Seguridad en MCP: cómo FlipLink protege las acciones destructivas
Seguridad del servidor MCP en términos claros: cómo FlipLink usa tres modos y un token de confirmación para evitar que una IA borre o venda sin tu visto bueno.
Publicado el 21 de junio de 2026 · 8 min read
Conectar un asistente de IA a una herramienta real es emocionante, justo hasta que te das cuenta de que el asistente ahora puede hacer cosas — crear, publicar y, sí, borrar. Cuando le entregas a un agente de IA las llaves de tu cuenta de FlipLink a través de un servidor MCP, la pregunta obvia es: ¿qué impide que borre un flipbook publicado o cambie un precio porque malinterpretó tu solicitud?
Esta guía recorre cómo el servidor MCP de FlipLink gestiona la seguridad del servidor MCP — los tres modos en los que puedes ejecutarlo, la barrera del token de confirmación que protege las acciones destructivas y de dinero, y cómo elegir la configuración adecuada para tu forma de trabajar.
Por qué dejar que una IA ejecute escritura y borrado es arriesgado
Una IA de solo lectura tiene poco en juego. Lo peor que puede hacer es resumir la lista equivocada. Pero en cuanto un asistente puede llamar a flipbook_delete o cambiar precios, un solo malentendido tiene consecuencias reales: una instrucción mal leída, un bucle demasiado entusiasta de “limpiar flipbooks viejos”, o un intento de inyección de prompt escondido en un documento pueden convertirse en acciones que nunca quisiste.
La solución no es prohibir las escrituras — eso anula el propósito de la automatización. La solución es la confianza gradual: expón solo lo que la tarea necesita y pon un freno deliberado delante de las acciones que no puedes deshacer con facilidad.
Los tres modos
El servidor MCP de FlipLink viene con tres modos, que se configuran con la variable de entorno FLIPLINK_MCP_MODE. Cada modo controla exactamente qué herramientas puede siquiera ver el cliente de IA — si una herramienta no está expuesta, el asistente no puede llamarla.
| Modo | Herramientas expuestas | Notas |
|---|---|---|
readonly | 19 | Solo lecturas — list, get, whoami. Nada cambia tu cuenta. |
safe | 79 | El modo predeterminado. Lecturas + escrituras reversibles + control de acceso. Sin borrado, sin comercio. |
full | 87 | Todo, incluidas las herramientas de borrado y de dinero (con barrera — mira más abajo). |
Vale la pena destacar algunas cosas:
safees el modo predeterminado. Si no configuras nada, obtienes solo escrituras reversibles — crear, publicar/despublicar, definir caducidad, asignar a carpeta, configurar la captación de leads. Las acciones que no te importaría deshacer a mano.readonlyes perfecto para analíticas e informes. Apunta un asistente a tu cuenta para responder “¿cuántos flipbooks publicamos este trimestre?” sin ninguna posibilidad de una escritura.fulldesbloquea las últimas 8 herramientas — borrado y comercio — pero esas no se ejecutan en la primera llamada. Pasan por la barrera del token de confirmación.
El modo se define en el bloque de configuración de tu cliente, junto a tu clave de API:
{
"mcpServers": {
"fliplink": {
"command": "npx",
"args": ["-y", "fliplink-mcp"],
"env": { "FLIPLINK_API_KEY": "<YOUR_KEY>", "FLIPLINK_MCP_MODE": "safe" }
}
}
}
La barrera del token de confirmación
En el modo full, las dos categorías más arriesgadas — las acciones destructivas (borrar un flipbook) y las acciones de dinero (cambios de venta y de precios) — nunca se ejecutan en la primera llamada. En su lugar, el servidor usa un proceso de previsualizar-y-luego-confirmar.
Cuando el asistente llama a una herramienta con barrera, el servidor no realiza la acción. Devuelve una previsualización de una línea de lo que ocurriría más un confirm_token de corta duración. Ese token está vinculado a los argumentos exactos de la llamada y caduca en 5 minutos. Para ejecutar la acción de verdad, el asistente tiene que volver a llamar a la herramienta con el token correspondiente.
Este es el ciclo completo. Primera llamada — el asistente pide borrar un flipbook:
// Call 1: flipbook_delete { "FlipbookID": "90442" }
// Server response (nothing deleted yet):
{
"preview": "Will permanently delete flipbook 90442 (\"Q3 Sales Deck\").",
"confirm_token": "cf_9f3a...e21",
"expires_in": 300
}
El asistente te muestra esa previsualización. Si le dices que adelante, vuelve a llamar con el token:
// Call 2: flipbook_delete { "FlipbookID": "90442", "confirm_token": "cf_9f3a...e21" }
// Now the action runs:
{ "Result": "OK" }
Como el token está vinculado a los argumentos, un asistente no puede obtener un token para borrar el flipbook A y reutilizarlo en el flipbook B — los argumentos no coincidirán y el servidor lo rechaza. Y como caduca en cinco minutos, un token que quede olvidado en una conversación larga se vuelve obsoleto por sí solo.
Cómo elegir un modo
Una regla sencilla:
- ¿Solo estás explorando o haciendo informes? Usa
readonly. Obtienes información con cero riesgo. - ¿Automatización del día a día — crear y publicar flipbooks? Usa
safe(el predeterminado). Todo lo que haces es reversible. - ¿Realmente necesitas automatizar el borrado o los precios? Usa
fully apóyate en la barrera del token de confirmación para que las acciones irreversibles sigan siendo deliberadas.
La mayoría debería quedarse en safe. Recurre a full solo cuando un flujo de trabajo concreto lo necesite — por ejemplo, un script de fin de trimestre que retira flipbooks viejos — e incluso entonces, la barrera garantiza que cada borrado se previsualice antes de que ocurra.
Prueba FlipLink Gratis
Convierte tu PDF en segundos. Sin registro, sin tarjeta de crédito — solo súbelo y listo.
Drop your PDF here or click to browse
Máximo 40MB
Los planes de pago desde $39 lo amplían a 150 MB.
Aplicación en el servidor (la API no cambia)
Un detalle importante: todo esto vive en el servidor MCP, no en la API de FlipLink. La API REST es exactamente la misma de siempre — los mismos endpoints, la misma autenticación con X-Api-Key, el mismo modelo de respuesta Result. Los modos y la barrera del token de confirmación son protecciones que la capa MCP añade por encima.
Eso importa por dos razones. Primero, tus integraciones y scripts de API actuales no se ven afectados — nada cambia en ellos. Segundo, la seguridad no es algo que el cliente de IA pueda esquivar a base de labia: el servidor sencillamente no expone herramientas ocultas en readonly/safe, y se niega a actuar sobre una herramienta con barrera sin un token válido. La aplicación es estructural, no opcional.
Si tu clave de API falta o es incorrecta, cada herramienta devuelve instrucciones de configuración claras en lugar de fallar en silencio — así, un cliente mal configurado te dice qué corregir.
Anotaciones de MCP
Además del filtrado por modos y de la barrera, cada herramienta lleva anotaciones MCP estándar — pistas de metadatos que los clientes de IA bien diseñados leen para entender la naturaleza de una herramienta:
readOnlyHint— la herramienta solo lee; no cambia nada.destructiveHint— la herramienta puede eliminar o sobrescribir datos (por ejemplo, borrar).idempotentHint— llamarla dos veces con los mismos argumentos tiene el mismo efecto que llamarla una sola vez.
Estas pistas permiten que un cliente cuidadoso muestre sus propias advertencias o pida confirmación antes de invocar una herramienta destructiva — una capa extra de precaución que complementa la barrera del servidor en lugar de reemplazarla.
Preguntas frecuentes
¿Es seguro usar MCP con una cuenta real?
Sí, cuando el servidor está construido con protecciones. FlipLink usa de forma predeterminada el modo safe (solo escrituras reversibles), y las acciones irreversibles del modo full están protegidas por una barrera de token de confirmación. Tú decides cuánto acceso conceder mediante FLIPLINK_MCP_MODE.
¿Qué permite en realidad el modo predeterminado?
El modo safe expone 79 herramientas: lecturas, escrituras reversibles (crear, publicar, definir caducidad, asignar a carpeta) y ajustes de control de acceso. No incluye el borrado ni ninguna herramienta de comercio o precios.
¿Puede la IA borrar un flipbook sin mi aprobación?
No en readonly ni en safe — la herramienta de borrado ni siquiera está expuesta. En el modo full, el borrado tiene barrera: el servidor primero devuelve una previsualización y un token de confirmación de 5 minutos, y la acción solo se ejecuta cuando el asistente vuelve a llamar con ese token exacto.
¿Algo de esto cambia la API de FlipLink?
No. Los modos, la barrera y las anotaciones viven todos en el servidor MCP. La API subyacente — los endpoints, la autenticación con X-Api-Key y el modelo Result — no cambia, así que tus integraciones actuales siguen funcionando tal cual.
Lecturas relacionadas
¿Listo para crear tu primer flipbook?
Convierte tus PDF en flipbooks y documentos interactivos. Empieza con el Lifetime Deal de FlipLink: acceso de por vida desde solo $39.
Paga una vez, usa para siempre
10, 50 o 100 flipbooks · Las 35 funciones · Dominios ilimitados
Sin niveles. Sin restricciones. Cada código LTD desbloquea todo.
- Cada función desbloqueada — sin límites
- Acumulable — compra más códigos cuando quieras
- Reemplazable — cambia el antiguo por uno nuevo
- Dominios propios ilimitados (CNAME)
- Sin costos recurrentes, nunca
Lecturas relacionadas
Crea un agente de IA que genere flipbooks
Crea un agente de IA para documentos que convierta un informe mensual en un flipbook publicado de forma automática con el servidor MCP de FlipLink y Claude.
Cómo conectar FlipLink a Claude con el servidor MCP
Configura el servidor MCP de FlipLink para Claude en minutos y deja que cree, publique y gestione tus flipbooks con lenguaje natural.
FlipLink CLI vs. API vs. MCP: ¿qué integración deberías usar?
CLI, API o MCP en FlipLink: compara esfuerzo, público y caso de uso, y crea el mismo flipbook de tres formas. Elige la integración correcta.