MCP: el USB-C de las herramientas de IA

Qué ha cambiado

Anthropic lanzó MCP en noviembre de 2024 como protocolo open source basado en JSON-RPC 2.0, inspirado en el Language Server Protocol. Define tres primitivas: Tools (funciones ejecutables que el modelo puede llamar), Resources (datos estructurados para el contexto) y Prompts (plantillas reutilizables). Es un estándar abierto — no exclusivo de Anthropic — con SDKs para todos los lenguajes principales y adopción amplia en la industria. El MCP Registry oficial llegó en septiembre de 2025 (registry.modelcontextprotocol.io) como catálogo centralizado de servidores. Anthropic también lanzó el MCP Connector en la API, que permite conectar con servidores MCP remotos directamente desde la Messages API sin cliente aparte. MCP Apps (SEP-1865), formalizado a principios de 2026, extiende el protocolo para servir interfaces HTML interactivas desde servidores MCP vía iframes aislados. Nota: el transporte SSE quedó obsoleto en la revisión de spec de 2025-03-26; el transporte remoto actual es Streamable HTTP.

Por qué importa

MCP elimina el impuesto de las integraciones a medida. Antes, cada herramienta de IA necesitaba su conector propio para cada fuente de datos. Con MCP construyes un servidor por fuente y cualquier host compatible se conecta. Y compone: cuantos más hosts adoptan MCP (Claude, IDEs, agentes propios), más sitios funcionan con tu servidor automáticamente. El conector de la API elimina la necesidad de un cliente MCP local, simplificando mucho las arquitecturas de agentes en servidor.

What can be built

• Servidores MCP que exponen APIs internas, bases de datos o sistemas de archivos a agentes Claude
• Herramientas de desarrollo que leen contexto vivo del codebase vía resources
• Flujos multi-agente donde cada agente tiene su servidor MCP de dominio
• Dashboards interactivos servidos desde servidores MCP con MCP Apps (SEP-1865)
• Servidores MCP que envuelven APIs REST legacy para hacerlas accesibles a agentes
• Servidores MCP locales de desarrollo para probar capacidades antes de desplegar

Limitations & risks

• Trata los servidores MCP como integraciones no confiables salvo que controles o hayas auditado su código — un servidor malicioso puede enviar respuestas manipuladas
• Inyección de prompts: las respuestas de tools entran en el contexto de Claude; un servidor malicioso puede incrustar instrucciones para secuestrar su comportamiento
• Riesgo de exfiltración: un servidor comprometido con permisos amplios puede leer archivos, variables de entorno o API keys y sacarlas por red
• Permisos excesivos: concede solo las tools y resources que el servidor necesita de verdad — trata el scoping como permisos de archivos UNIX
• Riesgo de RCE en transporte STDIO: investigadores demostraron que el modelo de ejecución STDIO puede explotarse si el binario del servidor no es de confianza; ejecuta solo binarios de fuentes verificadas
• La spec de autorización OAuth para MCP (actualización de junio 2025) sigue evolucionando — revísala antes de implementar flujos de auth
• El rendimiento del servidor MCP impacta directamente en la latencia del agente — las lecturas lentas bloquean síncronamente
• La spec no trae rate limiting de serie — impleméntalo en la capa del servidor

Referencias

• Presentación del Model Context Protocol — Anthropic
• Especificación MCP (2025-11-25)
• MCP Registry oficial
• Buenas prácticas de seguridad MCP — docs oficiales
• ¿Qué es MCP? — Docs de Anthropic
• Code Execution with MCP — Anthropic Engineering