MCP como estándar multi-vendor: patrones ya maduros
Actualizado: 2026-04-30
El Model Context Protocol[1], propuesto por Anthropic en noviembre de 2024, ha atravesado el ciclo completo: experimento → adopción múltiple → estándar de facto. En 2026, con OpenAI, Google, Cursor, Claude Code, VS Code y cientos de herramientas comunitarias soportándolo, los patrones operativos están maduros.
Puntos clave
- El patrón probado combina servidores MCP comunitarios genéricos con servidores propios para lógica de dominio.
- Las políticas explícitas en la capa del agente definen qué operaciones requieren confirmación humana.
- Las credenciales nunca viajan al modelo: el servidor las tiene localmente y ejecuta en su nombre.
- La composición con prefijos por servidor (
fs:read_file,db:query) evita colisión de nombres. - Servidores MCP sin tests de contrato rompen silenciosamente en cada upgrade.
Separación clara: herramientas genéricas vs específicas
El patrón habitual en 2026 es combinar:
- Servidores MCP comunitarios para capacidades genéricas: sistema de ficheros, bash, web fetch, búsqueda. Se instalan desde
npx,uvxo marketplaces de MCP. - Servidores propios para la lógica de dominio. Se desarrollan con el SDK oficial y se versionan junto al producto.
No mezclar. Modificar el servidor MCP genérico localmente es un bug esperando a pasar: el próximo update sobrescribe los cambios. Capacidades custom van en servidor propio.
Políticas explícitas por servidor
Cada servidor MCP declara qué herramientas expone y con qué parámetros. La parte que se gestiona en la capa del agente es la política. Ejemplo típico con el servidor de ficheros:
read_file: permitido libremente.write_file: requiere confirmación si está fuera de un directorio específico.delete_file: nunca ejecuta sin validación explícita.
Esto es órdenes de magnitud más fiable que dejar al modelo decidir qué operaciones ejecutar sin restricciones.
Autenticación y credenciales fuera del modelo
Las credenciales no viajan al modelo:
- El servidor MCP las tiene localmente.
- El modelo pide operaciones por nombre y parámetros.
- El servidor ejecuta con sus credenciales.
Esto reduce drásticamente el vector de prompt injection buscando exfiltrar tokens. El patrón es:
- Variables de entorno al arrancar el servidor.
- Jamás en el prompt del agente.
- Rotación de credenciales sin redeployar el agente.
Composición de servidores
Un agente maduro habla con varios servidores MCP a la vez. Las herramientas se presentan al modelo con prefijos por servidor:
fs:read_filedb:queryweb:fetch
Esto evita colisión de nombres. El orquestador decide a qué servidor va cada operación; el modelo no lo elige explícitamente.
Antipatrones evitados tras un año de experiencia
Tres errores que se ven con menos frecuencia pero siguen apareciendo:
- Exponer herramientas peligrosas sin política:
delete,rm -rf,db querysin filtro. - Servidores MCP custom sin tests: romper contrato en un upgrade tumba el agente sin aviso claro.
- Memoria compartida entre servidores MCP que debería ser aislada: permite inyecciones cruzadas.
Conclusión
MCP en 2026 es estándar probado. Los patrones de despliegue están bien entendidos: genéricos comunitarios + propios de dominio, políticas explícitas, credenciales fuera del modelo, composición con prefijos, tests de contrato. Equipos que siguen esta pauta tienen agentes estables; los que improvisan lidian con rupturas silenciosas.
