MCP hará que los servidores trabajen en vacío; las tareas de IA en segundo plano podrían provocar fallos masivos
La actualización pensada para reforzar la seguridad terminó generando nuevos riesgos.
Las integraciones de IA rápidamente superan los experimentos locales, y la nueva especificación del Model Context Protocol cambia la lógica misma de la protección de esos sistemas. Los especialistas de Akamai informaron, que el 28 de julio de 2026 el MCP debe pasar a una arquitectura corporativa sin sesiones persistentes, y con ello parte de las decisiones clave de seguridad pasará definitivamente a los desarrolladores de servidores y plataformas.
Se trata del mayor cambio del protocolo desde su aparición. MCP comenzó como una herramienta para conectar aplicaciones de IA con servicios y datos locales, pero ahora se prepara para implementaciones en la nube a escala empresarial. Tras la publicación de la versión preliminar de la especificación del 21 de mayo, la versión final debe publicarse el 28 de julio, tras lo cual en el plazo de 12 meses se descontinuará oficialmente el soporte de algunas funciones obsoletas.
La actualización elimina varios riesgos anteriores a nivel del propio protocolo. En versiones antiguas, las sesiones de larga duración con el identificador Mcp-Session-Id podían ser objetivo de intercepción, ya que el acceso a ese identificador permitía suplantar al usuario. La nueva arquitectura renuncia a esas sesiones. Además, los servidores ya no podrán enviar arbitrariamente a los clientes solicitudes inesperadas a través de Server-Sent Events, y la autenticación pasa a requisitos más estrictos de OAuth 2.1 con mecanismos de protección modernos.
Al mismo tiempo, la renuncia al estado persistente crea un nuevo problema. En escenarios corporativos complejos, las tareas de IA a menudo se desarrollan en varias etapas, esperan aclaraciones, pausas o la aprobación de una persona. Ahora el servidor transmite al cliente identificadores y objetos de estado, y el cliente los devuelve al continuar el trabajo. Si el desarrollador usa identificadores previsibles o no verifica la integridad de los datos, un atacante podrá sustituir el estado, interceptar un proceso ajeno o iniciar una acción en otro entorno cliente.
Otro riesgo está relacionado con el objeto _meta, mediante el cual el cliente puede añadir datos de servicio arbitrarios a los mensajes MCP. Si el servidor empieza a confiar en esos campos al enrutar o verificar permisos, valores falsos como la marca de administrador pueden conducir a una escalada de privilegios o al acceso a datos ajenos. Los nuevos encabezados HTTP de MCP también requieren un manejo cuidadoso, ya que las discrepancias entre los encabezados y el cuerpo de la solicitud pueden confundir a proxies y servidores, y sacar parámetros sensibles a los encabezados aumenta el riesgo de filtración a través de registros e infraestructura intermedia.
La especificación también consagra las MCP Apps, paneles interactivos dentro de las aplicaciones de IA. Esa interfaz resulta útil para formularios, paneles de control y visualización de documentos, pero traslada al entorno de IA los riesgos web habituales, incluyendo el XSS almacenado. Incluso al ejecutar código en un iframe aislado, un panel malicioso puede mostrar solicitudes falsas, recopilar datos visibles en la interfaz y enviar información al atacante.
Las tareas largas en segundo plano añaden el riesgo de denegación de servicio. El cliente puede iniciar de forma barata un proceso que consuma muchos recursos y desconectarse, mientras el servidor sigue gastando tiempo de CPU, memoria o espacio en la base de datos. Para reducir el riesgo, Akamai recomienda considerar todos los datos de estado y metadatos recibidos del cliente como no confiables, verificarlos criptográficamente, codificar la salida en los paneles visuales de las aplicaciones MCP y establecer cuotas estrictas para las tareas asíncronas.