El 36% de los servidores de agentes de IA son hackeables y nadie los revisa

Latinoamérica adoptó los agentes de inteligencia artificial con entusiasmo. Empresas en México, Colombia y Brasil los despliegan para atención al cliente, compras automatizadas, análisis de datos y hasta contratación de personal. La promesa es difícil de resistir: software autónomo que piensa, decide y actúa en tu nombre.

Lo que casi nadie pregunta es sobre qué infraestructura corren estos agentes. Y esa infraestructura tiene grietas alarmantes.

El 36.7% de los servidores MCP son vulnerables

El Model Context Protocol (MCP) es el tejido conectivo entre los agentes de IA y las herramientas que utilizan. Les permite leer archivos, consultar bases de datos, llamar APIs y ejecutar código. Investigadores de seguridad en Equixly escanearon más de 7,000 servidores MCP y encontraron que el 36.7% eran vulnerables a SSRF (falsificación de solicitudes del lado del servidor), un tipo de ataque donde el servidor es engañado para acceder a recursos internos que nunca debería tocar.

En una prueba de concepto contra el servidor MCP MarkItDown de Microsoft, los investigadores obtuvieron claves de acceso AWS, claves secretas y tokens de sesión desde un endpoint de metadatos de una instancia EC2. No es un riesgo teórico: es la toma completa de una cuenta en la nube.

Trend Micro encontró por separado 492 servidores MCP expuestos a internet sin ninguna autenticación. Sin contraseñas. Sin tokens. Puertas abiertas.

El mercado de habilidades para agentes ya está comprometido

Si los servidores vulnerables fueran el único problema, sería manejable. Pero la cadena de suministro misma está envenenada.

El estudio ToxicSkills de Snyk analizó 3,984 habilidades de agentes en ClawHub (el mayor mercado de capacidades para agentes de IA) y descubrió que el 36% contenía técnicas de inyección de prompts. De esas, 1,467 llevaban cargas maliciosas activas. Un total de 534 habilidades, aproximadamente el 13.4%, tenía al menos un problema de seguridad crítico: distribución de malware, robo de credenciales o instalación de puertas traseras.

Cada habilidad maliciosa confirmada combinaba código dañino con inyección de prompts, atacando simultáneamente la capa de software y la de instrucciones en lenguaje natural. Tus agentes de IA pueden ser secuestrados el 92% de las veces solo mediante inyección de prompts. Agrega una habilidad comprometida encima, y el atacante controla al agente por completo.

Un agente comprometido costó 3.2 millones de dólares en 72 horas

Un fabricante mediano desplegó un sistema de compras basado en agentes. Los atacantes comprometieron el agente de validación de proveedores mediante un ataque a la cadena de suministro del proveedor de IA. El agente comenzó a aprobar órdenes de compra de empresas fantasma controladas por los atacantes.

Dado que los sistemas multiagente propagan decisiones en cascada, el agente de pagos procesó automáticamente cada orden fraudulenta. Para cuando los conteos de inventario revelaron la discrepancia, se habían transferido 3.2 millones de dólares a cuentas irrecuperables. Para ponerlo en perspectiva: esa cifra equivale al presupuesto anual de ciberseguridad de varias empresas medianas en México.

La causa raíz: un solo agente comprometido en una cadena donde ningún agente verificaba a los demás. Cuando el 65% de las empresas no tiene defensa contra inyección de prompts, la confianza entre agentes se convierte en el eslabón más débil.

Por qué nadie está revisando (y por qué en Latinoamérica importa más)

El ecosistema MCP no tiene un proceso obligatorio de revisión de seguridad. Solo entre enero y febrero de 2026, los investigadores presentaron más de 30 CVEs dirigidas a servidores MCP, clientes e infraestructura. Entre 2,614 implementaciones MCP evaluadas, el 82% usa operaciones de archivos vulnerables a ataques de recorrido de rutas. Las vulnerabilidades no son exóticas: son las mismas fallas del OWASP Top 10 que las aplicaciones web han combatido durante dos décadas: inyección, autenticación rota, SSRF.

El dato regional es revelador: México registró más de 31 mil millones de intentos de ciberataques solo en el primer semestre de 2024, posicionándose como el país más atacado de América Latina. Según PwC México, el 58% de los ejecutivos reconoce que la IA amplió la superficie de ataque de sus organizaciones, y la mitad carece de experiencia en IA para ciberdefensa. Los ataques impulsados por IA superan a los equipos de seguridad en 29 minutos, y los servidores MCP les dan a los atacantes un canal directo hacia la infraestructura en la nube, las bases de datos y las APIs internas.

Qué hacer ahora mismo

Tres pasos, a partir de hoy. Primero, audita cada servidor MCP al que tu organización se conecta. Revisa SSRF, recorrido de rutas y brechas de autenticación. El Vulnerable MCP Project mantiene una base de datos consultable de problemas conocidos.

Segundo, trata las habilidades de agentes de IA como dependencias de código de terceros. Escanéalas antes de instalarlas. La investigación de Snyk demuestra que la inspección visual no detecta casi nada; el escaneo automatizado es la línea base mínima.

Tercero, implementa verificación entre agentes. Ningún agente individual debería tener autoridad para aprobar transacciones financieras, acceder a credenciales o modificar infraestructura sin confirmación independiente de un segundo agente aislado.

La revolución de los agentes de IA es real. Pero también lo es la crisis de seguridad en su cadena de suministro. Las empresas que sobrevivan serán las que trataron su infraestructura de IA con el mismo rigor que aplican a cualquier otra pieza de software crítico.

---

Lectura relacionada:

• La falla de la ciberseguridad no está en el muro, sino en tu acceso
• Los 5 atajos de ciberseguridad que salen carísimos