La automatización mediante inteligencia artificial ha transformado la forma en que las empresas gestionan sus operaciones, desde la atención al cliente hasta el análisis de datos. Sin embargo, esta revolución tecnológica también ha abierto nuevas puertas a amenazas invisibles. El descubrimiento reciente de un servidor MCP (Model Context Protocol) malicioso marca un punto de inflexión en la seguridad digital.
Y es que, por primera vez, se ha detectado en estado salvaje un servidor que roba silenciosamente correos electrónicos confidenciales, sin necesidad de explotar vulnerabilidades tradicionales.
¿Qué es un servidor MCP y por qué es tan crítico?
Los servidores MCP permiten que agentes de inteligencia artificial interactúen con sistemas empresariales, como bases de datos y plataformas de correo electrónico. En esencia, son el puente entre la IA y los datos operativos. Su uso se ha popularizado por su capacidad para automatizar tareas complejas, como responder correos, extraer información de facturas o ejecutar consultas SQL.
Pero esta integración profunda con sistemas críticos también implica que los servidores MCP tienen acceso privilegiado a información sensible. Como advierte Idan Dardikman, cofundador de Koi Security, “estos servidores operan con los mismos permisos que los asistentes de IA: acceso total a correos, bases de datos y APIs. Sin embargo, no aparecen en inventarios de activos, ni pasan por evaluaciones de riesgo de proveedores”.
El caso Postmark MCP: cómo se infiltró el código malicioso
El servidor malicioso fue detectado en una versión modificada del paquete “Postmark MCP Server”, descargado unas 1.500 veces por semana e integrado en cientos de flujos de trabajo de desarrolladores. El atacante tomó el código legítimo del repositorio oficial de GitHub, añadió una línea de código que reenviaba todos los correos electrónicos a su servidor personal (giftshop.club), y lo publicó en npm bajo el mismo nombre.
Este tipo de ataque no requiere técnicas sofisticadas ni explotación de vulnerabilidades. Como señala Dardikman: “Le dimos las llaves, le dijimos ‘ejecuta este código con permisos completos’ y dejamos que nuestros asistentes de IA lo usaran cientos de veces al día”.
Impacto: miles de correos comprometidos sin levantar sospechas
Según Koi Security, el servidor malicioso estaba copiando entre 3.000 y 15.000 correos electrónicos diarios. Entre ellos se incluían facturas, memorandos internos y documentos confidenciales. Lo más alarmante es que este tráfico pasaba desapercibido para los sistemas de protección tradicionales, como los gateways de correo o las soluciones DLP (Data Loss Prevention).
Este incidente demuestra que el verdadero riesgo no está en los ataques externos, sino en la cadena de suministro digital. Los paquetes npm, utilizados por miles de desarrolladores, se han convertido en vectores de ataque invisibles que pueden comprometer operaciones críticas sin dejar rastro evidente.
Recomendaciones para empresas y desarrolladores
Ante esta amenaza, Koi Security ha emitido una serie de recomendaciones urgentes:
- Eliminar inmediatamente la versión 1.0.16 del paquete Postmark MCP Server.
- Rotar todas las credenciales que hayan podido ser expuestas.
- Auditar todos los servidores MCP en uso, verificando que provienen de repositorios oficiales.
- Revisar el código fuente de cada paquete y monitorizar los cambios en cada actualización.
- Implementar controles de seguridad específicos para servidores MCP, incluyendo inventario de activos y evaluación de riesgos.
Además, es fundamental que las organizaciones adopten una postura proactiva frente a la seguridad de la cadena de suministro digital. Esto implica no solo confiar en repositorios oficiales, sino también establecer políticas de revisión de código y validación de dependencias.
Hacia una nueva arquitectura de confianza
Este incidente no solo expone una vulnerabilidad técnica, sino también una debilidad estructural en la forma en que confiamos en herramientas automatizadas. Los asistentes de IA, al operar con permisos elevados, pueden ejecutar miles de acciones sin supervisión humana. Si el código que utilizan está comprometido, el daño puede ser masivo y silencioso.
Como advierte Koi Security, “no se trata solo de un desarrollador malicioso o de 1.500 instalaciones comprometidas. Es una señal de alerta sobre todo el ecosistema MCP. Estamos entregando permisos de nivel dios a herramientas construidas por personas que no conocemos, no podemos verificar y no tenemos motivos para confiar”.
La aparición de servidores MCP maliciosos obliga a replantear la arquitectura de confianza en entornos automatizados. Las empresas deben adoptar un enfoque de “zero trust” incluso para sus asistentes de IA, y establecer mecanismos de validación continua para cada componente de software que interactúe con datos sensibles.
La seguridad en la era de la IA no se basa solo en firewalls o antivirus, sino en la capacidad de auditar, verificar y controlar cada línea de código que entra en contacto con nuestros sistemas. El caso del Postmark MCP Server es solo el comienzo de una nueva generación de amenazas invisibles, y la respuesta debe ser igual de sofisticada.