Newsfeed / Seguridad MCP 2.0: Tres Preguntas Que Todo CISO Debe Hacer Antes de Desplegar Agentes de IA
Commvault·January 8, 2026

Seguridad MCP 2.0: Tres Preguntas Que Todo CISO Debe Hacer Antes de Desplegar Agentes de IA

El experto en seguridad de Commvault analiza las actualizaciones del protocolo MCP 2.0 e introduce un marco práctico de evaluación de riesgos para empresas que despliegan agentes de IA, enfocándose en autoridad, radio de impacto y reversibilidad.

agentsenterprisesafetyautomation
Seguridad MCP 2.0: Tres Preguntas Que Todo CISO Debe Hacer Antes de Desplegar Agentes de IA

Perspectiva

Vernell, Principal Security and AI Intelligence en Commvault, ofrece una clase magistral sobre cómo asegurar los despliegues empresariales de agentes de IA. Mientras la mayoría de las discusiones sobre MCP se centran en las capacidades, esta conversación aborda qué sucede cuando las cosas salen mal y cómo la nueva especificación 2.0 cambia el cálculo de seguridad.

Sobre la evolución de MCP 1.x a 2.0: El cambio representa una transformación fundamental en la filosofía. "1.x was really about onboarding us, our technology to move forward to using AI. Step two is really securing those models." (1.x se trataba realmente de incorporarnos, nuestra tecnología para avanzar hacia el uso de IA. El paso dos es realmente asegurar esos modelos.) Esto no es una mejora incremental—es la industria reconociendo que la adopción sin seguridad crea un riesgo inaceptable.

Los tres cambios fundamentales en MCP 2.0: Primero, el soporte de OAuth trae lo que Vernell llama "Active Directory para internet"—finalmente permitiendo a las empresas asignar permisos y privilegios a claves criptográficas. Segundo, los esquemas estructurados actúan como consultas SQL parametrizadas, creando listas blancas que definen exactamente qué acciones pueden realizar las herramientas. "These structures allow you to define specifically what actions a tool is able to do and anything else it will just ignore." (Estas estructuras te permiten definir específicamente qué acciones puede realizar una herramienta y cualquier otra cosa simplemente la ignorará.) Tercero, el flujo de elicitación introduce puntos de pausa para la supervisión humana.

Sobre las brechas restantes: Incluso con 2.0, las empresas no pueden verificar criptográficamente que un servidor MCP sea legítimo. "Clones and copies exist, tools are modified, tools are added, and we have no way of verifying today cryptographically that this is our original MCP server we're interfacing with." (Existen clones y copias, las herramientas se modifican, se añaden herramientas, y no tenemos forma de verificar hoy criptográficamente que este es nuestro servidor MCP original con el que estamos interactuando.) Este es un problema de confianza significativo que no se resolverá solo con actualizaciones del protocolo.

El marco de riesgo de tres preguntas: El enfoque práctico de Vernell simplifica la complejidad: (1) ¿Qué autoridad tiene mi agente? Solo lectura con barreras de protección es bajo riesgo; las capacidades de destruir/editar/mover necesitan bloqueo. (2) ¿Cuál es el radio de impacto? ¿Un usuario, toda la aplicación, o movimiento lateral a través de la empresa? (3) ¿Qué tan reversible es la acción? Leer información versus eliminarla cambia todo.

Sobre la dirección futura y visibilidad: "We spent 20 years trying to secure how software is developed securely. And AI is not going to get a shortcut to this because it's new to the party." (Pasamos 20 años tratando de asegurar cómo se desarrolla software de forma segura. Y la IA no va a obtener un atajo para esto porque es nueva en la fiesta.) El enfoque en adelante será en visibilidad en tiempo de ejecución, registro de auditoría y cumplimiento—las empresas necesitan probar que sus agentes de IA operaron correctamente, especialmente cuando ocurren ataques a la cadena de suministro de terceros.

Puntos Clave

  • MCP 2.0 prioriza la seguridad - A diferencia de 1.x que se enfocaba en la adopción, 2.0 introduce OAuth, esquemas estructurados y flujos de elicitación específicamente para asegurar los despliegues de agentes de IA
  • La confianza en servidores sigue sin resolverse - No hay forma criptográfica de verificar que los servidores MCP sean legítimos; las organizaciones deben implementar aislamiento de red y firma de herramientas de forma independiente
  • Tres preguntas para evaluación de riesgos - Nivel de autoridad, radio de impacto y reversibilidad de acciones forman un marco simple pero efectivo para evaluar cualquier despliegue de agentes de IA
  • El humano en el ciclo es esencial - Las acciones de alto impacto deben activar flujos de aprobación; el flujo de elicitación permite puntos de pausa que no existían antes
  • La visibilidad en tiempo de ejecución es crítica - Las empresas necesitan registros de auditoría significativos que puedan demostrar cumplimiento y defenderse de acusaciones de ataques a la cadena de suministro
  • Esperemos más proveedores de seguridad - Similar a la evolución de la seguridad en la nube, surgirán herramientas de terceros para reforzar las capacidades nativas de seguridad de agentes de IA

Panorama General

MCP 2.0 representa el primer intento serio de la industria para asegurar agentes de IA en producción, pero es solo el comienzo. Para las organizaciones que despliegan agentes que pueden tomar acciones reales—editar archivos, mover datos, interactuar con sistemas—el protocolo proporciona barreras de protección, no garantías. La conclusión práctica: trata la seguridad de agentes de IA como trataste la seguridad en la nube hace una década, y presupuesta para las herramientas especializadas que inevitablemente serán necesarias.

Related