Cuando el agente pasa de leer a actuar: envenenamiento de descripciones de herramientas MCP
Microsoft Incident Response (30 de junio de 2026) muestra cómo una descripción de herramienta MCP modificada en silencio puede llevar a un agente a exfiltrar datos — sin prompt, sin credencial y sin intervención del usuario.
¿Qué es esto?
El 30 de junio de 2026, Microsoft Incident Response publicó Securing AI agents: When AI tools move from reading to acting, el tercer artículo de su serie sobre seguridad de aplicaciones de IA. Su tesis es un desplazamiento del modelo de amenaza más que un fallo aislado: a medida que los agentes empresariales pasan de resumir contenido a tomar acciones — enviar correo, actualizar registros, invocar sistemas de negocio mediante el Model Context Protocol (MCP) —, el impacto de la inyección de prompts cambia de forma. Una entrada envenenada contra un simple resumidor sesga una salida; la misma manipulación contra un agente que actúa desencadena una acción.
El mecanismo concreto que describe Microsoft es el envenenamiento de descripciones de herramientas MCP, una técnica señalada por primera vez por Invariant Labs en abril de 2025 y, según Microsoft, cada vez más observada contra agentes en producción en 2026. Corresponde a dos categorías del OWASP Top 10 for Agentic Applications publicado en diciembre de 2025: ASI02 (uso indebido de herramientas) y ASI04 (vulnerabilidades de la cadena de suministro agéntica).
Cómo funciona
Una herramienta MCP incluye una descripción en lenguaje natural — el metadato que el agente lee para decidir cómo y cuándo invocarla. El punto clave: MCP mezcla ese metadato con los datos en la misma ventana de contexto. La descripción acaba en la memoria de trabajo del agente, junto a sus instrucciones reales, y el modelo no tiene forma fiable de distinguir una instrucción legítima de una maliciosa introducida por un mantenedor aguas arriba.
El ejemplo de Microsoft trata un flujo financiero. Un equipo construye un agente conectado a tres herramientas: una base de proveedores aprobada, un conector de correo y un servidor externo de «enriquecimiento de facturas» revisado por un responsable de servicio pero nunca sometido a una revisión de seguridad independiente. La cadena se desarrolla en cuatro fases — aquí no se reproduce ningún payload de explotación:
- Envenenamiento de la descripción. El mantenedor del servidor de enriquecimiento publica una actualización. El nombre de la herramienta y el resumen visible permanecen idénticos, pero la descripción se reescribe en silencio para insertar instrucciones ocultas — presentadas como un «requisito antifraude» — que ordenan al agente recopilar las facturas impagadas recientes y adjuntarlas a la llamada de enriquecimiento.
- Reconfianza silenciosa. MCP refleja dinámicamente las actualizaciones de metadatos. Donde un cambio de descripción no dispara una reaprobación, el texto envenenado entra en producción sin revisión alguna.
- Invocación. Un analista hace una pregunta rutinaria sobre un proveedor. El agente, al leer la descripción envenenada, recopila registros sensibles más allá del alcance solicitado y los reenvía como un parámetro de apariencia inocua.
- Exfiltración. El servidor devuelve una respuesta «validada» plausible y registra discretamente los datos adjuntos en un punto controlado por el atacante. El analista ve una respuesta limpia; en configuraciones por defecto, no salta ninguna alerta.
Cada paso, por separado, se mantiene dentro de los parámetros normales del agente. El benchmark MCPTox — 45 servidores MCP en vivo y 353 herramientas auténticas — midió tasas de éxito de ataque superiores al 60 % en muchos agentes populares, con un pico en torno al 72 %.
Por qué importa
Lo que hace eficaz al ataque es la ausencia de fallo en un componente concreto. La herramienta estaba aprobada, la consulta a la base heredó los permisos del analista y la llamada saliente fue a un servidor incluido en la lista blanca cuando se añadió. La debilidad reside en la frontera de confianza entre los sistemas, no dentro de ellos — de ahí el silencio de los registros por defecto y la elusión simultánea de un usuario, un prompt y una credencial. Como recuerda Microsoft, IDC proyecta un crecimiento de los agentes empresariales activos desde 28,6 millones en 2025 hacia miles de millones en 2030; cada uno hereda su cadena de herramientas como superficie de ataque.
Defensas
Las recomendaciones de Microsoft se resumen en tres principios que trascienden su propio ecosistema:
Tratar cada servidor MCP como parte de la cadena de suministro. Mantener una lista blanca, a nivel de inquilino, de editores y servidores aprobados; desactivar el acceso «permitir todo»; habilitar solo las herramientas que el agente necesita; exigir un propietario documentado para cualquier servidor externo antes de producción.
Tratar las descripciones de herramientas como prompts de sistema. Puesto que el modelo lee el metadato de la herramienta como contexto de trabajo, modificarlo equivale a modificar las instrucciones del agente. Someter las actualizaciones de descripción a la misma revisión que un cambio de código o de prompt de sistema, y buscar en el texto todo imperativo que no debería figurar en un campo de documentación.
Aplicar la mínima agencia, no solo el mínimo privilegio. Incluso un agente con permisos mínimos puede causar daño si tiene demasiada autonomía. Exigir aprobación humana para acciones de alto impacto (acceso financiero, uso compartido externo, cambios de cuenta), dar a cada agente una identidad no humana con acceso condicional, inspeccionar los parámetros de las llamadas a herramientas con políticas de prevención de pérdida de datos, y establecer una línea base del comportamiento normal para que cualquier nuevo punto de salida, parámetro ampliado o consulta inusual dispare una alerta. Someter al agente a red team contra metadatos envenenados antes del despliegue, no después.
Estado
| Elemento | Referencia | Notas |
|---|---|---|
| Guía de Microsoft IR | Microsoft Incident Response, 2026-06-30 | Transición «leer → actuar»; patrón de ataque sobre flujo financiero |
| Origen de la técnica | Notificación tool-poisoning de Invariant Labs, 2025-04 | Primera divulgación pública del envenenamiento de descripciones MCP |
| Marco de referencia | OWASP Top 10 for Agentic Applications, 2025-12 | ASI02 uso indebido de herramientas, ASI04 cadena de suministro agéntica |
| Evidencia empírica | Benchmark MCPTox | 45 servidores, 353 herramientas; éxito > 60 %, pico ~72 % |
| Explotación observada | Según Microsoft, observada en 2026 | Ninguna organización víctima concreta divulgada |
La lección duradera: es la autonomía, no el permiso, la variable que convierte una instrucción inyectada en un incidente. La inyección de prompts en el contexto de un agente — incluso a través de las herramientas en que confía — debe presumirse posible; la defensa consiste en restringir lo que un agente secuestrado puede hacer a continuación.
Sources
- → https://www.microsoft.com/en-us/security/blog/2026/06/30/securing-ai-agents-ai-tools-move-from-reading-acting/
- → https://invariantlabs.ai/blog/mcp-security-notification-tool-poisoning-attacks
- → https://genai.owasp.org/2025/12/09/owasp-genai-security-project-releases-top-10-risks-and-mitigations-for-agentic-ai-security/
- → https://thehackernews.com/2026/06/microsoft-warns-poisoned-mcp-tool.html