Notas de prensa
‘CursorJack’, un ataque con deeplinks dirigido a entornos de desarrollo con IA
Nota de prensa. CursorJack, un método para abusar potencialmente de los deeplinks de Cursor MCP, podría permitir la ejecución de código o la instalación de un servidor MCP remoto malicioso, según investigaciones de la empresa de ciberseguridad Proofpoint.
Un servidor MCP es un programa estandarizado que vincula la IA con herramientas, APIs, bases de datos y archivos locales, para acceder a datos y realizar acciones de manera segura, sin tener que integrar cada herramienta individualmente. Los deeplinks, por su parte, son esquemas de URL personalizados para dirigir a los usuarios a páginas específicas dentro de una aplicación. El IDE de Cursor implementa deeplinks MCP para la instalación rápida de servidores MCP, que son capaces de crear un nuevo vector de ataque en herramientas de desarrollo de IA.
La proliferación de asistentes de codificación de IA ha normalizado las solicitudes de aprobación, y Cursor ejecuta comandos con privilegios de usuario cuando los usuarios aceptan la solicitud de instalación. Los IDE que soportan servidores MCP se implementan normalmente en estaciones de trabajo de desarrolladores que pueden tener acceso privilegiado, incluyendo tokens API, credenciales en la nube, código fuente y acceso a sistemas de producción.
“Como se está animando a los usuarios a adoptar la IA, muchos están escribiendo y ejecutando código por primera vez sin comprender completamente las implicaciones de seguridad, lo que convierte a los desarrolladores en objetivo para los ciberdelincuentes”, apuntan los investigadores de Proofpoint.
Los deeplinks pueden usar cualquier nombre, lo que puede ser utilizado para hacerse pasar por servidores MCP legítimos, como Azure DevOps, mediante ingeniería social, sin que haya verificación de que el deeplink se origine del proveedor declarado. Queda en manos de los usuarios revisar los parámetros antes de aprobar. Controles EDR, listas de permisos y políticas del sistema operativo pueden limitar o bloquear abusos dependiendo de la configuración.
Los comportamientos maliciosos analizados por Proofpoint corresponden a entornos de prueba y no implica una explotación silenciosa o de cero clics por defecto. En sus investigaciones, un solo clic seguido de la aceptación del usuario de una solicitud de instalación ejecutaba comandos arbitrarios, lo que “subraya la necesidad urgente de asegurar los entornos de IA agéntica”, declaran los expertos.
Para Proofpoint, el ecosistema MCP requiere mejoras de seguridad incrustadas directamente en su arquitectura, en vez de depender de herramientas de seguridad adicionales o de la vigilancia del usuario como defensa principal. Los deeplinks de fuentes no confiables deben tratarse con la misma precaución que los ejecutables no confiables. Los flujos de aprobación deben incorporar advertencias de seguridad granulares y verificación de origen para ayudar a los usuarios a distinguir los deeplinks de ubicaciones confiables y no confiables.
Un ecosistema de confianza con firmas y editores verificados para servidores MCP, análogo a las de extensiones de navegador o de instalación de aplicaciones, establecería la autenticidad del servidor. Asimismo, un mecanismo robusto de firma de código garantizaría que los usuarios puedan verificar la fuente y la integridad de los servidores antes de la instalación, creando un entorno similar a un mercado para integraciones MCP de confianza.
‘CursorJack’, un ataque con deeplinks dirigido a entornos de desarrollo con IA
Nace el Laboratorio de Ideas de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA)
MSP Fórum 2026. Un vistazo al futuro del canal de distribución TI
ServiceNow integrará IA nativa en toda su cartera de productos
Intel y Google amplían su colaboración para infraestructura de IA
Microsoft añade soporte extendido al Windows 10 Enterprise 2016 LTSB
Irán, la primera prueba a gran escala de la guerra asistida por IA
«Álex es un agente de IA que toma el pulso legal a la sociedad española en tiempo real»
Telefónica España compra la consultora especializada en SAP Altim
Palo Alto Networks trae Ignite on Tour a Madrid el próximo 14 de abril
Mistral AI: todas las novedades del modelo que se atreve con todo y cumple con Europa
SAP Connect Day for Data & IT: cómo llevar la empresa a la inteligencia en la era agéntica
‘CursorJack’, un ataque con deeplinks dirigido a entornos de desarrollo con IA
Telefónica España compra la consultora especializada en SAP Altim
Atlassian despide a 1.600 empleados para centrarse más en la IA
MSP Fórum 2026: del producto al servicio. Encuentro para partners, integradores, mayoristas y fabricantes
HP: los ataques con IA, rápidos y de bajo coste, superan los sistemas de defensa actuales
Microsoft añade soporte de administración remota RSAT en Windows 11 ARM
-
NoticiasHace 5 díasGoogle libera Gemma 4, su modelo de IA de código abierto más avanzado
-
ContentHace 4 díasNunsys Group convierte el dato en un activo estratégico para AIMPLAS
-
A FondoHace 3 díasAnthropic lanza el Proyecto Glasswing para controlar la potencia de su propia IA en ciberataques
-
NoticiasHace 6 díasASUS UGen300, el primer acelerador de IA en formato USB