Los avances de la IA suscitan nuevas amenazas de seguridad. El fenómeno del desvío de prompt MCP constituye una vulnerabilidad preocupante, amenazando la integridad de los sistemas. Proteger los datos y las conexiones se vuelve esencial. La interconexión de las herramientas de IA expone a las empresas a riesgos inéditos, exigiendo una vigilancia aumentada. Los protocolos como MCP revelan fallas explotables. Los líderes tecnológicos deben reevaluar sus estrategias para contrarrestar esta amenaza emergente.
El Desvío de Prompt MCP y sus Implicaciones
Expertos en seguridad de JFrog han resaltado recientemente una amenaza mayor conocida como desvío de prompt. Esta vulnerabilidad explota las debilidades de comunicación entre los sistemas de inteligencia artificial mediante el Modelo de Protocolo de Contexto (MCP). Mientras las empresas quieren integrar sus datos y herramientas para optimizar la eficacia de la IA, a menudo ignoran los nuevos riesgos de seguridad asociados a estas conexiones.
Los Riesgos de Seguridad Asociados al MCP
Los modelos de IA, ya sean alojados en plataformas como Google y Amazon o ejecutados en dispositivos locales, enfrentan un problema fundamental. Estos sistemas no tienen conocimiento de los eventos en tiempo real. Su comprensión se limita a los datos sobre los que han sido entrenados. El MCP, desarrollado por Anthropic, fue diseñado para remediar esta brecha, permitiendo que la IA acceda a datos locales y servicios en línea de manera segura.
No obstante, la investigación de JFrog revela que un cierto uso del MCP presenta una vulnerabilidad de desvío de prompt, transformando esta herramienta de IA en una verdadera pesadilla en términos de seguridad. Por ejemplo, un programador que solicite a una asistencia IA que recomiende una biblioteca Python para el procesamiento de imágenes podría recibir una herramienta fraudulenta debido a una falla en el sistema oatpp-mcp. Esto representa una amenaza seria para la cadena de suministro de software.
Funcionamiento del Desvío de Prompt
Este tipo de ataque altera la comunicación del sistema que utiliza el MCP en lugar de afectar la inteligencia artificial en sí misma. La vulnerabilidad se encuentra dentro de la configuración del sistema Oat++ en C++, que conecta varios programas al estándar MCP. El inconveniente radica en la gestión de las conexiones a través de eventos enviados por el servidor (SSE).
Cuando un usuario real se conecta, el servidor asigna un identificador de sesión. El método defectuoso utiliza la dirección de memoria del dispositivo como identificador, en contradicción con la especificidad de los identificadores que deben ser únicos y seguros criptográficamente. Este diseño defectuoso aprovecha la reutilización frecuente de direcciones de memoria por parte de las computadoras.
Explotación de la Vulnerabilidad
Un atacante podría en este caso crear y cerrar un gran número de sesiones para registrar identificadores de sesión predecibles. Una vez obtenido un identificador válido, el atacante podría enviar solicitudes maliciosas al servidor. El servidor, incapaz de diferenciar al usuario legítimo del atacante, devuelve respuestas dañinas al verdadero usuario conectado. Algunos programas, aunque sólo acepten ciertas respuestas, pueden ser manipulados por múltiples mensajes hasta que se valide una respuesta.
Medidas de Seguridad Requeridas
Este descubrimiento es una advertencia para los líderes tecnológicos, en particular los CISOs y CTOs, que construyen o usan asistentes de IA. Con la adopción creciente de la IA en los flujos de trabajo, los nuevos riesgos asociados a protocolos como el MCP requieren atención sostenida. Mantener la seguridad del entorno operativo de la IA se vuelve una prioridad absoluta.
Para contrarrestar los desvíos de prompt, la adopción de medidas estrictas es indispensable. Todos los servicios de IA deben utilizar una gestión de sesión segura. Los equipos de desarrollo deben asegurarse de que los servidores generen identificadores de sesión a partir de generadores aleatorios robustos, minimizando así los riesgos de identificadores predecibles.
Refuerzo de la Defensa del Cliente
Los programas clientes deben ser diseñados para rechazar cualquier evento que no cumpla con los identificadores y tipos esperados. Los identificadores de eventos simples e incrementales presentan un riesgo de ataques de tipo spraying, imponiendo la necesidad de recurrir a identificadores impredecibles. Además, la implementación de los principios de zero-trust dentro de los protocolos de IA resulta esencial para asegurar todo el sistema.
Para más información sobre la prevención de riesgos asociados con las IA generativas, consulte este artículo en Qualys. También surgen preocupaciones adicionales, como el incidente reportado sobre las modificaciones no autorizadas del chatbot de Musk, abordadas aquí: DiA.
Preguntas frecuentes sobre el desvío de prompt MCP
¿Qué es el desvío de prompt MCP?
El desvío de prompt MCP es una vulnerabilidad que explota fallas en el protocolo de comunicación Model Context Protocol (MCP) utilizado por los sistemas de IA, permitiendo a un atacante manipular las solicitudes e inyectar información falsa.
¿Por qué se considera vulnerable el protocolo MCP?
La vulnerabilidad reside en la forma en que se gestionan las sesiones. Al utilizar identificadores de sesión predecibles basados en direcciones de memoria, un atacante puede crear sesiones maliciosas y engañar al sistema haciéndole creer que se trata de un usuario legítimo.
¿Qué tipos de ataques pueden realizarse a través del desvío de prompt MCP?
Los ataques pueden incluir la inyección de código malicioso, el robo de datos sensibles y la ejecución de comandos no autorizados, lo que representa un riesgo significativo para la cadena de suministro de software.
¿Quiénes son los más propensos a ser afectados por los ataques de desvío de prompt MCP?
Todas las empresas que utilizan sistemas de IA que integran el protocolo MCP, incluyendo aquellas que dependen de aplicaciones basadas en Oat++ y otras tecnologías similares, son particularmente vulnerables.
¿Cómo pueden las empresas protegerse contra el desvío de prompt MCP?
Las empresas deberían implementar una gestión de sesiones segura, reforzar las defensas de los programas clientes y aplicar principios de seguridad de tipo «zero-trust» para asegurar que los protocolos de IA estén adecuadamente protegidos.
¿Cuáles son las mejores prácticas para la gestión de sesiones en sistemas de IA?
Es esencial que los servidores generen identificadores de sesión utilizando generadores aleatorios seguros, y que los programas clientes rechacen cualquier respuesta que no coincida con los identificadores esperados y los tipos de eventos.
¿Cómo identificar un ataque de desvío de prompt MCP en curso?
Los signos de un ataque pueden incluir sugerencias inapropiadas de IA, comportamientos inesperados de las aplicaciones o solicitudes que parecen provenir de usuarios legítimos pero que generan resultados incorrectos o maliciosos.
¿Las actualizaciones de seguridad regulares pueden ayudar a mitigar este riesgo?
Sí, mantener el software actualizado con los últimos parches de seguridad es crucial para protegerse contra vulnerabilidades conocidas, incluidas las relacionadas con el protocolo MCP.
¿Qué es el CVE-2025-6515 en relación con el desvío de prompt MCP?
El CVE-2025-6515 es una falla identificada en el sistema oatpp-mcp, que expone a los usuarios a ataques de desvío de prompt permitiendo a un atacante acceder a identificadores de sesión predecibles.
¿Por qué es importante para los líderes en seguridad de datos interesarse en el desvío de prompt MCP?
Con el aumento de la integración de la IA en los flujos de trabajo, estos líderes deben comprender los nuevos riesgos asociados con el uso de protocolos como MCP para proteger eficazmente los datos y los sistemas.
