Microsoft quiere facilitar la automatización con IA de Windows 11. Recuerda al gran error de seguridad que ya cometió con Office

Microsoft está decidida a elaborar la experiencia del becario en Windows 11 recurriendo a la inteligencia sintético. En su conferencia Build, la compañía anunció la integración nativa en el mismo del MCP (Model Context Protocol), abriendo así la puerta a una nueva era de automatización inteligente de las funciones y aplicaciones de su sistema eficaz.

Pero, al igual que ocurrió hace tiempo con ActiveX y OLE Automation en Microsoft Office e Internet Explorer, esta ambiciosa iniciativa asimismo podría convertirse en un problema de seguridad de enormes dimensiones.

¿Qué es MCP y qué propone Microsoft?

El Model Context Protocol (MCP) fue presentado por la empresa Anthropic hace escasamente seis meses como un protocolo estandarizado para que las aplicaciones con funciones de IA puedan conseguir a datos de distintos sistemas. Sin requisa, su desarrollo (como su éxito) ha sido rápida: ahora se perfila como la almohadilla para una automatización más generalizada, no solo en el interior de una aplicación, sino entre múltiples servicios.

MCP permite que los servidores —locales o remotos— informen sobre sus capacidades y reciban comandos para ejecutar tareas. Con almohadilla en eso, el objetivo de Microsoft es codicioso: que un solo comando, en habla natural, pueda iniciar una condena de acciones que abarquen desde la colección de datos hasta la creación de gráficos en Excel y el remisión inevitable por correo electrónico.

Windows será un 'sistema eficaz para agentes'

Con la inclusión de MCP en Windows, Microsoft quiere convertir el sistema eficaz en lo que lumbre un "agentic OS": un entorno donde los agentes de IA pueden ejecutar acciones complejas en nombre del becario. Para hacerlo posible, se introducirán varias novedades:

1. Registro tópico de MCP: permitirá descubrir los servidores MCP instalados.
2. Servidores MCP integrados: expondrán funciones del sistema como el ataque al sistema de archivos, manejo de ventanas y el Subsistema de Windows para Linux (WSL).
3. 'App Actions': una nueva API que habilita a las aplicaciones de terceros a exponer sus propias acciones como servidores MCP, facilitando la automatización entre apps.

Ya se han anunciado colaboraciones con empresas como Figma, Perplexity, Teleobjetivo, Todoist y Spark Mail, lo que evidencia el interés de la industria por esta infraestructura.

Automatización sí, pero ¿a qué precio?

A pesar del potencial de MCP, los riesgos de seguridad son considerables. El propio David Weston, vicepresidente de seguridad empresarial y del sistema eficaz en Microsoft, advirtió sobre siete vectores de ataque que amenazan esta obra:

• 'Cross-prompt injection': comandos maliciosos que modifican las instrucciones del agente.
• Descuido de autenticación robusta: estándares actuales inconsistentes e inmaduros.
• Filtración de credenciales.
• 'Tool poisoning': uso de servidores MCP no verificados que podrían estar comprometidos.
• Abandono de contención entre procesos.
• Escasa revisión de seguridad en muchos servidores MCP.
• Riesgos en la condena de suministro, por la inclusión de servidores maliciosos.

Estos problemas son las que recuerdan a las vulnerabilidades históricas de ActiveX y OLE Automation en Office, tecnologías que, aunque facilitaron una tímida automatización primigenia, asimismo fueron explotadas por ciberdelincuentes durante abriles.

¿Cómo planea Microsoft mitigar estos riesgos?

Microsoft asegura que la seguridad es su máxima prioridad. Para ello, ha propuesto una serie de medidas:

1. Proxy intermediario: gestionará todas las interacciones MCP cliente-servidor para aplicar políticas de seguridad, auditoría y consentimiento.
2. Nivel de seguridad almohadilla para los servidores MCP: incluirá requisitos como firma de código, pruebas de seguridad en las interfaces y testimonio de privilegios necesarios.
3. Aislamiento en tiempo de ejecución y permisos granulares, que limiten las acciones según contexto y origen.

No obstante, muchas de estas medidas no estarán disponibles a tiempo para la 'preview' original que se proporcionará en unas semanas a los desarrolladores.

Lecciones del pasado: ¿se repetirá la historia?

Para entender los riesgos del Model Context Protocol (MCP), puntada con echar la aspecto detrás a las tecnologías de automatización que Microsoft ha impulsado en el pasado. Dos ejemplos especialmente ilustrativos son ActiveX y OLE Automation, pilares fundamentales para la automatización en Office y otros productos de Microsoft durante décadas, pero asimismo notorias por su historial de vulnerabilidades.

ActiveX: el heroína de Troya en Internet Explorer

ActiveX, introducido en los abriles 90 como una forma de ejecutar componentes COM en el interior del navegador Internet Explorer, prometía enriquecer la experiencia web con formularios interactivos, reproductores multimedia, herramientas de impresión, etcétera. En teoría, permitía a las páginas web ofrecer funcionalidades similares a las de una aplicación de escritorio... en la ejercicio, ActiveX fue un desastre de seguridad.

Conveniente a su parada nivel de permisos y escasa contención, los controles ActiveX podían ejecutar código gratuito en el sistema del becario. Esto permitió a atacantes distribuir malware simplemente con que el becario visitara una página web: así, se convirtió en un vector popular de infecciones por troyanos, keyloggers y spyware. Aunque Microsoft implementó más tarde medidas como el 'killbit' o el uso de zonas de seguridad, el daño a la reputación de esta tecnología ya estaba hecho.

OLE Automation: el truco detrás de los macros maliciosos

Por otro costado, OLE Automation permitió que algunas aplicaciones de Office, como Word y Excel, interactuaran con otras aplicaciones y sistemas a través de scripts y macros escritos en VBA (Visual Basic for Applications). Esta capacidad convirtió a Office en una poderosa utensilio de automatización empresarial... y asimismo en una de las puertas de entrada favoritas para ataques basados en macros maliciosos.

Durante abriles, los cibercriminales aprovecharon las macros de Excel y Word para ejecutar cargas maliciosas, descargar ransomware o establecer puertas traseras en los sistemas. Incluso hoy, a pesar de restricciones recientes (como la desactivación por defecto de macros descargadas de Internet), OLE y VBA siguen siendo un vector relevante de ataque, especialmente en entornos corporativos donde estas funciones aún se utilizan.

El paralelismo con MCP

MCP comparte con estas tecnologías un principio fundamental: permitir que diferentes componentes —sistemas, aplicaciones y ahora agentes de IA— se comuniquen entre sí para automatizar tareas. Pero lo hace desde un nivel más parada de conceptualización y, sobre todo, con una nueva capa de inteligencia sintético.

Este brinco conceptual añade utilidad, pero asimismo amplifica los riesgos. Un agente de IA que tenga ataque a múltiples servidores MCP podría, por ejemplo, consultar datos privados, modificar archivos, exhalar aplicaciones, o dirigir correos... con una sola orden maliciosa si no se han establecido límites claros.

Adicionalmente, como ocurre con ActiveX y OLE, el éxito de MCP dependerá en gran medida de cómo se regulen los servidores de terceros. Sin una demostración estricta de estos componentes —poco que Microsoft ha dicho que planea hacer... en un futuro—, MCP podría inaugurar la puerta a un nuevo tipo de ataque: uno orquestado por agentes conversacionales.

¿Será diferente esta vez? La historia demuestra que cuando la automatización es demasiado poderosa y accesible sin suficientes controles, los atacantes no tardan en explotar sus debilidades. Si perfectamente Microsoft ha mostrado más conciencia de estos riesgos desde el principio con MCP, aún queda por ver cómo se implementarán sus promesas de seguridad en entornos reales.

Imagen | Marcos Merino mediante IA

En Genbeta | Excel bloqueó las macros para evitar la entrada de malware, pero la alternativa que nos ofrece asimismo es cada vez menos segura