Saltar al contenido principal

Marco de Seguridad MCP Web3 de Google Cloud: Cómo evitar que los agentes de IA vacíen su billetera

· 11 min de lectura
Dora Noda
Dora Noda
Software Engineer

Los agentes de IA que pueden comerciar tokens de forma autónoma, reequilibrar posiciones DeFi y pagar por su propia computación suenan revolucionarios — hasta que uno recibe una inyección de prompts para enviar los ahorros de toda tu vida a un atacante. El marco de seguridad MCP Web3 recientemente publicado por Google Cloud aborda exactamente esta pesadilla, presentando un plan de nivel empresarial para asegurar a los agentes del Protocolo de Contexto de Modelo (MCP) que interactúan con las blockchains.

Aquí está lo que recomienda el marco, por qué es importante y cómo se compara con los enfoques de la competencia de Coinbase, Ledger y el estándar de pago emergente x402.

El Problema: Los Agentes de IA con Billeteras son un Arma Cargada

La convergencia de la IA autónoma y la blockchain crea una superficie de amenaza única. A diferencia del software tradicional que ejecuta código determinista, los modelos de lenguaje extensos son probabilísticos — pueden ser engañados, confundidos o secuestrados a mitad de la sesión. Cuando esos modelos poseen claves privadas o tienen autoridad de firma sobre fondos on-chain, las apuestas pasan de ser una "respuesta incorrecta" a una "pérdida financiera irreversible".

Las cifras subrayan la urgencia. Las pruebas de "red-team" de Anthropic revelaron que los agentes de IA explotaron con éxito 207 de 405 contratos inteligentes de prueba, robando 550 millones de dólares en fondos simulados. Más alarmante aún, la explotación de vulnerabilidades de blockchain impulsada por IA saltó del 2% a casi el 56% de todos los exploits en un solo año. Mientras tanto, la inyección de prompts — donde los atacantes incrustan instrucciones maliciosas en datos aparentemente inocuos — sigue siendo el principal vector de ataque para los agentes con acceso a billeteras, capaz de instruir a un agente a transferir fondos a una dirección controlada por el atacante.

El marco de Google Cloud llega en un momento en que la industria necesita desesperadamente salvaguardas. Con un mercado de agentes de IA proyectado para superar los 52 mil millones de dólares y cientos de herramientas blockchain habilitadas para MCP ya en funcionamiento, la brecha entre la capacidad y la seguridad se ha vuelto peligrosa.

Custodio vs. No Custodio: Dos Arquitecturas, Dos Perfiles de Riesgo

En el corazón del marco de Google se encuentra un análisis lúcido de los dos modelos dominantes para la interacción entre agentes y blockchain.

Los agentes custodios controlan las claves privadas directamente. El agente (o su plataforma de alojamiento) posee los fondos y puede firmar transacciones de forma autónoma. Esto permite una operación totalmente autónoma — un agente puede reequilibrar un portafolio DeFi a las 3 AM sin aprobación humana. Pero la compensación es severa: si el anfitrión del agente se ve comprometido, cada billetera delegada se convierte en un objetivo. El modelo custodio concentra el riesgo a nivel de plataforma, convirtiéndolo en un atractivo "honeypot" para los atacantes.

Los agentes no custodios crean transacciones pero no pueden firmarlas. El agente prepara una transacción sin firmar y la devuelve al usuario (o a una billetera de hardware) para su aprobación final. El marco de Google hace una observación puntual: si un servidor MCP ya puede preparar y firmar una transacción con una clave que posee, debería poder realizar la misma lógica sin el paso final de la firma. Este "pequeño cambio desbloquea un paradigma mucho más seguro y flexible" — el agente conserva sus capacidades analíticas y estratégicas mientras el usuario mantiene el control final sobre el movimiento de fondos.

La recomendación de Google es clara: optar por lo no custodio siempre que sea posible, y añadir capas de controles de seguridad adicionales (aislamiento TEE, límites de gasto, simulación de transacciones) cuando el acceso custodio sea verdaderamente necesario.

El Stack de Seguridad: Defensa en Profundidad para Agentes On-Chain

En lugar de proponer una única solución mágica, Google describe una arquitectura de seguridad en capas donde múltiples controles independientes compensan los puntos ciegos de los demás.

Aislamiento TEE para la Gestión de Claves

Los Entornos de Ejecución Confiable (TEEs) — enclaves de hardware como Intel SGX o AMD SEV — proporcionan un espacio físicamente aislado donde las claves privadas pueden existir sin exposición al prompt del agente, la ventana de contexto del LLM o incluso el sistema operativo anfitrión. Como dijo un investigador de seguridad: "no se puede parchar la física ni aplicar ingeniería social a un chip". El aislamiento TEE garantiza que incluso un agente totalmente comprometido no pueda extraer la clave de firma, porque la clave nunca sale del enclave de hardware.

La reciente integración de MoonPay de la firma de hardware Ledger en su plataforma de agentes de IA sigue el mismo principio: cada transacción iniciada por IA requiere confirmación física de hardware, manteniendo las claves privadas permanentemente separadas de la capa de toma de decisiones del agente.

Simulación de Transacciones Antes de la Ejecución

Antes de que cualquier transacción llegue a la blockchain, el marco recomienda pasarla por un entorno de simulación. Esto detecta una clase de ataques donde la transacción parece legítima para el agente pero produce resultados no deseados — vaciar pools de liquidez, activar exploits de préstamos relámpago (flash loans) o interactuar con contratos maliciosos disfrazados de protocolos legítimos.

La simulación de transacciones también sirve como un control de cordura contra los propios errores del agente. Los LLMs pueden alucinar parámetros, malinterpretar los decimales de los tokens o construir transacciones que son técnicamente válidas pero económicamente catastróficas. Una capa de simulación detecta estos errores antes de que se vuelvan irreversibles on-chain.

Límites de tasa y topes de gasto

Incluso con el aislamiento TEE y la simulación, Google aboga por barreras de seguridad financieras integradas en el código. Los topes de gasto a nivel de sesión limitan cuánto puede transaccionar un agente dentro de una sola sesión. Los límites por transacción evitan que cualquier operación individual supere un umbral definido. Los períodos de enfriamiento entre transacciones de alto valor añaden un amortiguador temporal.

Aquí es donde ClawPay MCP y las Agentic Wallets de Coinbase ya han operativizado un pensamiento similar. ClawPay envuelve el SDK de Agent Wallet con la aplicación de límites de gasto integrados: las transacciones que superan el límite se ponen automáticamente en cola para aprobación humana en lugar de ser rechazadas de inmediato. Las Agentic Wallets de Coinbase se distribuyen con topes de sesión programables, límites de transacción y un filtrado KYT (Know Your Transaction) listo para el cumplimiento normativo que bloquea las interacciones de alto riesgo antes de que se ejecuten.

Pistas de auditoría basadas en mandatos

El Protocolo de Pagos de Agentes de Google (AP2) introduce "mandatos" — contratos digitales firmados criptográficamente y a prueba de manipulaciones que prueban las instrucciones de un usuario. Cada transacción lleva una pista de auditoría no repudiable que la vincula con la intención original del usuario. Esto no es solo teatro de seguridad; es un requisito de cumplimiento para la adopción institucional, donde los reguladores exigen pruebas de que un agente autónomo actuó dentro de su ámbito autorizado.

El ecosistema más amplio: Cómo encaja el marco de Google

El marco de Google no existe en un vacío. Llega junto con varios enfoques competidores y complementarios que juntos definen el panorama de seguridad de 2026 para las finanzas agénticas.

Coinbase Agentic Wallets y x402

Las Agentic Wallets de Coinbase representan el extremo de custodia del espectro, construidas a propósito para una autonomía total. Utilizan el aislamiento por enclave para mantener las claves privadas en la infraestructura segura de Coinbase, nunca expuestas al prompt del agente o al LLM. Combinadas con el protocolo x402 — que ahora rige más de 50 millones de transacciones — permiten que los agentes paguen de forma autónoma por acceso a API, computación y datos utilizando stablecoins como USDC.

La Fundación x402, lanzada en colaboración con Coinbase y Cloudflare, rige la especificación abierta con soporte multi-cadena y un diseño agnóstico de tokens. Su mecanismo HTTP 402 "Payment Required" permite que cualquier endpoint de API solicite el pago antes de servir una respuesta, creando una capa de pago nativa para la internet agéntica.

Firma por hardware de Ledger

La integración de Ledger de MoonPay representa el enfoque máximamente no custodio. Cada transacción que inicia el agente de IA debe ser aprobada físicamente en un dispositivo Ledger. Esto elimina por completo el robo de fondos por inyección de prompts: un atacante necesitaría tanto acceso digital al agente como acceso físico a la wallet de hardware. La compensación es la latencia y la pérdida de autonomía total, lo que lo hace más adecuado para operaciones de alto valor donde la seguridad supera a la velocidad.

La perspectiva académica

Un artículo de enero de 2026 sobre "Agentes autónomos en blockchains" formalizó los límites de confianza que el marco de Google operativiza. La investigación encontró que un solo agente comprometido puede envenenar el 87 % de la toma de decisiones aguas abajo en cuatro horas en sistemas de agentes en red, validando el énfasis de Google en el aislamiento y la verificación independiente en cada capa.

Qué significa esto para los constructores

Para los desarrolladores que construyen agentes de IA que interactúan con blockchains, el marco de Google ofrece un árbol de decisión práctico.

  • Operaciones de bajo valor y alta frecuencia (micropagos, acceso a API, recuperación de datos): Use wallets de custodia con topes de gasto y x402 para el pago. El riesgo por transacción es pequeño y la ventaja de velocidad de la autonomía total justifica el modelo de custodia.

  • Operaciones DeFi de valor medio (yield farming, reequilibrio de carteras): Use la gestión de claves aislada por TEE con simulación de transacciones. El agente opera de forma autónoma dentro de parámetros definidos, pero cada transacción se valida antes de la ejecución.

  • Operaciones de alto valor o irreversibles (grandes transferencias, votos de gobernanza, despliegues de contratos): Use una arquitectura no custodia con firma por hardware. El agente diseña y recomienda; el humano (o el dispositivo de hardware) aprueba.

  • Sistemas multi-agente: Implemente pistas de auditoría basadas en mandatos e aísle el alcance de autoridad de cada agente. Nunca permita que el compromiso de un solo agente caiga en cascada por toda la red.

El marco también destaca lo que no se debe hacer: nunca exponga claves privadas en la ventana de contexto de un LLM, nunca confíe en transacciones construidas por agentes sin simulación y nunca despliegue agentes de custodia sin límites de tasa — independientemente de cuán "seguro" afirme ser el modelo subyacente.

El camino por delante

La carrera por asegurar las interacciones entre IA y blockchain apenas comienza. El marco de seguridad Web3 MCP de Google es el esquema empresarial más completo publicado hasta la fecha, pero el panorama de amenazas evoluciona más rápido de lo que cualquier documento individual puede abordar. A medida que los agentes de IA se vuelven más capaces — y más autónomos — la infraestructura de seguridad debe escalar al mismo ritmo.

La industria está convergiendo en unos pocos principios clave: separación de la toma de decisiones de la autoridad de firma, aislamiento de claves respaldado por hardware, simulación obligatoria de transacciones y pistas de auditoría criptográficas. Ya sea que esté construyendo en Google Cloud, en la infraestructura de Coinbase o creando su propia pila de agentes, estos principios no son negociables.

Los agentes están llegando. La pregunta es si construiremos las barreras de seguridad antes o después de que el primer exploit de un agente autónomo de nueve cifras llegue a los titulares.

¿Está construyendo agentes de IA que interactúan con blockchains? BlockEden.xyz proporciona infraestructura RPC y API de grado empresarial a través de Sui, Aptos, Ethereum y más de 20 cadenas — la capa de datos confiable que sus agentes necesitan para la simulación de transacciones, consultas on-chain y estado de blockchain en tiempo real. Explore nuestro marketplace de APIs para potenciar sus aplicaciones agénticas en una infraestructura diseñada para la operación autónoma.

Share on Twitter