Seguridad post-cuántica en despliegues MCP: qué cambia en 2026

El número de servidores MCP registrados en directorios públicos ha crecido más de un 340% en los últimos doce meses. Ese crecimiento tiene una consecuencia directa que pocas organizaciones están gestionando bien: la superficie de ataque de las integraciones Claude se ha expandido a la misma velocidad, y ahora los equipos de seguridad están empezando a mirar el protocolo con la lupa que antes reservaban para las APIs REST convencionales.

El artículo publicado este fin de semana en Security Boulevard plantea precisamente eso: cómo securizar infraestructura MCP teniendo en cuenta no solo las amenazas actuales, sino también el horizonte post-cuántico. Vale la pena desglosar qué es relevante de forma inmediata y qué es planificación a medio plazo.

Qué vectores de ataque introduce MCP que no existían antes

MCP no es una API al uso. Cuando un servidor MCP responde a una llamada de herramienta, está interactuando directamente con el contexto de razonamiento del modelo. Eso abre vectores que los WAF y los esquemas de autenticación OAuth convencionales no cubren bien:

• Prompt injection a través de tool responses: un servidor MCP comprometido puede inyectar instrucciones en la respuesta que el modelo interpreta como parte del flujo legítimo.
• Escalada de permisos lateral: si un agente Claude Code tiene acceso a varios MCP servers con distintos niveles de privilegio, una cadena de llamadas mal validada puede cruzar fronteras de autorización sin que ningún sistema de log individual lo detecte.
• Exfiltración pasiva de contexto: a diferencia de una API que devuelve datos estructurados, un MCP server malicioso puede recibir fragmentos del contexto activo del modelo si el cliente no aplica filtrado estricto sobre qué se incluye en cada llamada.

Estos vectores existen ya, con algoritmos de cifrado clásicos. La criptografía post-cuántica entra en escena por una razón distinta.

Por qué importa la criptografía post-cuántica ahora, no en cinco años

El argumento es el de «harvest now, decrypt later»: actores con recursos suficientes pueden capturar tráfico cifrado hoy —incluyendo handshakes TLS entre clientes Claude y servidores MCP— y descifrarlo cuando los ordenadores cuánticos con capacidad suficiente estén disponibles. Para datos con vida útil larga (credenciales corporativas, propiedad intelectual en contexto, configuraciones de infraestructura), esa ventana temporal ya es relevante.

El NIST finalizó en 2024 sus primeros estándares post-cuánticos (FIPS 203, 204 y 205, basados en CRYSTALS-Kyber y CRYSTALS-Dilithium). Lo que propone el análisis de Security Boulevard es que los equipos que despliegan MCP servers en producción empiecen a evaluar ya si sus stacks de TLS admiten negociación híbrida clásica+post-cuántica, que es el modo de transición recomendado mientras la compatibilidad no es universal.

Qué es accionable hoy para equipos que usan Claude Code y MCP

Sin necesidad de esperar a una estrategia post-cuántica completa, hay medidas que reducen el riesgo inmediato:

1. Autenticación mutua en todos los MCP servers internos. mTLS con certificados de corta duración es el mínimo razonable para servidores que manejan datos sensibles. Configurarlo en `claude_desktop_config.json` o en el entorno de Claude Code no requiere cambios en el protocolo.
2. Hooks de auditoría en PreToolUse y PostToolUse. Los hooks de Claude Code permiten interceptar cada llamada a herramienta y registrar metadatos (servidor, herramienta invocada, tamaño de respuesta) sin tocar el contenido. Es el punto más natural para construir un trail de auditoría.
3. Principio de mínimo privilegio por servidor. Cada MCP server debería tener un scope de permisos declarado y revisado. Si un servidor de consulta de base de datos no necesita escribir, no debería poder hacerlo aunque el cliente lo solicite.
4. Revisión del origen de plugins y skills de terceros. El marketplace de Claude Code no tiene aún un proceso de auditoría de seguridad estandarizado público. Antes de instalar un plugin de terceros en un entorno con acceso a sistemas internos, conviene revisar el código fuente si está disponible.

Para quién es urgente esto y para quién no

Si despliegas MCP servers en un entorno personal o de prototipado, la mayoría de estas consideraciones son excesivas por ahora. El análisis de Security Boulevard va dirigido a equipos de ingeniería que están llevando Claude Code y servidores MCP a entornos corporativos con datos regulados, o que están construyendo infraestructura de agentes para clientes finales.

Para esos equipos, la combinación de un protocolo joven (MCP tiene menos de dos años de adopción masiva), un modelo de ejecución con agencia real sobre sistemas externos y una ventana de amenaza cuántica que se estrecha gradualmente es suficiente razón para incluir la securización MCP en la hoja de ruta de seguridad de este año, no del siguiente.

---

Desde EP vemos un patrón claro: la velocidad de adopción de MCP está superando la madurez de las guías de seguridad disponibles. Que artículos como este empiecen a aparecer es una señal positiva, aunque el sector todavía necesita herramientas de auditoría específicas para el protocolo, no adaptaciones de frameworks genéricos.