Los riesgos en el protocolo que conecta la IA con el mundo digital
Por Abi Olvera | 24 de septiembre de 2025
Un pequeño estándar técnico se ha convertido silenciosamente en la infraestructura invisible que conecta la IA con el resto de nuestro mundo digital. Imagen: Yutong Liu & The Bigger Picture / AI is Everywhere / Licenciado por CC-BY 4.0
Mientras trabajaba en un artículo de investigación, decidí probar uno de los principales asistentes de inteligencia artificial y le pedí a Claude de Anthropic que analizara cientos de correos electrónicos y construyera una hoja de cálculo de los recientes ganadores del Premio Nobel. Claude entregó, haciendo referencia a sitios web, organizando datos y capturando algunos, aunque no todos, de sus propios errores.
Luego le pedí a la aplicación que programara una simple reunión de cena entre varios colegas.
Falló la hora de inicio dos veces.
Esta es la IA generativa en 2025, sistemas que pueden sintetizar información a través de sitios web, correo electrónico y hojas de cálculo con sofisticación, pero tropiezan con algo tan simple como los horarios de inicio de eventos del calendario. Sin embargo, representa un gran avance: la capacidad de conectar los sistemas de IA directamente a la vida en línea no era posible hasta hace varios meses. Para que los asistentes de IA interactúen con otros servicios web, como leer una bandeja de entrada de correo electrónico, la mayoría de los usuarios necesitaban un programa de terceros o un navegador específico para su caso de uso. Ahora, Claude y otros modelos de IA pueden conectarse directamente con los proveedores de correo electrónico para leer y responder a los mensajes, configurar eventos del calendario y crear y editar hojas de cálculo. Claude puede incluso conectarse con los populares sistemas de gestión de tareas y proyectos como Asana y Notion, así como con herramientas de procesamiento de pagos como Stripe. Esto permite que los “chatbots” de la IA se conviertan en “agentes de IA” o modelos que interactúan con el mundo real y pueden llevar a cabo tareas.
Lo que permitió estas integraciones fue el desarrollo de un marco llamado modelo de protocolo de contexto (MCP), un pequeño estándar técnico que se ha convertido silenciosamente en la infraestructura invisible que conecta la IA con el resto de nuestro mundo digital. Pero este protocolo no fue construido para lo que está haciendo ahora. Fue diseñado para un propósito muy estrecho y básico: permitir que la aplicación de escritorio de Claude se conecte a archivos locales y herramientas simples. Su adopción generalizada introduce algunas oportunidades, como la aceleración de los agentes de ciberseguridad, pero también algunos desafíos de privacidad y seguridad. La industria tecnológica y la comunidad de código abierto están impulsando los esfuerzos para resolver estos problemas, aunque el ritmo de adopción hace que mantenerse al día sea difícil.
Lo que el protocolo de contexto modelo hace (y no hace). Los servicios en línea, como el correo electrónico, las comunicaciones y las plataformas bancarias, generalmente necesitan construir su propia puerta única para que otras aplicaciones accedan a sus datos y acciones. Cada aplicación individual utiliza su propio lenguaje digital que normalmente no es legible por otras aplicaciones. El protocolo de contexto modelo permite a los sistemas de IA leer la documentación de cada servicio y traducirla. Esta traducción permite a los sistemas de IA ejecutar acciones.
“Hasta MCP, cada vez que [instalaba] un agente, tenía que implementar todas sus herramientas desde cero”, dice Samuel Colvin, quien dirige Pydantic, una biblioteca de Python ampliamente utilizada, y uno de los muchos mantenedores voluntarios de los componentes Python del protocolo de contexto modelo. (Python es un lenguaje de programación muy popular, de alto nivel y de propósito general que ha existido durante un tiempo asombrosamente largo, desde finales de los ochenta).
El protocolo llenó un vacío persistente en la infraestructura tecnológica: la capacidad de conectar aplicaciones. “Es curioso que la razón por la que tuvieron que hacer MCP es porque nunca hemos podido estandarizar las API [Interfaces de programación de aplicaciones] correctamente”, dice Jason Keirstead, vicepresidente de estrategia de seguridad de Simbian, una compañía de ciberseguridad. Las interfaces de programación de aplicaciones son esencialmente las puertas digitales que permiten que los programas de software se comuniquen entre sí. La capacidad del protocolo para leer la documentación ayuda a resolver el problema de la estandarización al comprender automáticamente cómo funciona cada puerta digital, en lugar de requerir la configuración manual para cada conexión.
El protocolo se destaca por permitir las comunicaciones entre la IA y las aplicaciones, pero no permite que los sistemas de IA lleven a cabo todas las tareas en línea. A pesar de estas limitaciones, “ahora hay personas ... tratando de usarlo para conectar cualquier cosa con cualquier cosa”, dice Colvin. “Tiene cosas muy específicas que hace, y hay cosas que no hace”. Por ejemplo, el protocolo maneja una IA pidiendo a otra que complete una tarea, pero no admite que los sistemas de IA entreguen el trabajo en cadenas complejas donde el agente A termina, luego se entrega al agente B, que luego pasa al agente C.
El estándar global accidental. Anthropic encabezó la creación y lanzamiento del protocolo MCP en noviembre pasado. El protocolo se extendió rápidamente entre la comunidad de código abierto, con ingenieros de software que hacen iteraciones de él para conectar otros sistemas de inteligencia artificial a una amplia gama de aplicaciones web. “No creo que Anthropic tuviera idea de cuán exitoso iba a ser MCP cuando lo anunciaron ... que iba a ser adoptado por OpenAI, y que Microsoft iba a construirlo en Windows”, dice Colvin.
El crecimiento explosivo del protocolo se debió en parte a una elección estratégica que distingue a Anthropic de los competidores. Mientras OpenAI construyó muros alrededor de sus herramientas, Anthropic lanzó el protocolo de contexto modelo como código abierto, una decisión influenciada por el ingeniero de software co-líder de Anthropic, David Soria Parra, quien tiene una amplia experiencia en código abierto.
Hoy en día, cientos de servidores de protocolo de contexto modelo conectan los sistemas de inteligencia artificial a todo, desde herramientas de ciberseguridad hasta dispositivos domésticos inteligentes. En la Conferencia RSA de abril, durante 35 años, una de las principales conferencias anuales sobre ciberseguridad (y técnicamente una serie de conferencias de seguridad de TI), las compañías de ciberseguridad anunciaron aproximadamente una docena de integraciones de protocolos de contexto modelo.
Dolores crecientes. Pero esta rápida adopción ha creado nuevos problemas, que no se anticiparon cuando el protocolo fue diseñado para un simple uso de escritorio. El sistema de autenticación, que permite al servicio web conectado verificar que el acceso se concede solo a la cuenta correcta, por ejemplo, llegó más tarde. “Podríamos haber sido más deliberados sobre el diseño de un sistema de autenticación”, dice Colvin, quien indica que el sistema se está agregando ahora.
Además, es difícil lograr que docenas de empresas implementen nuevas características al mismo ritmo. “Muchos de los servidores se retrasan en la implementación de la autenticación”, explica Colvin. “La idea de que todo el mundo va a estar a bordo en unos meses sería extraordinaria. El hecho de que una compañía esté tres semanas atrás, o dos meses atrás, de repente se ve como una especie de problema enorme, cuando en realidad se está moviendo increíblemente rápido en comparación con la mayoría de los protocolos”.
Otro problema central es la identidad: ¿cómo rastrea una empresa las decisiones cuando los agentes de IA acceden a los sistemas de la empresa? En el software empresarial tradicional, esto se maneja a través de cuentas de servicio cuidadosamente administradas. Pero los agentes de IA no siguen los scripts; toman decisiones autónomas, accediendo a diferentes sistemas basados en el contexto y la necesidad.
En lugar del propósito muy específico y estrecho para el que se desarrolló, este protocolo ahora se está utilizando para todas estas otras cosas, explica Keirstead, quien ha estado rastreando las implicaciones de seguridad del protocolo de contexto de modelo. “Hay una gran diferencia entre crear una cuenta de servicio para un bot que siempre está haciendo lo mismo todos los días que un agente de inteligencia artificial”, agrega. Como tal, descubrir la cadena de responsabilidad se vuelve más difícil. “Si usted es una empresa de Fortune 500 con 100.000 empleados, y todos esos empleados están utilizando IA, y esas 100,000 máquinas están tratando de hablar con todos estos sistemas diferentes con el protocolo de contexto modelo, su trazabilidad de identidad es ahora un desastre total”, dice Keirstead.
Más allá de la dificultad para rastrear la fuente de las decisiones, el protocolo de contexto modelo crea preocupaciones de privacidad que muchos usuarios podrían no darse cuenta. Cuando le concedí a Claude acceso a mi correo electrónico o documentos, esa información fluye hacia lo que se llama la “ventana de contexto”, la memoria de trabajo que utilizan los sistemas de inteligencia artificial para comprender y responder a las solicitudes. Pero esos datos no desaparecen después de su uso. La información personal podría ser vista por el proveedor de IA o, en algunos casos, aparecer accidentalmente en las respuestas a otros usuarios si los datos se utilizan para entrenar el sistema de IA.
Detener el reloj en el riesgo catastrófico de IA
“No está fluyendo en un canal súper seguro detrás de escena”, dice Keirstead.
Miranda Bogen, quien estudia la toma de decisiones automatizada en el Centro para la Democracia y la Tecnología, ve esto como parte de un patrón más amplio donde la conveniencia tiene el costo de la privacidad y el control.
Garantizar que los sistemas de IA empleen adecuadamente los datos de los usuarios cuando se toman decisiones en dominios que afectan la vida de las personas es difícil. La vivienda es un ejemplo: “Cualquier consumidor individual podría decirle a su asistente: ‘Estoy buscando un hogar con estas características. ¿Puedes decirme cuáles tengo más probabilidades de poder pagar?’” Dice Bogen. El sistema de IA podría extraer de la información financiera del usuario y las bases de datos de bienes raíces locales.
Sin embargo, responder a esa pregunta requiere muchas suposiciones sobre lo que constituye un “buen vecindario”, que “puede cruzar rápidamente la línea hacia estereotipos en los que en realidad son ilegales confiar cuando se trata de vivienda”, dice Bogen. Esta preocupación se extiende a otros dominios como la contratación, la medicina, los servicios públicos y la educación.
A medida que los sistemas de inteligencia artificial se interconectan más a través de protocolos como el protocolo de contexto modelo, este problema de visibilidad podría empeorar y equivaler a violaciones de privacidad. La visibilidad fundamental necesaria para la supervisión de los sistemas de IA, como la comprensión de qué sistemas interactúan con qué y en qué contextos, a menudo falta.
“El deseo de que los desarrolladores tengan que moverse rápidamente tiene sentido desde su punto de vista”, dice Bogen. “Pero al mismo tiempo, debemos asegurarnos de que haya tiempo para verificar si los protocolos de seguridad apropiados se han implementado correctamente.
Sin barandillas, “vamos a ver que se cortan muchas esquinas”, agrega Bogen, quien cree que esto socavará la innovación ya que estos sistemas romperán y violarán la privacidad. Para que la IA florezca, los desarrolladores deben aprender de los errores tecnológicos pasados.
Las soluciones siguen evolucionando. Los desarrolladores están trabajando en nuevos métodos para una seguridad robusta. Keirstead de Simbian Security describe un enfoque emergente de varias capas: revisar una lista de servidores de protocolo de contexto modelo aprobados, obtener visibilidad a través de la supervisión de la red y el análisis de identidad, e implementar herramientas de seguridad especializadas que puedan ubicarse entre los agentes de inteligencia artificial y los sistemas a los que acceden. Las compañías competidoras como Google y Microsoft, junto con desarrolladores individuales, están desarrollando de manera colaborativa nuevos estándares de autenticación y características de seguridad. “Así es como funciona el código abierto”, dice Colvin de Pydantic. Además, organizaciones como la Coalición para la IA Segura, que incluye a Microsoft, Anthropic y otras compañías importantes de inteligencia artificial, están trabajando para desarrollar estándares técnicos y mejores prácticas en torno a la seguridad y la gobernanza de la inteligencia artificial.
Para los profesionales de ciberseguridad, el protocolo representa algunas oportunidades para acelerar las herramientas de defensa de la ciberseguridad. “Potencialmente tendrá un gran impacto en la mejora de las operaciones de ciberseguridad”, dice Keirstead. “Los agentes de ciberseguridad están notoriamente limitados porque no pueden hablar entre sí debido a diferentes interfaces de programación de aplicaciones”. La compañía promedio de Fortune 500, por ejemplo, utiliza docenas de herramientas de seguridad diferentes que luchan por comunicarse entre sí.
Mirando hacia adelante. El protocolo de contexto del modelo muestra la rapidez con la que las herramientas útiles pueden superar su diseño original. “Ha sido un poco sorprendente”, dice Colvin sobre la rápida adopción. “Pero en retrospectiva, parece obvio. Teníamos todos estos agentes, pero conectar cosas con ellos era difícil, y de repente se podía construir un protocolo en el que la gente confiara”.
Lo que comenzó como una forma de leer archivos de escritorio ahora podría manejar la autenticación corporativa, los datos financieros confidenciales y las decisiones de contratación. La brecha entre el modelo para el que se construyó el protocolo de contexto y lo que se le pide que haga podría ser cada vez más amplia. El desafío ahora es construir salvaguardas lo suficientemente bien como para preservar la innovación y la confianza, porque perder a cualquiera de los dos mata la promesa de ambos.
Las opiniones expresadas en este artículo son del autor y no representan las del gobierno de los Estados Unidos.