(Haz clic en la imagen de arriba para ver el video de esta lección)
La seguridad es fundamental en el diseño de sistemas de IA, por eso la priorizamos como nuestra segunda sección. Esto está alineado con el principio Seguro por Diseño de Microsoft, del Secure Future Initiative.
El Protocolo de Contexto del Modelo (MCP) aporta nuevas capacidades potentes a aplicaciones impulsadas por IA, al mismo tiempo que introduce desafíos únicos de seguridad que van más allá de los riesgos tradicionales de software. Los sistemas MCP enfrentan tanto preocupaciones de seguridad establecidas (codificación segura, mínimo privilegio, seguridad en la cadena de suministro) como nuevas amenazas específicas de IA, incluyendo la inyección de prompts, envenenamiento de herramientas, secuestro de sesiones, ataques de delegado confundido, vulnerabilidades de paso de tokens y modificación dinámica de capacidades.
Esta lección explora los riesgos de seguridad más críticos en implementaciones MCP—cubriendo autenticación, autorización, permisos excesivos, inyección indirecta de prompts, seguridad de sesiones, problemas de delegado confundido, gestión de tokens y vulnerabilidades en la cadena de suministro. Aprenderás controles prácticos y mejores prácticas para mitigar estos riesgos mientras aprovechas soluciones Microsoft como Prompt Shields, Azure Content Safety y GitHub Advanced Security para fortalecer tu despliegue MCP.
Al final de esta lección, podrás:
- Identificar Amenazas Específicas de MCP: Reconocer riesgos de seguridad únicos en sistemas MCP, incluyendo inyección de prompts, envenenamiento de herramientas, permisos excesivos, secuestro de sesiones, problemas de delegado confundido, vulnerabilidades de paso de tokens y riesgos en la cadena de suministro
- Aplicar Controles de Seguridad: Implementar mitigaciones efectivas que incluyen autenticación robusta, acceso con mínimo privilegio, gestión segura de tokens, controles de seguridad de sesiones y verificación de cadena de suministro
- Aprovechar Soluciones de Seguridad de Microsoft: Entender y desplegar Microsoft Prompt Shields, Azure Content Safety y GitHub Advanced Security para la protección de cargas de trabajo MCP
- Validar la Seguridad de Herramientas: Reconocer la importancia de la validación de metadatos de herramientas, monitoreo para cambios dinámicos y defensa contra ataques indirectos de inyección de prompts
- Integrar Mejores Prácticas: Combinar fundamentos establecidos de seguridad (codificación segura, endurecimiento de servidores, modelo de zero trust) con controles específicos MCP para una protección integral
Las implementaciones modernas de MCP requieren enfoques de seguridad en capas que aborden tanto la seguridad tradicional del software como las amenazas específicas de IA. La especificación MCP, que evoluciona rápidamente, continúa madurando sus controles de seguridad, permitiendo una mejor integración con arquitecturas de seguridad empresariales y mejores prácticas establecidas.
La investigación del Informe de Defensa Digital de Microsoft demuestra que el 98% de las brechas reportadas se prevendrían con una higiene de seguridad robusta. La estrategia de protección más efectiva combina prácticas de seguridad fundamentales con controles específicos MCP—las medidas base probadas siguen siendo las más impactantes para reducir el riesgo general de seguridad.
Nota: Esta información refleja los estándares de seguridad MCP a partir del 5 de febrero de 2026, alineada con la Especificación MCP 2025-11-25. El protocolo MCP continúa su rápida evolución, y futuras implementaciones pueden introducir nuevos patrones de autenticación y controles mejorados. Consulta siempre la actual Especificación MCP, el repositorio MCP en GitHub y la documentación de mejores prácticas de seguridad para la guía más reciente.
Para entrenamiento práctico en seguridad, recomendamos ampliamente el MCP Security Summit Workshop (Sherpa): una expedición guiada integral para asegurar servidores MCP en Microsoft Azure.
El MCP Security Summit Workshop ofrece capacitación práctica y accionable en seguridad a través de una metodología probada "vulnerable → explotar → corregir → validar". En él:
- Aprenderás Rompiendo Sistemas: Experimenta vulnerabilidades explotando servidores intencionalmente inseguros
- Usarás Seguridad Nativa de Azure: Aprovecha Azure Entra ID, Key Vault, API Management y AI Content Safety
- Seguirás Defensa en Profundidad: Avanza por campamentos construyendo capas de seguridad integrales
- Aplicarás Estándares OWASP: Cada técnica se mapea con la Guía de Seguridad MCP Azure OWASP
- Obtendrás Código de Producción: Saldrás con implementaciones funcionales y testeadas
| Campamento | Enfoque | Riesgos OWASP Cubiertos |
|---|---|---|
| Campamento Base | Fundamentos MCP y vulnerabilidades de autenticación | MCP01, MCP07 |
| Campamento 1: Identidad | OAuth 2.1, Azure Managed Identity, Key Vault | MCP01, MCP02, MCP07 |
| Campamento 2: Gateway | API Management, Endpoints Privados, gobernanza | MCP02, MCP07, MCP09 |
| Campamento 3: Seguridad de I/O | Inyección de prompts, protección de PII, seguridad de contenido | MCP03, MCP05, MCP06 |
| Campamento 4: Monitorización | Log Analytics, paneles, detección de amenazas | MCP08 |
| La Cumbre | Prueba de integración Red Team / Blue Team | Todos |
Comienza Aquí: https://azure-samples.github.io/sherpa/
La Guía de Seguridad MCP Azure OWASP detalla los diez riesgos de seguridad más críticos para implementaciones MCP:
| Riesgo | Descripción | Mitigación en Azure |
|---|---|---|
| MCP01 | Mala gestión de tokens y exposición de secretos | Azure Key Vault, Managed Identity |
| MCP02 | Escalación de privilegios vía incremento de scopes | RBAC, Acceso condicional |
| MCP03 | Envenenamiento de herramientas | Validación de herramientas, verificación de integridad |
| MCP04 | Ataques a la cadena de suministro | GitHub Advanced Security, escaneo de dependencias |
| MCP05 | Inyección y ejecución de comandos | Validación de entrada, sandboxing |
| MCP06 | Inyección de prompts vía cargas contextuales | Azure AI Content Safety, Prompt Shields |
| MCP07 | Autenticación y autorización insuficientes | Azure Entra ID, OAuth 2.1 con PKCE |
| MCP08 | Falta de auditoría y telemetría | Azure Monitor, Application Insights |
| MCP09 | Servidores MCP "ombra" | Gobernanza en API Center, aislamiento de red |
| MCP10 | Inyección de contexto y sobre-exposición | Clasificación de datos, exposición mínima |
La especificación MCP ha evolucionado significativamente en su enfoque de autenticación y autorización:
- Enfoque Original: Especificaciones tempranas requerían que desarrolladores implementaran servidores de autenticación personalizados, con servidores MCP actuando como Servidores de Autorización OAuth 2.0 que gestionaban la autenticación de usuarios directamente
- Estándar Actual (2025-11-25): La especificación actualizada permite que servidores MCP deleguen la autenticación a proveedores externos de identidad (como Microsoft Entra ID), mejorando la postura de seguridad y reduciendo la complejidad de implementación
- Seguridad en la Capa de Transporte: Soporte mejorado para mecanismos de transporte seguro con patrones apropiados de autenticación tanto para conexiones locales (STDIO) como remotas (HTTP Streamable)
Las implementaciones modernas de MCP enfrentan varios desafíos en autenticación y autorización:
- Lógica de Autorización Mal Configurada: Implementación defectuosa en servidores MCP puede exponer datos sensibles y aplicar controles de acceso incorrectamente
- Compromiso de Tokens OAuth: Robo de tokens en servidores MCP locales permite a atacantes suplantar servidores y acceder a servicios descendentes
- Vulnerabilidades de Paso de Tokens: Manejo inapropiado de tokens crea bypasses de controles de seguridad y brechas en la rendición de cuentas
- Permisos Excesivos: Servidores MCP con privilegios excesivos violan el principio de mínimo privilegio y amplían la superficie de ataque
El paso de tokens está explícitamente prohibido en la especificación actual de autorización MCP debido a severas implicaciones de seguridad:
- Servidores MCP y APIs descendentes implementan controles críticos (limitación de tasa, validación de solicitudes, monitoreo de tráfico) que dependen de la validación correcta de tokens
- Uso directo de tokens cliente a API omite estas protecciones esenciales, minando la arquitectura de seguridad
- Servidores MCP no pueden distinguir entre clientes usando tokens emitidos aguas arriba, rompiendo rastros de auditoría
- Los registros del servidor de recursos muestran orígenes de solicitudes engañosos en lugar de los intermediarios MCP reales
- La investigación de incidentes y auditoría de cumplimiento se complican significativamente
- Reclamaciones de tokens no validadas permiten a actores maliciosos con tokens robados usar servidores MCP como proxies para exfiltración de datos
- Violaciones en límites de confianza permiten patrones de acceso no autorizados que evaden controles de seguridad previstos
- Tokens comprometidos aceptados por múltiples servicios permiten movimientos laterales a través de sistemas conectados
- Suposiciones de confianza entre servicios pueden violarse si no se puede verificar el origen de tokens
Requisitos Críticos de Seguridad:
OBLIGATORIO: Los servidores MCP NO DEBEN aceptar ningún token que no haya sido emitido explícitamente para el servidor MCP
-
Revisión Exhaustiva de Autorización: Realizar auditorías completas de la lógica de autorización para asegurar que sólo los usuarios y clientes previstos puedan acceder a recursos sensibles
- Guía de Implementación: Azure API Management como puerta de autenticación para servidores MCP
- Integración de Identidad: Uso de Microsoft Entra ID para autenticación de servidores MCP
-
Gestión Segura de Tokens: Implementar las mejores prácticas de validación y ciclo de vida de tokens de Microsoft
- Validar que los claims de audiencia del token coincidan con la identidad del servidor MCP
- Implementar rotación y políticas de expiración adecuadas
- Prevenir ataques de repetición y uso no autorizado de tokens
-
Almacenamiento Protegido de Tokens: Asegurar almacenamiento de tokens cifrados en reposo y en tránsito
- Mejores Prácticas: Guía de almacenamiento y cifrado seguro de tokens
-
Principio de Mínimo Privilegio: Otorgar a servidores MCP sólo los permisos mínimos necesarios para la funcionalidad prevista
- Revisiones regulares de permisos para evitar acumulación excesiva
- Documentación Microsoft: Acceso seguro con mínimo privilegio
-
Control de Acceso Basado en Roles (RBAC): Implementar asignaciones granulares de roles
- Limitar el alcance de roles a recursos y acciones específicas
- Evitar permisos amplios o innecesarios que amplían la superficie de ataque
-
Monitoreo Continuo de Permisos: Implementar auditorías y monitoreo de acceso en curso
- Vigilar patrones de uso de permisos para detectar anomalías
- Remediar rápidamente privilegios excesivos o no usados
Las implementaciones modernas de MCP enfrentan vectores de ataque sofisticados específicos de IA que las medidas tradicionales de seguridad no pueden cubrir completamente:
La Inyección Indirecta de Prompts representa una de las vulnerabilidades críticas en sistemas de IA habilitados para MCP. Los atacantes incrustan instrucciones maliciosas dentro de contenido externo—documentos, páginas web, correos electrónicos o fuentes de datos—que los sistemas de IA luego procesan como comandos legítimos.
Escenarios de Ataque:
- Inyección basada en documentos: Instrucciones maliciosas ocultas en documentos procesados que disparan acciones no deseadas de la IA
- Explotación de contenido web: Páginas web comprometidas que contienen prompts incrustados que manipulan el comportamiento de la IA al ser raspadas
- Ataques por correo electrónico: Prompts maliciosos en emails que hacen que asistentes IA filtren información o ejecuten acciones no autorizadas
- Contaminación de fuentes de datos: Bases de datos o APIs comprometidas que sirven contenido contaminado a sistemas de IA
Impacto Real: Estos ataques pueden resultar en exfiltración de datos, brechas de privacidad, generación de contenido dañino y manipulación de interacciones de usuario. Para un análisis detallado, consulta Inyección de Prompts en MCP (Simon Willison).
El Envenenamiento de Herramientas ataca los metadatos que definen las herramientas MCP, explotando cómo los LLM interpretan descripciones y parámetros de herramientas para tomar decisiones de ejecución.
Mecanismos de Ataque:
- Manipulación de metadatos: Atacantes inyectan instrucciones maliciosas en descripciones de herramientas, definiciones de parámetros o ejemplos de uso
- Instrucciones invisibles: Prompts ocultos en metadatos de herramientas que son procesados por modelos de IA pero invisibles a usuarios humanos
- Modificación dinámica de herramientas ("Rug Pulls"): Herramientas aprobadas por usuarios que son modificadas después para realizar acciones maliciosas sin conocimiento del usuario
- Inyección de parámetros: Contenido malicioso incrustado en esquemas de parámetros de herramientas que influye en el comportamiento del modelo
Riesgos en Servidores Alojados: Servidores MCP remotos presentan riesgos elevados porque las definiciones de herramientas pueden actualizarse tras aprobación inicial del usuario, creando escenarios donde herramientas previamente seguras se vuelven maliciosas. Para análisis exhaustivo, consulta Ataques de Envenenamiento de Herramientas (Invariant Labs).
- Inyección de Prompts entre Dominios (XPIA): Ataques sofisticados que aprovechan contenido de múltiples dominios para eludir controles de seguridad
- Modificación Dinámica de Capacidades: Cambios en tiempo real en las capacidades de las herramientas que escapan a las evaluaciones de seguridad iniciales
- Envenenamiento de la Ventana de Contexto: Ataques que manipulan ventanas de contexto grandes para ocultar instrucciones maliciosas
- Ataques de Confusión del Modelo: Explotación de limitaciones del modelo para crear comportamientos impredecibles o inseguros
Consecuencias de Alto Impacto:
- Exfiltración de Datos: Acceso no autorizado y robo de datos confidenciales empresariales o personales
- Violaciones de Privacidad: Exposición de información personal identificable (PII) y datos comerciales confidenciales
- Manipulación del Sistema: Modificaciones no intencionadas en sistemas y flujos de trabajo críticos
- Robo de Credenciales: Compromiso de tokens de autenticación y credenciales de servicio
- Movimiento Lateral: Uso de sistemas de IA comprometidos como pivotes para ataques más amplios en la red
Microsoft AI Prompt Shields proporciona defensa integral contra ataques de inyección en prompts, tanto directos como indirectos, mediante múltiples capas de seguridad:
-
Detección y Filtrado Avanzados
- Algoritmos de aprendizaje automático y técnicas de PLN que detectan instrucciones maliciosas en contenido externo
- Análisis en tiempo real de documentos, páginas web, correos electrónicos y fuentes de datos para amenazas embebidas
- Comprensión contextual de patrones legítimos versus maliciosos en prompts
-
Técnicas de Spotlighting
- Distingue entre instrucciones de sistema confiables e inputs externos potencialmente comprometidos
- Métodos de transformación de texto que mejoran la relevancia del modelo mientras aíslan contenido malicioso
- Ayuda a los sistemas de IA a mantener una jerarquía de instrucciones adecuada e ignorar comandos inyectados
-
Sistemas de Delimitadores y Marcas de Datos
- Definición explícita de límites entre mensajes de sistema confiables y texto de entrada externa
- Marcadores especiales que resaltan los límites entre fuentes de datos confiables y no confiables
- Separación clara que previene confusión de instrucciones y ejecución no autorizada de comandos
-
Inteligencia Continua de Amenazas
- Microsoft monitorea continuamente patrones de ataque emergentes y actualiza las defensas
- Búsqueda proactiva de amenazas para nuevas técnicas de inyección y vectores de ataque
- Actualizaciones regulares del modelo de seguridad para mantener efectividad contra amenazas en evolución
-
Integración con Azure Content Safety
- Parte de la suite integral Azure AI Content Safety
- Detección adicional para intentos de jailbreak, contenido dañino y violaciones de políticas de seguridad
- Controles de seguridad unificados en todos los componentes de la aplicación de IA
Recursos de Implementación: Documentación de Microsoft Prompt Shields
El secuestro de sesión representa un vector de ataque crítico en implementaciones stateful de MCP, donde partes no autorizadas obtienen y abusan de identificadores de sesión legítimos para hacerse pasar por clientes y realizar acciones no autorizadas.
- Inyección de Prompt con Secuestro de Sesión: Atacantes con IDs de sesión robados inyectan eventos maliciosos en servidores que comparten estado de sesión, potencialmente desencadenando acciones dañinas o accediendo a datos sensibles
- Suplantación Directa: IDs de sesión robados permiten llamadas directas al servidor MCP que evaden autenticación, tratando al atacante como usuario legítimo
- Streams Reanudables Comprometidos: Atacantes pueden terminar solicitudes prematuramente, causando que clientes legítimos reanuden con contenido potencialmente malicioso
Requisitos Críticos:
- Verificación de Autorización: Los servidores MCP que implementen autorización DEBEN verificar TODAS las solicitudes entrantes y NO DEBEN depender de sesiones para autenticación
- Generación Segura de Sesiones: Uso de IDs de sesión no determinísticos y criptográficamente seguros, generados con generadores de números aleatorios seguros
- Vinculación Específica de Usuario: Vincular IDs de sesión a información específica del usuario usando formatos como
<user_id>:<session_id>para prevenir abuso entre usuarios - Gestión del Ciclo de Vida de Sesiones: Implementar expiración, rotación e invalidación adecuadas para limitar ventanas de vulnerabilidad
- Seguridad en el Transporte: HTTPS obligatorio para toda comunicación para prevenir intercepción de IDs de sesión
El problema del representante confundido ocurre cuando servidores MCP actúan como proxies de autenticación entre clientes y servicios de terceros, creando oportunidades para eludir autorizaciones mediante la explotación de IDs de cliente estáticos.
- Evasión de Consentimiento Basada en Cookies: La autenticación previa del usuario crea cookies de consentimiento que los atacantes explotan mediante solicitudes de autorización maliciosas con URIs de redireccionamiento manipuladas
- Robo de Código de Autorización: Las cookies de consentimiento existentes pueden hacer que servidores de autorización omitan pantallas de consentimiento y redirijan códigos a endpoints controlados por el atacante
- Acceso No Autorizado a API: Códigos de autorización robados permiten intercambio de tokens y suplantación de usuario sin aprobación explícita
Controles Obligatorios:
- Requerimiento de Consentimiento Explícito: Los servidores proxy MCP que usen IDs de cliente estáticos DEBEN obtener consentimiento del usuario para cada cliente registrado dinámicamente
- Implementación de Seguridad OAuth 2.1: Seguir las mejores prácticas actuales de seguridad OAuth incluyendo PKCE para todas las solicitudes de autorización
- Validación Estricta de Cliente: Implementar validación rigurosa de URIs de redireccionamiento e identificadores de cliente para prevenir explotación
El reenvío de tokens representa un anti-patrón explícito donde servidores MCP aceptan tokens de cliente sin la validación adecuada y los reenvían a APIs descendentes, violando las especificaciones de autorización MCP.
- Circunvención de Control: Uso directo de tokens de cliente a API evade controles críticos como limitación de tasa, validación y monitoreo
- Corrupción del Rastro de Auditoría: Tokens emitidos upstream hacen imposible la identificación del cliente, rompiendo capacidades de investigación de incidentes
- Exfiltración de Datos Basada en Proxy: Tokens no validados permiten que actores maliciosos usen servidores como proxies para acceso no autorizado a datos
- Violaciones de Límite de Confianza: Las suposiciones de confianza de servicios downstream pueden ser violadas cuando no se puede verificar el origen del token
- Expansión de Ataques Multi-servicio: Tokens comprometidos aceptados en múltiples servicios permiten movimiento lateral
Requisitos Innegociables:
- Validación de Tokens: Servidores MCP NO DEBEN aceptar tokens no emitidos explícitamente para el servidor MCP
- Verificación de Audiencia: Siempre validar que las declaraciones de audiencia del token coincidan con la identidad del servidor MCP
- Ciclo de Vida Adecuado de Tokens: Implementar tokens de acceso de corta duración con prácticas seguras de rotación
La seguridad de la cadena de suministro ha evolucionado más allá de dependencias tradicionales de software para abarcar todo el ecosistema de IA. Las implementaciones modernas de MCP deben verificar y monitorear rigurosamente todos los componentes relacionados con IA, ya que cada uno introduce vulnerabilidades potenciales que podrían comprometer la integridad del sistema.
Dependencias Tradicionales de Software:
- Bibliotecas y frameworks de código abierto
- Imágenes de contenedores y sistemas base
- Herramientas de desarrollo y pipelines de construcción
- Componentes y servicios de infraestructura
Elementos Específicos de la Cadena de Suministro de IA:
- Modelos Fundamentales: Modelos preentrenados de varios proveedores que requieren verificación de procedencia
- Servicios de Embedding: Servicios externos de vectorización y búsqueda semántica
- Proveedores de Contexto: Fuentes de datos, bases de conocimiento y repositorios de documentos
- APIs de Terceros: Servicios externos de IA, pipelines de ML y endpoints de procesamiento de datos
- Artefactos de Modelos: Pesos, configuraciones y variantes de modelos ajustados
- Fuentes de Datos para Entrenamiento: Conjuntos de datos usados para entrenamiento y ajuste fino
- Validación de Procedencia: Verificar origen, licenciamiento e integridad de todos los componentes de IA antes de la integración
- Evaluación de Seguridad: Realizar escaneos de vulnerabilidades y revisiones de seguridad para modelos, fuentes de datos y servicios de IA
- Análisis de Reputación: Evaluar historial de seguridad y prácticas de proveedores de servicios de IA
- Verificación de Cumplimiento: Asegurar que todos los componentes cumplan con requisitos organizacionales, de seguridad y regulatorios
- Seguridad Automatizada CI/CD: Integrar escaneo de seguridad a lo largo de pipelines de despliegue automatizados
- Integridad de Artefactos: Implementar verificación criptográfica para todos los artefactos desplegados (código, modelos, configuraciones)
- Despliegue por Etapas: Usar estrategias de despliegue progresivas con validación de seguridad en cada etapa
- Repositorios de Artefactos Confiables: Desplegar solo desde registries y repositorios verificados y seguros
- Escaneo de Dependencias: Monitoreo constante de vulnerabilidades para todas las dependencias de software y componentes de IA
- Monitoreo de Modelos: Evaluación continua del comportamiento del modelo, deriva de rendimiento y anomalías de seguridad
- Seguimiento de Salud del Servicio: Monitoreo de servicios externos de IA para disponibilidad, incidentes de seguridad y cambios de políticas
- Integración de Inteligencia de Amenazas: Incorporar feeds de amenazas específicos para riesgos de seguridad en IA y ML
- Permisos a Nivel de Componente: Restringir acceso a modelos, datos y servicios basado en necesidad de negocio
- Gestión de Cuentas de Servicio: Implementar cuentas de servicio dedicadas con permisos mínimos necesarios
- Segmentación de Red: Aislar componentes de IA y limitar acceso de red entre servicios
- Controles de API Gateway: Usar gateways de API centralizadas para controlar y monitorear acceso a servicios externos de IA
- Procedimientos de Respuesta Rápida: Procesos establecidos para parchear o reemplazar componentes de IA comprometidos
- Rotación de Credenciales: Sistemas automáticos para rotar secretos, claves API y credenciales de servicio
- Capacidades de Reversión: Habilidad para revertir rápidamente a versiones conocidas buenas de componentes de IA
- Recuperación de Brechas en Cadena de Suministro: Procedimientos específicos para responder a compromisos de servicios de IA upstream
GitHub Advanced Security proporciona protección integral de la cadena de suministro incluyendo:
- Escaneo de Secretos: Detección automática de credenciales, claves API y tokens en repositorios
- Escaneo de Dependencias: Evaluación de vulnerabilidades para dependencias y bibliotecas open-source
- Análisis CodeQL: Análisis estático de código para vulnerabilidades de seguridad y problemas de codificación
- Perspectivas de la Cadena de Suministro: Visibilidad sobre salud y estado de seguridad de dependencias
Integración con Azure DevOps y Azure Repos:
- Integración fluida de escaneo de seguridad en plataformas de desarrollo Microsoft
- Revisiones de seguridad automatizadas en Azure Pipelines para cargas de trabajo de IA
- Aplicación de políticas para despliegue seguro de componentes de IA
Prácticas Internas de Microsoft:
Microsoft implementa prácticas de seguridad extensas en cadena de suministro para todos sus productos. Más información en The Journey to Secure the Software Supply Chain at Microsoft.
Las implementaciones MCP heredan y construyen sobre la postura de seguridad existente de su organización. Fortalecer las prácticas de seguridad fundamentales mejora significativamente la seguridad global de sistemas de IA y despliegues MCP.
- Cumplimiento OWASP: Protección contra vulnerabilidades web OWASP Top 10
- Protectores Específicos para IA: Implementar controles para OWASP Top 10 para LLMs
- Gestión Segura de Secretos: Uso de vaults dedicados para tokens, claves API y datos de configuración sensibles
- Encriptación de Extremo a Extremo: Comunicaciones seguras en todos los componentes y flujos de datos de la aplicación
- Validación de Entradas: Validación rigurosa de todos los inputs de usuario, parámetros API y fuentes de datos
- Autenticación Multifactor (MFA): MFA obligatoria para todas las cuentas administrativas y de servicio
- Gestión de Parches: Aplicación automatizada y oportuna de parches para sistemas operativos, frameworks y dependencias
- Integración de Proveedores de Identidad: Gestión centralizada de identidad mediante proveedores empresariales (Microsoft Entra ID, Active Directory)
- Segmentación de Red: Aislamiento lógico de componentes MCP para limitar potencial de movimiento lateral
- Principio de Mínimo Privilegio: Permisos mínimos requeridos para todos los componentes y cuentas del sistema
- Registro Detallado (Logging): Registro detallado de actividades de aplicaciones IA, incluyendo interacciones cliente-servidor MCP
- Integración SIEM: Gestión centralizada de eventos e información de seguridad para detección de anomalías
- Analítica de Comportamiento: Monitoreo potenciado por IA para detectar patrones inusuales en comportamiento de sistema y usuarios
- Inteligencia de Amenazas: Integración de feeds externos de amenazas e indicadores de compromiso (IOCs)
- Respuesta a Incidentes: Procedimientos bien definidos para detección, respuesta y recuperación ante incidentes de seguridad
- Nunca Confiar, Siempre Verificar: Verificación continua de usuarios, dispositivos y conexiones de red
- Microsegmentación: Controles granulares de red que aíslan cargas de trabajo y servicios individuales
- Seguridad Centrada en Identidad: Políticas de seguridad basadas en identidades verificadas, no en ubicación de red
- Evaluación Continua de Riesgos: Evaluación dinámica de postura de seguridad basada en contexto y comportamiento actuales
- Acceso Condicional: Controles de acceso que se adaptan según factores de riesgo, ubicación y confianza del dispositivo
- Microsoft Defender for Cloud: Gestión integral de postura de seguridad en la nube
- Azure Sentinel: SIEM y SOAR nativos en la nube para protección de cargas de trabajo IA
- Microsoft Entra ID: Gestión empresarial de identidad y acceso con políticas de acceso condicional
- Azure Key Vault: Gestión centralizada de secretos con soporte de módulos de seguridad hardware (HSM)
- Microsoft Purview: Gobernanza de datos y cumplimiento para fuentes de datos IA y flujos de trabajo
- Alineación Regulatoria: Asegurar que implementaciones MCP cumplen con requisitos específicos de cumplimiento (GDPR, HIPAA, SOC 2)
- Clasificación de Datos: Categorías y manejo correcto de datos sensibles procesados por sistemas IA
- Rastros de Auditoría: Registro integral para cumplimiento regulatorio e investigación forense
- Controles de Privacidad: Implementación de principios de privacidad por diseño en la arquitectura de sistemas IA
- Gestión de Cambios: Procesos formales para revisiones de seguridad en modificaciones de sistemas IA
Estas prácticas fundamentales crean una base robusta de seguridad que mejora la efectividad de los controles de seguridad específicos MCP y provee protección integral para aplicaciones impulsadas por IA.
-
Enfoque de Seguridad en Capas: Combine prácticas básicas de seguridad (codificación segura, privilegios mínimos, verificación de la cadena de suministro, monitoreo continuo) con controles específicos para IA para una protección integral
-
Paisaje de Amenazas Específicas de IA: Los sistemas MCP enfrentan riesgos únicos que incluyen inyección de prompt, envenenamiento de herramientas, secuestro de sesión, problemas de agente confundido, vulnerabilidades de paso de tokens y permisos excesivos que requieren mitigaciones especializadas
-
Excelencia en Autenticación y Autorización: Implemente una autenticación robusta usando proveedores de identidad externos (Microsoft Entra ID), haga cumplir la validación adecuada de tokens y nunca acepte tokens que no estén explícitamente emitidos para su servidor MCP
-
Prevención de Ataques de IA: Despliegue Microsoft Prompt Shields y Azure Content Safety para defenderse contra ataques indirectos de inyección de prompt y envenenamiento de herramientas, mientras valida metadatos de herramientas y monitorea cambios dinámicos
-
Seguridad de Sesiones y Transporte: Utilice IDs de sesión criptográficamente seguros y no deterministas vinculados a identidades de usuario, implemente una gestión adecuada del ciclo de vida de la sesión y nunca use sesiones para autenticación
-
Mejores Prácticas de Seguridad OAuth: Prevenga ataques de agente confundido mediante consentimiento explícito del usuario para clientes registrados dinámicamente, implementación correcta de OAuth 2.1 con PKCE y validación estricta del URI de redirección
-
Principios de Seguridad de Tokens: Evite patrones anti-paso de tokens, valide las claims de audiencia del token, implemente tokens de corta duración con rotación segura y mantenga límites de confianza claros
-
Seguridad Integral de la Cadena de Suministro: Trate todos los componentes del ecosistema IA (modelos, embeddings, proveedores de contexto, APIs externas) con el mismo rigor de seguridad que las dependencias de software tradicionales
-
Evolución Continua: Manténgase actualizado con las especificaciones MCP que evolucionan rápidamente, contribuya a los estándares de la comunidad de seguridad y mantenga posturas de seguridad adaptativas conforme el protocolo madura
-
Integración de Seguridad Microsoft: Aproveche el ecosistema integral de seguridad de Microsoft (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) para una mayor protección en el despliegue MCP
- Especificación MCP (Actual: 2025-11-25)
- Mejores Prácticas de Seguridad MCP
- Especificación de Autorización MCP
- Repositorio MCP GitHub
- Guía de Seguridad Azure MCP OWASP - Top 10 OWASP MCP completo con guía de implementación en Azure
- Top 10 MCP OWASP - Riesgos oficiales de seguridad MCP de OWASP
- Taller MCP Security Summit (Sherpa) - Entrenamiento práctico de seguridad para MCP en Azure
- Mejores Prácticas de Seguridad OAuth 2.0 (RFC 9700)
- Top 10 OWASP de Seguridad en Aplicaciones Web
- Top 10 OWASP para Modelos de Lenguaje Grande
- Informe Microsoft de Defensa Digital
- Inyección de Prompt en MCP (Simon Willison)
- Ataques de Envenenamiento de Herramientas (Invariant Labs)
- Informe de Investigación de Seguridad MCP (Wiz Security)
- Documentación Microsoft Prompt Shields
- Servicio Azure Content Safety
- Seguridad Microsoft Entra ID
- Mejores Prácticas en Gestión de Tokens Azure
- GitHub Advanced Security
- Azure API Management como Gateway de Autenticación MCP
- Autenticación Microsoft Entra ID con Servidores MCP
- Almacenamiento y Encriptación Segura de Tokens (Video)
- Seguridad Azure DevOps
- Seguridad Azure Repos
- Trayectoria de Seguridad en la Cadena de Suministro Microsoft
Para orientación de seguridad detallada, consulte estos documentos especializados en esta sección:
- Mejores Prácticas de Seguridad MCP 2025 - Mejores prácticas completas para implementaciones MCP
- Implementación Azure Content Safety - Ejemplos prácticos para integración de Azure Content Safety
- Controles de Seguridad MCP 2025 - Controles y técnicas de seguridad más recientes para despliegues MCP
- Referencia Rápida de Mejores Prácticas MCP - Guía rápida de prácticas esenciales de seguridad MCP
- Taller MCP Security Summit (Sherpa) - Taller práctico completo para asegurar servidores MCP en Azure con campamentos progresivos desde Base Camp hasta Summit
- Guía de Seguridad Azure MCP OWASP - Arquitectura de referencia y guía de implementación para todos los riesgos del Top 10 OWASP MCP
Siguiente: Capítulo 3: Primeros Pasos
Aviso legal: Este documento ha sido traducido utilizando el servicio de traducción automática Co-op Translator. Aunque nos esforzamos por la precisión, tenga en cuenta que las traducciones automáticas pueden contener errores o inexactitudes. El documento original en su idioma nativo debe considerarse la fuente autorizada. Para información crítica, se recomienda la traducción profesional realizada por un humano. No nos hacemos responsables de malentendidos o interpretaciones erróneas derivadas del uso de esta traducción.