autenticado en LiteLLM y problemas de inyección de UI en Langchain-Chatchat y GPT Researcher. A pesar de los repetidos llamados de OX Security para una solución de raíz, Anthropic se negó, supuestamente categorizando el comportamiento peligroso como “esperado”. Como resultado, el protocolo sigue expuesto y el riesgo persiste para todos los usuarios aguas abajo.

Expertos de la industria ahora instan a las organizaciones a bloquear el acceso público a servicios de IA, tratar todas las entradas externas de MCP como no confiables e instalar solo desde fuentes verificadas. OX Security ha lanzado herramientas para detectar y señalar el uso indebido de configuraciones de MCP, pero la falla subyacente del protocolo persiste.

Lecciones del Incidente

En una vuelta irónica, Anthropic lanzó recientemente Claude Mythos - una nueva herramienta destinada a asegurar el software global. Sin embargo, el protocolo fundamental de la propia compañía sigue sin estar asegurado. A medida que el ecosistema de IA se vuelve cada vez más interconectado, este incidente sirve como una advertencia contundente: las vulnerabilidades en la cadena de suministro pueden ser tan devastadoras como cualquier ataque que acapare titulares. Hasta que el diseño seguro sea una prioridad en cada capa, la promesa de la IA seguirá estando a la sombra de amenazas latentes.

WIKICROOK

• Ejecución Remota de Código (RCE): La ejecución remota de código (RCE) ocurre cuando un atacante ejecuta su propio código en el sistema de la víctima, lo que a menudo lleva al control total o compromiso de ese sistema.
• SDK (Kit de Desarrollo de Software): Un SDK es un conjunto de herramientas y recursos que ayuda a los desarrolladores a construir, probar y desplegar software para una plataforma o dispositivo en particular.
• CVEs (Vulnerabilidades y Exposiciones Comunes): Los CVE son códigos únicos que identifican y describen vulnerabilidades de seguridad conocidas en software o hardware, ayudando a rastrear y abordar amenazas cibernéticas.
• Inyección de Prompt: La inyección de prompt ocurre cuando los atacantes introducen entradas maliciosas en una IA, haciendo que actúe de manera no intencionada o peligrosa, a menudo eludiendo las salvaguardas normales.
• Ataque a la Cadena de Suministro: Un ataque a la cadena de suministro es un ciberataque que compromete a proveedores de software o hardware confiables, propagando malware o vulnerabilidades a muchas organizaciones a la vez.