Microsoft
está
decidida
a
transformar
la
experiencia
del
usuario
en
Windows
11
recurriendo
a
la
inteligencia
artificial.
En
su
conferencia
Build,
la
compañía
anunció
la
integración
nativa
en
el
mismo
del
MCP
(Model
Context
Protocol),
abriendo
así
la
puerta
a
una
nueva
era
de
automatización
inteligente
de
las
funciones
y
aplicaciones
de
su
sistema
operativo.
Pero,
al
igual
que
ocurrió
hace
tiempo
con
ActiveX
y
OLE
Automation
en
Microsoft
Office
e
Internet
Explorer,
esta
ambiciosa
iniciativa
también
podría
convertirse
en
un
problema
de
seguridad
de
enormes
dimensiones.
11
NIVEL
DIOS
17
TRUCOS
y
FUNCIONES
para
DOMINARLO
¿Qué
es
MCP
y
qué
propone
Microsoft?
El
Model
Context
Protocol
(MCP)
fue
presentado
por
la
empresa
Anthropic
hace
apenas
seis
meses
como
un
protocolo
estandarizado
para
que
las
aplicaciones
con
funciones
de
IA
puedan
acceder
a
datos
de
distintos
sistemas.
Sin
embargo,
su
evolución
(como
su
éxito)
ha
sido
rápida:
ahora
se
perfila
como
la
base
para
una
automatización
más
generalizada,
no
solo
dentro
de
una
aplicación,
sino
entre
múltiples
servicios.
MCP
permite
que
los
servidores
—locales
o
remotos—
informen
sobre
sus
capacidades
y
reciban
comandos
para
ejecutar
tareas.
Con
base
en
eso,
el
objetivo
de
Microsoft
es
ambicioso:
que
un
solo
comando,
en
lenguaje
natural,
pueda
iniciar
una
cadena
de
acciones
que
abarquen
desde
la
recopilación
de
datos
hasta
la
creación
de
gráficos
en
Excel
y
el
envío
automático
por
correo
electrónico.
Windows
será
un ‘sistema
operativo
para
agentes’
Con
la
inclusión
de
MCP
en
Windows,
Microsoft
quiere
convertir
el
sistema
operativo
en
lo
que
llama
un
«agentic
OS»:
un
entorno
donde
los
agentes
de
IA
pueden
ejecutar
acciones
complejas
en
nombre
del
usuario.
Para
hacerlo
posible,
se
introducirán
varias
novedades:
-
Registro
local
de
MCP:
permitirá
descubrir
los
servidores
MCP
instalados. -
Servidores
MCP
integrados:
expondrán
funciones
del
sistema
como
el
acceso
al
sistema
de
archivos,
manejo
de
ventanas
y
el
Subsistema
de
Windows
para
Linux
(WSL). -
‘App
Actions’:
una
nueva
API
que
habilita
a
las
aplicaciones
de
terceros
a
exponer
sus
propias
acciones
como
servidores
MCP,
facilitando
la
automatización
entre
apps.
Ya
se
han
anunciado
colaboraciones
con
empresas
como
Figma,
Perplexity,
Zoom,
Todoist
y
Spark
Mail,
lo
que
evidencia
el
interés
de
la
industria
por
esta
infraestructura.
Automatización
sí,
pero
¿a
qué
precio?
A
pesar
del
potencial
de
MCP,
los
riesgos
de
seguridad
son
considerables.
El
propio
David
Weston,
vicepresidente
de
seguridad
empresarial
y
del
sistema
operativo
en
Microsoft,
advirtió
sobre
siete
vectores
de
ataque
que
amenazan
esta
arquitectura:
-
‘Cross-prompt
injection’:
comandos
maliciosos
que
modifican
las
instrucciones
del
agente. -
Falta
de
autenticación
robusta:
estándares
actuales
inconsistentes
e
inmaduros. -
Filtración
de
credenciales. -
‘Tool
poisoning’:
uso
de
servidores
MCP
no
verificados
que
podrían
estar
comprometidos. -
Ausencia
de
contención
entre
procesos. -
Escasa
revisión
de
seguridad
en
muchos
servidores
MCP. -
Riesgos
en
la
cadena
de
suministro,
por
la
inclusión
de
servidores
maliciosos.
Estos
problemas
son
las
que
recuerdan
a
las
vulnerabilidades
históricas
de
ActiveX
y
OLE
Automation
en
Office,
tecnologías
que,
aunque
facilitaron
una
tímida
automatización
primigenia,
también
fueron
explotadas
por
ciberdelincuentes
durante
años.
¿Cómo
planea
Microsoft
mitigar
estos
riesgos?
Microsoft
asegura
que
la
seguridad
es
su
máxima
prioridad.
Para
ello,
ha
propuesto
una
serie
de
medidas:
-
Proxy
intermediario:
gestionará
todas
las
interacciones
MCP
cliente-servidor
para
aplicar
políticas
de
seguridad,
auditoría
y
consentimiento. -
Nivel
de
seguridad
base
para
los
servidores
MCP:
incluirá
requisitos
como
firma
de
código,
pruebas
de
seguridad
en
las
interfaces
y
declaración
de
privilegios
necesarios. -
Aislamiento
en
tiempo
de
ejecución
y
permisos
granulares,
que
limiten
las
acciones
según
contexto
y
origen.
No
obstante,
muchas
de
estas
medidas
no
estarán
disponibles
a
tiempo
para
la ‘preview’
inicial
que
se
proporcionará
en
unas
semanas
a
los
desarrolladores.
Lecciones
del
pasado:
¿se
repetirá
la
historia?
Para
entender
los
riesgos
del
Model
Context
Protocol
(MCP),
basta
con
echar
la
vista
atrás
a
las
tecnologías
de
automatización
que
Microsoft
ha
impulsado
en
el
pasado.
Dos
ejemplos
especialmente
ilustrativos
son
ActiveX
y
OLE
Automation,
pilares
fundamentales
para
la
automatización
en
Office
y
otros
productos
de
Microsoft
durante
décadas,
pero
también
notorias
por
su
historial
de
vulnerabilidades.
ActiveX:
el
caballo
de
Troya
en
Internet
Explorer
ActiveX,
introducido
en
los
años
90
como
una
forma
de
ejecutar
componentes
COM
dentro
del
navegador
Internet
Explorer,
prometía
enriquecer
la
experiencia
web
con
formularios
interactivos,
reproductores
multimedia,
herramientas
de
edición,
etcétera.
En
teoría,
permitía
a
las
páginas
web
ofrecer
funcionalidades
similares
a
las
de
una
aplicación
de
escritorio…
en
la
práctica,
ActiveX
fue
un
desastre
de
seguridad.
Debido
a
su
alto
nivel
de
permisos
y
escasa
contención,
los
controles
ActiveX
podían
ejecutar
código
arbitrario
en
el
sistema
del
usuario.
Esto
permitió
a
atacantes
distribuir
malware
simplemente
con
que
el
usuario
visitara
una
página
web:
así,
se
convirtió
en
un
vector
común
de
infecciones
por
troyanos,
keyloggers
y
spyware.
Aunque
Microsoft
implementó
más
tarde
medidas
como
el ‘killbit’
o
el
uso
de
zonas
de
seguridad,
el
daño
a
la
reputación
de
esta
tecnología
ya
estaba
hecho.
OLE
Automation:
el
truco
detrás
de
los
macros
maliciosos
Por
otro
lado,
OLE
Automation
permitió
que
algunas
aplicaciones
de
Office,
como
Word
y
Excel,
interactuaran
con
otras
aplicaciones
y
sistemas
a
través
de
scripts
y
macros
escritos
en
VBA
(Visual
Basic
for
Applications).
Esta
capacidad
convirtió
a
Office
en
una
poderosa
herramienta
de
automatización
empresarial…
y
también
en
una
de
las
puertas
de
entrada
favoritas
para
ataques
basados
en
macros
maliciosos.
Durante
años,
los
cibercriminales
aprovecharon
las
macros
de
Excel
y
Word
para
ejecutar
cargas
maliciosas,
descargar
ransomware
o
establecer
puertas
traseras
en
los
sistemas.
Incluso
hoy,
a
pesar
de
restricciones
recientes
(como
la
desactivación
por
defecto
de
macros
descargadas
de
Internet),
OLE
y
VBA
siguen
siendo
un
vector
relevante
de
ataque,
especialmente
en
entornos
corporativos
donde
estas
funciones
aún
se
utilizan.
El
paralelismo
con
MCP
MCP
comparte
con
estas
tecnologías
un
principio
fundamental:
permitir
que
diferentes
componentes
—sistemas,
aplicaciones
y
ahora
agentes
de
IA—
se
comuniquen
entre
sí
para
automatizar
tareas.
Pero
lo
hace
desde
un
nivel
más
alto
de
abstracción
y,
sobre
todo,
con
una
nueva
capa
de
inteligencia
artificial.
Este
salto
conceptual
añade
utilidad,
pero
también
amplifica
los
riesgos.
Un
agente
de
IA
que
tenga
acceso
a
múltiples
servidores
MCP
podría,
por
ejemplo,
consultar
datos
privados,
modificar
archivos,
lanzar
aplicaciones,
o
enviar
correos…
con
una
sola
orden
maliciosa
si
no
se
han
establecido
límites
claros.
¿Qué
pasaría
si
un
modelo
mal
entrenado,
manipulado
o
vulnerado
comenzara
a
ejecutar
acciones
sin
una
revisión
adecuada?
Además,
como
ocurre
con
ActiveX
y
OLE,
el
éxito
de
MCP
dependerá
en
gran
medida
de
cómo
se
regulen
los
servidores
de
terceros.
Sin
una
verificación
estricta
de
estos
componentes
—algo
que
Microsoft
ha
dicho
que
planea
hacer…
en
un
futuro—,
MCP
podría
abrir
la
puerta
a
un
nuevo
tipo
de
ataque:
uno
orquestado
por
agentes
conversacionales.
¿Será
diferente
esta
vez?
La
historia
demuestra
que
cuando
la
automatización
es
demasiado
poderosa
y
accesible
sin
suficientes
controles,
los
atacantes
no
tardan
en
explotar
sus
debilidades.
Si
bien
Microsoft
ha
mostrado
más
conciencia
de
estos
riesgos
desde
el
principio
con
MCP,
aún
queda
por
ver
cómo
se
implementarán
sus
promesas
de
seguridad
en
entornos
reales.
Imagen
|
Marcos
Merino
mediante
IA
