mcprepo.ai

Publicado el

- 15 min read

Una guía práctica para auditorías de seguridad y cumplimiento de MCP

#seguridad MCP #cumplimiento #auditoría de seguridad #desarrollo seguro #protección de datos
Imagen de Una guía práctica para auditorías de seguridad y cumplimiento de MCP

Guía práctica para auditorías de seguridad y cumplimiento de MCP

Las auditorías de seguridad en repositorios de model_context_protocol (MCP) ya no son algo “agradable tener”. Si tus herramientas MCP manipulan datos reales o están en algún punto cerca de sistemas en producción, te auditarán: tu propio equipo de seguridad, clientes o reguladores.

Esta guía explica cómo prepararte, qué buscan los auditores y cómo diseñar repositorios MCP para que las auditorías sean rutinarias en lugar de dolorosas.

1. Por qué las auditorías de seguridad de MCP importan ahora

MCP ha cambiado la forma en que los equipos conectan aplicaciones con sistemas de IA: en lugar de código pegamento frágil, expones herramientas, fuentes de datos y flujos de trabajo a través de servidores y repositorios MCP bien definidos.

Eso también significa:

  • Más acceso automatizado a APIs internas y bases de datos
  • Más vías desde una interfaz de chat hacia infraestructuras críticas
  • Más riesgo si un servidor MCP está mal configurado o comprometido

Los auditores ven MCP como una nueva superficie de ataque. Preguntarán:

  • ¿Qué puede hacer realmente este repositorio MCP?
  • ¿Quién puede activar esas herramientas y desde dónde?
  • ¿Cómo se protege la información en tránsito y en reposo?
  • ¿Cómo detectáis y respondéis al uso indebido o compromiso?

Si diseñas tus repositorios MCP con estas preguntas en mente, ya estás a mitad de camino hacia el cumplimiento.

2. Mapea la superficie de ataque de MCP antes que nadie

Una auditoría de seguridad siempre empieza por entender el alcance. Para MCP, eso significa mapear la superficie de ataque de cada repositorio.

2.1 Haz inventario de tus repositorios MCP

Crea un inventario vivo de repositorios MCP:

  • Nombre del repositorio y propósito
  • Propietario (equipo, contacto de escalado)
  • Entornos (dev, staging, prod)
  • Sistemas conectados (bases de datos, APIs internas, SaaS de terceros)
  • Herramientas y capacidades soportadas

Mantenlo en control de versiones y enlázalo desde la documentación principal del repositorio MCP. Durante una auditoría esto se convierte en tu primera línea de defensa contra la confusión y el sobredimensionamiento del alcance.

2.2 Construye un modelo de amenazas a nivel de herramienta

Para cada herramienta expuesta vía MCP, documenta:

  • Entradas: parámetros, tipos, rangos permitidos
  • Salidas: ¿datos sensibles? ¿tokens? ¿IDs internos?
  • Efectos secundarios: crea registros, envía correos, modifica configuraciones, inicia pagos, etc.
  • Autenticación: ¿qué credenciales se usan (cuentas de servicio, OAuth, claves API)?
  • Autorización: ¿qué principio decide quién puede llamar a esta herramienta con qué parámetros?

A partir de ahí, esboza amenazas típicas:

  • Exfiltración de datos mediante una herramienta de “leer todo”
  • Escalada de privilegios vía herramientas que aceptan IDs arbitrarios o SQL crudo
  • Abuso de herramientas “admin” o de “mantenimiento” que no estaban pensadas para cadenas automatizadas
  • Uso indebido impulsado por prompts (el LLM decide encadenar herramientas de formas inesperadas)

No necesitas un documento de 50 páginas. Incluso un único archivo de modelo de amenazas por repositorio (p. ej., SECURITY_THREATS.md) con puntos breves es un gran acierto en una auditoría.

3. Diseña repositorios MCP para el principio de menor privilegio

Los auditores se centrarán en quién puede hacer qué, desde dónde. El principio de menor privilegio es tu ancla.

3.1 Delimita las herramientas MCP de forma estrecha

Siempre que sea posible, evita herramientas genéricas de “hacer cualquier cosa”. En su lugar, expón capacidades específicas y de alto nivel:

  • En lugar de: run_sql(query: string)
    Usa:

    • get_user_profile(user_id: string)
    • list_active_subscriptions(user_id: string)

  • En lugar de: execute_shell(command: string)
    Usa:

    • rotate_log_files()
    • rebuild_search_index()

Si debes exponer herramientas de bajo nivel, aplica validación estricta de parámetros y listas de permitidos. En una auditoría, quieres mostrar:

  • “Esta herramienta solo puede ejecutar SELECT en esta base de datos de informes, nunca escrituras”
  • “Esta herramienta de mantenimiento tiene una lista de comandos hardcodeada y no puede usarse como shell genérico”

3.2 Aísla entornos y contextos

Los repositorios MCP a menudo sirven a múltiples clientes de modelos o productos. Resiste la tentación de compartir un único servidor potente entre todo.

Patrones que gustan en las revisiones de seguridad:

  • Servidores MCP separados por límite de confianza
    • Herramientas internas vs asistentes orientados a clientes
    • Producción vs entornos sandbox
  • Configuraciones específicas por entorno
    • Credenciales, secretos y flags de características diferentes para dev/stage/prod
    • Marcadores claros en logs y endpoints por entorno

A los auditores les gusta ver que una inyección de prompt en un asistente de bajo riesgo no pueda, de repente, tocar sistemas financieros de producción simplemente porque comparten un servidor MCP.

3.3 Recurre las credenciales y secretos

Problemas típicos de credenciales en repositorios MCP:

  • Claves API hardcodeadas en archivos de configuración
  • Cuentas de servicio compartidas entre herramientas y entornos
  • Permisos excesivos en usuarios de la base de datos

Mitigaciones y prácticas amigables para auditorías:

  • Usa un gestor de secretos (Vault, AWS Secrets Manager, GCP Secret Manager, etc.)
  • Mantén una matriz: herramienta → secretos → permisos → política de rotación
  • Aplica menor privilegio a nivel de credencial:
    • Cuentas DB de solo lectura para herramientas de lectura
    • Restringe acceso de red para herramientas con capacidad de escritura
    • Cuentas de servicio únicas por servidor, o por categoría de herramienta de alto riesgo

Si te preguntan “¿qué pasa si se compromete este servidor MCP?” quieres demostrar que el radio de impacto es pequeño y está claramente acotado.

4. Ciclo de vida de desarrollo seguro para repositorios MCP

Muchas organizaciones ya tienen alguna forma de ciclo de vida de desarrollo seguro (SDLC). La clave es integrar el trabajo MCP en ese ritmo en lugar de tratarlo como un proyecto aparte.

4.1 Revisión de código con foco en seguridad

Ajusta tus plantillas de pull request para repositorios MCP para incluir comprobaciones centradas en seguridad:

  • ¿Esta nueva herramienta expone datos sensibles o efectos secundarios potentes?
  • ¿Se validan y restringen las entradas?
  • ¿Los logs evitan filtrar secretos o datos personales?
  • ¿Reutiliza un modelo de permisos existente o crea uno nuevo silenciosamente?

Haz que “¿quién puede llamar esto y cómo lo sabemos?” sea una pregunta estándar en la revisión de código.

4.2 Análisis estático e higiene de dependencias

Aunque la lógica MCP sea relativamente pequeña, se ejecuta sobre una pila de librerías y frameworks.

Para repositorios MCP:

  • Habilita análisis estático apropiado para el lenguaje (Bandit, plugins de seguridad de ESLint, etc.)
  • Ejecuta escaneo de dependencias y mantén un registro de actualizaciones críticas
  • Evita añadir paquetes innecesarios solo para ahorrar unas líneas de código

Un auditor a menudo pedirá:

  • Un informe reciente de dependencias
  • Evidencia de que parcheáis vulnerabilidades dentro de un SLA definido
  • Políticas sobre el riesgo de dependencias transitivas

4.3 Gestión de cambios y aprobaciones

Tu proceso de gestión de cambios debe hacer visible el riesgo a nivel MCP:

  • Etiqueta o marca PRs “sensibles a seguridad” (por ejemplo, herramientas que tocan pagos, sistemas de auth o datos de clientes)
  • Requiere al menos un revisor con contexto de seguridad o propiedad en esas áreas
  • Ata los lanzamientos a tickets que describan el propósito del negocio y la clasificación del riesgo

Durante una auditoría, esto te permite mostrar no solo que hiciste algo de forma segura, sino que tenéis un proceso repetible y documentado.

5. Protección de datos: qué puede ver y almacenar MCP

La mayoría de estándares de cumplimiento giran en torno a los datos: cómo los recoges, mueves, almacenas y eliminas. Las herramientas MCP a menudo actúan como agregadores de datos, lo que puede ser arriesgado.

5.1 Clasifica los datos que tocan tus herramientas MCP

Revisa cada herramienta y etiqueta los datos que maneja:

  • Public – seguro para exposición amplia
  • Internal – no público pero de bajo riesgo
  • Confidential – sensible para el negocio o datos internos del cliente
  • Regulated – datos personales, sanitarios, financieros o cualquier cosa cubierta por una ley/estándar específico

Documenta esta clasificación en una tabla simple (p. ej., DATA_CLASSIFICATION.md). Se vuelve invaluable cuando los auditores preguntan: “¿Qué herramientas pueden acceder a datos personales?”

5.2 Controla los datos en tránsito y en reposo

Para servidores y repositorios MCP:

  • Fuerza TLS en todo el tráfico de red (interno y externo)
  • Usa suites de cifrado modernas y desactiva protocolos débiles
  • Asegura que cualquier almacenamiento persistente (bases de datos, discos, backups) esté cifrado en reposo
  • Revisa que logs y trazas no almacenen secretos en claro ni payloads completos de herramientas altamente sensibles

Si modelos o sistemas intermedios cachean respuestas MCP, trata ese caché como otra tienda de datos en el alcance de la auditoría.

5.3 Minimiza la retención y la exposición

Dos reglas prácticas:

  1. No almacenes lo que no necesites.

    • Evita el almacenamiento a largo plazo de cuerpos completos de petición/respuesta para herramientas sensibles.
    • Redacta o tokeniza campos que no necesites en los logs.

  2. Ventanas de retención cortas y documentadas.

    • Define retención clara por flujo de logs, por almacén de datos.
    • Implementa eliminación o archivado automático.

Los auditores suelen quedarse satisfechos si puedes mostrar: “Esta secuencia tiene retención de 7 días para troubleshooting; después se elimina automáticamente.”

6. Identidad, autenticación y autorización para MCP

La identidad y el control de acceso son centrales en las auditorías de MCP. La complejidad proviene de múltiples actores: usuarios, modelos de IA, orquestadores y servicios backend.

6.1 Sabe quién está llamando al servidor MCP

MCP suele ser llamado por:

  • Orquestadores o frameworks internos
  • Socios externos que integran tus herramientas
  • Múltiples asistentes con privilegios distintos

Quieres autenticación fuerte para cada uno de estos:

  • Mutual TLS para servicios internos
  • OAuth/OIDC para flujos iniciados por usuarios
  • Tokens de petición firmados o JWTs para orquestadores
  • Claves API solo si es estrictamente necesario, y vinculadas a ámbitos claros y límites de tasa

Mantén un mapeo: quién (o qué) puede llamar a qué servidor MCP o grupo de herramientas, y bajo qué esquema de autenticación.

6.2 Construye un modelo claro de autorización

Evita dispersar comprobaciones de autorización ad hoc por todo el código. Opciones que resisten bien en auditorías:

  • Control de acceso basado en políticas (p. ej., usando un motor de políticas central o librería compartida)
  • Control de acceso basado en roles (RBAC) donde cada rol está claramente definido y vinculado a funciones de negocio
  • Control de acceso basado en atributos (ABAC) para escenarios más complejos (p. ej., región del usuario, nivel de suscripción o dominio de datos)

Para cada herramienta de alto riesgo, deberías poder responder:

  • ¿Qué roles pueden llamarla?
  • ¿Cómo se aplica eso técnicamente?
  • ¿Dónde se almacenan las políticas y cómo se revisan?

6.3 Manejo del contexto de usuario final y delegación

Si las herramientas MCP actúan en nombre de usuarios finales específicos (p. ej., “reset my password” o “delete my account”), la conversación de auditoría girará hacia:

  • Impersonación y delegación – cómo confirmas que la sesión que llama está legítimamente asociada a ese usuario
  • Escopado – asegurar que la herramienta no pueda actuar accidentalmente sobre los datos de otros usuarios
  • Consentimiento y registro – ¿pueden los usuarios ver o solicitar registros de acciones realizadas en sus cuentas?

En muchos entornos esto se vincula directamente con privacidad y derechos de los interesados según la normativa.

7. Registro, monitorización y respuesta a incidentes

Un sistema conforme no solo es seguro en papel; es observable y recuperable.

7.1 Qué registrar desde los servidores MCP

Un buen logging MCP busca equilibrio: suficientes datos para investigar, pero no tanto como para crear un nuevo problema de privacidad.

Registra, como mínimo:

  • Marca temporal, entorno e identificador del servidor MCP
  • Identidad del llamante o nombre del servicio
  • Nombre y versión de la herramienta
  • Parámetros de alto nivel (redactados cuando sea necesario)
  • Estado del resultado (éxito, fallo, error de validación, error de auth)
  • Latencia e identificadores de sistemas aguas abajo (cluster BD, API externa, etc.)

Evita:

  • Datos personales en bruto en logs cuando no son esenciales
  • Prompts completos o historiales de conversación si contienen contenido sensible

Image

Photo by Umberto on Unsplash

7.2 Monitorización y alertas

Para monitorización específica de MCP:

  • Anomalías de tasa por herramienta (picos de llamadas, patrones inusuales)
  • Identidades de llamantes inusuales accediendo a herramientas de alto riesgo
  • Fallos de autorización o errores de validación repetidos
  • Cambios bruscos en tamaños de respuesta o tipos de error para operaciones sensibles

Integra esto en tu SOC o en la pila central de monitorización. En una auditoría, muestra:

  • Qué métricas monitorizáis
  • Qué alertas existen y quién las recibe
  • Cómo se triajan y escalan incidentes

7.3 Playbooks de respuesta a incidentes

Ten playbooks concretos para incidentes MCP:

  • Compromiso del servicio (fuga de credenciales, vulnerabilidad explotada)
  • Uso abusivo de herramientas (scraping masivo de datos, cambios no autorizados)
  • Fuga de datos vía logs o herramientas mal configuradas

Cada playbook debe detallar:

  • Pasos inmediatos de contención (deshabilitar ciertas herramientas, rotar claves, bloquear llamantes)
  • Proceso de investigación (qué logs y trazas recuperar, quién lidera)
  • Obligaciones de notificación (liderazgo interno, clientes afectados, reguladores si procede)
  • Acciones post‑incidente (parches, cambios de diseño, controles actualizados)

A los auditores les importa menos si habéis sido atacados y más si sabéis qué hacer cuando sucede.

8. Navegando marcos de cumplimiento comunes con MCP

Distintas organizaciones están sujetas a distintas normas: SOC 2, ISO 27001, HIPAA, PCI DSS, GDPR y más. MCP no cambia los requisitos básicos, pero sí cambia dónde reside la evidencia.

Abajo hay algunos mapeos típicos que los auditores pueden pedir.

8.1 SOC 2 e ISO 27001

Para SOC 2 e ISO 27001, las áreas de enfoque incluyen:

  • Control de acceso – RBAC/ABAC para herramientas MCP, menor privilegio, revisiones periódicas de acceso
  • Gestión de cambios – proceso documentado de releases MCP, aprobaciones, estrategias de rollback
  • Operaciones del sistema – monitorización, logging, backups, recuperación ante desastres
  • Evaluaciones de riesgo – modelado de amenazas para repositorios MCP y herramientas críticas

Evidencia a preparar:

  • Diagramas que muestren servidores MCP y flujos de datos
  • Historial de cambios y PRs para repositorios MCP
  • Resultados de revisiones de acceso para cuentas de servicio y herramientas administrativas
  • Políticas de seguridad que mencionen MCP explícitamente, no solo “aplicaciones” en abstracto

8.2 HIPAA y datos sanitarios

Si tus herramientas MCP tocan Protected Health Information (PHI):

  • Confirma que todos los componentes en la cadena (servidor MCP, modelo, almacenamiento, logging, APIs de terceros) están cubiertos por los Business Associate Agreements adecuados cuando sea necesario
  • Limita estrictamente dónde fluye la PHI: evita enviar PHI innecesaria en prompts o respuestas
  • Aplica reglas de logging y retención más estrictas para herramientas que manejan PHI
  • Documenta cómo los usuarios pueden ejercer derechos (modificar registros, solicitar acceso o eliminación) a través de interfaces impulsadas por MCP

Los auditores esperarán ver:

  • Claros diagramas de flujo de datos con límites de PHI
  • Controles técnicos que aseguren que la PHI no se divulga a servicios o usuarios no autorizados
  • Formación y políticas para desarrolladores que trabajen en repositorios MCP que manejan PHI

8.3 PCI DSS y datos de pago

Si los repositorios MCP tocan datos de titulares de tarjetas, la mejor estrategia generalmente es: mantén MCP fuera del entorno de datos de tarjetas.

Si no puedes:

  • Asegura que las herramientas MCP nunca registren ni almacenen PANs completos, CVVs ni datos de tarjeta sin enmascarar
  • Usa tokenización y delega operaciones sensibles a servicios dedicados con alcance PCI
  • Limita qué herramientas MCP pueden desencadenar operaciones relacionadas con pagos y bajo qué condiciones

Prepárate para mostrar:

  • Evidencia de que ningún dato de titular de tarjeta pasa por logs o monitorización genéricos de MCP
  • Segmentación de red fuerte y control de acceso alrededor de herramientas adyacentes a pagos

8.4 Regulaciones de privacidad (GDPR, CCPA, etc.)

Las auditorías de privacidad se interesarán por:

  • Qué datos personales procesan las herramientas MCP
  • Cuánto tiempo los conserváis, dónde y con qué propósito
  • Cómo apoyáis derechos como acceso, eliminación, exportación y rectificación

Concretamente:

  • Mantén un registro de las actividades de tratamiento que incluya herramientas MCP
  • Proporciona mecanismos para rastrear acciones realizadas sobre usuarios concretos (pistas de auditoría)
  • Asegura que las solicitudes de interesados puedan gestionarse incluso cuando las acciones se realizaron de forma indirecta vía herramientas MCP y asistentes de IA

9. Preparándote para una auditoría de seguridad MCP paso a paso

Cuando sabes que viene una auditoría, resiste la tentación de abarcarlo todo. Trabaja con una lista de comprobación estructurada.

9.1 Aclara el alcance y las expectativas

  • Confirma qué repositorios MCP están en alcance
  • Entiende los marcos/estándares que se van a evaluar
  • Pregunta qué formatos de evidencia prefiere el auditor (docs, capturas, configs, logs)

9.2 Reúne documentación de arquitectura y flujos de datos

Para cada repo MCP en alcance:

  • Diagrama de arquitectura de alto nivel
  • Diagramas de flujo de datos para herramientas sensibles
  • Inventario de dependencias externas y sistemas conectados

Incluso diagramas aproximados pero precisos son mejor que nada. No dejes a los auditores adivinando.

9.3 Junta evidencia de seguridad y cumplimiento

De las secciones anteriores, recopila:

  • Modelos de amenazas y evaluaciones de riesgo
  • Documentación de control de acceso y revisiones recientes
  • Registros de gestión de cambios, incluyendo PRs y aprobaciones específicas de MCP
  • Dashboards o configuraciones de logging y monitorización
  • Playbooks de respuesta a incidentes que mencionen herramientas MCP cuando proceda

Agrupa esto en una carpeta dedicada o página de la base de conocimiento. Las auditorías van más rápido cuando la evidencia está organizada y claramente etiquetada.

9.4 Ejecuta una “pre‑auditoría” interna

Antes del examen real:

  • Pide a alguien de seguridad u otro equipo que recorra tu repositorio MCP como si fuera un auditor externo
  • Déjales hacer preguntas incómodas:
    • “¿Cuál es el peor escenario si esta herramienta se abusa?”
    • “¿Quién posee esta credencial y por qué tiene tanto poder?”
    • “Muéstrame cómo detectarías el mal uso de este servidor.”
  • Captura lagunas y asigna responsables y plazos

Esta pre‑auditoría suele captar problemas sencillos: docs faltantes, diagramas obsoletos, propiedad poco clara o permisos sin revisar.

10. Hacer sostenible la seguridad y el cumplimiento de MCP

La peor forma de tratar las auditorías es verlas como simulacros puntuales. Una mejor aproximación: integrar MCP en tu cultura de seguridad existente.

Movimientos prácticos:

  • Propiedad: Asigna propietarios claros para cada repositorio MCP y documéntalos públicamente.
  • Plantillas: Estandariza plantillas de repositorio con:
    • SECURITY_THREATS.md
    • DATA_CLASSIFICATION.md
    • Un placeholder para un diagrama básico de arquitectura
  • Guardrails: Proporciona librerías compartidas para:
    • Validación de entradas
    • Comprobaciones de auth y autorización
    • Logging con valores por defecto seguros
  • Formación: Realiza sesiones breves para ingenieros sobre patrones y anti‑patrones de seguridad específicos de MCP.

Con el tiempo, quieres que las nuevas herramientas MCP se alineen naturalmente con tus políticas en lugar de requerir refactorización antes de cada auditoría.

Las auditorías de seguridad y las revisiones de cumplimiento seguirán evolucionando a medida que MCP se vuelva más central en cómo las organizaciones usan IA. Los detalles técnicos cambiarán, pero las preguntas clave siguen siendo las mismas: ¿qué puede hacer este sistema, quién puede activarlo, qué datos toca y cómo lo controlas y monitorizas?

Si tus repositorios MCP pueden responder a esas preguntas con claridad—en papel y en código—avanzarás por las auditorías más rápido, con menos fricción y más confianza de todas las partes.

Step-by-Step MCP Audit Guide - Model Context Protocol Security Making Audits - MCP Security Overview and Implementation Guide The complete guide to MCP security - WorkOS A Security Engineer’s Guide to MCP - Semgrep Auditing MCP Server Access and Usage - Aembit