Kollabe
Retrospectivas
Póker de Planificación
Standups
Rompehielos
Precios
Tablero

Publicaciones

¿Qué es MCP? El model context protocol explicado para equipos ágiles

Ilustración editorial moderna de un desarrollador frente a un portátil con líneas de conexión translúcidas que fluyen desde una ventana de chat hacia iconos estilizados de un tablero de backlog, una baraja de planning poker y un tablero de retrospectiva, representando un asistente de IA orquestando herramientas reales a lo largo de un flujo de trabajo de sprint
Kelly Lewandowski

Kelly Lewandowski

Última actualización 27/04/20269 min de lectura

Si has usado Claude, Cursor o ChatGPT en los últimos meses, probablemente hayas visto MCP aparecer en el panel de configuración sin demasiadas explicaciones. Anthropic publicó la especificación a finales de 2024, los principales asistentes de programación añadieron soporte a lo largo de 2025, y a principios de 2026 cada herramienta SaaS con una API se apresura a publicar su servidor MCP. La versión corta: MCP es la forma en la que un asistente de IA deja de ser un chatbot y empieza a ser un compañero de equipo que puede hacer trabajo real en tus herramientas. Para los equipos ágiles que ya viven en Jira, GitHub, Linear y Slack todo el día, ese cambio es mayor de lo que parece.

Qué es MCP en realidad

El Model Context Protocol (MCP) es un estándar abierto, publicado originalmente por Anthropic, que define cómo un asistente de IA habla con un sistema externo. En lugar de que cada proveedor de IA construya una integración a medida con cada herramienta SaaS, la herramienta publica un único servidor MCP y cualquier cliente compatible puede usarlo. Puedes pensar en él como el USB-C para herramientas de IA. El host (Claude Desktop, Cursor, ChatGPT, tu IDE) habla el mismo protocolo con cualquier servidor MCP al que apunte, igual que cualquier cable USB-C funciona con cualquier puerto USB-C.
Servidor MCP
Un programa (normalmente ejecutado por el proveedor SaaS) que expone una lista de herramientas que una IA puede invocar, junto con la autenticación y el transporte para llamarlas.
Cliente MCP
La aplicación de IA que consume el servidor. Claude Desktop, Cursor, Zed, ChatGPT y Claude Code incluyen clientes MCP a día de hoy.
Herramienta
Una acción única con nombre y un esquema JSON. Cosas como retro_create_item, planning_poker_cast_vote o standup_submit_answers.
Recurso
Un fragmento de contexto que el servidor puede devolver, como un archivo, un tablero o un resumen de sprint. El modelo puede leerlos sin realizar ninguna acción.
Cuando un usuario lanza un prompt al asistente, el modelo decide qué herramientas invocar, el cliente realiza esas llamadas vía MCP, el servidor las ejecuta contra la API subyacente y los resultados vuelven a la conversación. El usuario ve una sola respuesta. Por detrás, ha ocurrido entre una llamada a herramienta y unas cuantas docenas.

En qué se diferencia MCP de una API REST o un webhook

Las herramientas ágiles llevan más de una década con APIs REST y webhooks. Entonces, ¿por qué hace falta que MCP exista? La respuesta es que las APIs REST y los webhooks están pensados para desarrolladores, no para modelos. Esperan que una persona lea la documentación, decida qué llamar, escriba el código y lo despliegue. MCP está construido para que una IA descubra y use una herramienta en tiempo de ejecución, sin que nadie escriba código de integración antes. Ilustración editorial comparando tres enfoques en tres carriles verticales: un desarrollador escribiendo código etiquetado como API REST, una flecha automatizada disparándose ante un evento etiquetado como webhook, y una interfaz de chat donde una IA selecciona herramientas de un menú etiquetado como MCP, todo renderizado en colores planos y vibrantes
AspectoAPI RESTWebhookMCP
DirecciónTú la llamasTe llama élEl modelo lo llama en tu nombre
Quién escribe la integraciónUn desarrollador, con antelaciónUn desarrollador, con antelaciónEl modelo, en tiempo de ejecución, a partir de una lista de herramientas
DescubrimientoLee la documentaciónLee la documentaciónEl servidor devuelve una lista tipada de herramientas
Modelo de authClaves de API, OAuthPayloads firmadosOAuth 2.1 + PKCE + Dynamic Client Registration
Mejor paraApps y scriptsReaccionar a eventosFlujos de trabajo conversacionales y de agentes
Un webhook es push. Una API REST es pull. MCP es un modelo descolgando el teléfono, preguntando "¿qué puedes hacer por mí ahora mismo?" y haciendo solo las llamadas que necesita para este prompt en concreto. Lo otro que importa es que devuelve definiciones de herramientas tipadas, así que el modelo sabe qué argumentos son obligatorios, cuáles opcionales y cómo será la respuesta. Se acabó adivinar a partir de una página de docs.

El flujo de auth: OAuth 2.1, PKCE y DCR explicados sin tecnicismos

Esta es la parte que la mayoría de la gente se salta y, en realidad, es la que hace que MCP sea utilizable dentro de una empresa. Encajan cuatro piezas, y cada una resuelve un problema concreto.
  1. Dynamic Client Registration (DCR, RFC 7591)
    El OAuth de antes exigía que cada cliente estuviera preregistrado a mano: un desarrollador entra al panel de admin del SaaS, rellena un formulario, copia un client ID y un secret y los pega en algún sitio. Eso no escala cuando "el cliente" es cada instalación de Claude del mundo. DCR permite que el cliente MCP se presente al servidor de forma programática ("Soy Claude Desktop en el portátil de este usuario, esta es mi redirect URI") y el servidor le devuelve un client ID nuevo. Sin que un admin tenga que hacer nada.
  2. Flujo OAuth 2.1 con authorization code
    Una vez que tiene un client ID, el asistente abre tu navegador, te redirige a la página de inicio de sesión del proveedor SaaS y te pide que apruebes la conexión. Es el mismo flujo que usas para "Iniciar sesión con Google" en una web de terceros. Ves exactamente a qué organización te estás conectando y qué permisos (lectura, escritura) está pidiendo el asistente. El proveedor SaaS te devuelve un authorization code, que el cliente intercambia por un access token.
  3. PKCE (Proof Key for Code Exchange)
    PKCE evita que el authorization code sea robado en tránsito. El cliente genera un secreto de un solo uso, lo hashea con SHA-256 y envía el hash por adelantado. Cuando más tarde canjea el code, tiene que enviar el secreto original. Un atacante que intercepte el code no puede canjearlo sin ese secreto. La especificación de MCP exige PKCE con el método S256, sin permitir variantes más débiles.
  4. Resource indicators (RFC 8707)
    La especificación MCP de 2026 también exige que el cliente indique el servidor concreto al que pretende llamar cuando solicita un token. Eso evita que un token emitido para un servidor MCP pueda reutilizarse contra otro distinto. El token queda atado a una única audiencia.
El resultado, desde el punto de vista del usuario, es un clic en su navegador. Desde el punto de vista del equipo de seguridad, es OAuth bien hecho: por usuario, con scopes, atado a una audiencia, revocable y sin secretos compartidos guardados en archivos de configuración.

Por qué los equipos ágiles, en concreto, deberían prestar atención

La mayor parte de la cobertura inicial de MCP se centra en desarrolladores usando IA para leer código o consultar bases de datos. Eso lo vende corto. Los equipos ágiles están en una posición única: gran parte de la preparación de tus reuniones consiste en agregar contexto desde cinco herramientas (PRs, tickets, incidencias, releases, feedback de clientes) y luego escribirlo en una sola herramienta (el standup, el tablero de retro, la sala de planning poker). Esa es exactamente la forma de trabajo en la que MCP es bueno.
🌅Los standups se redactan solos

Tu asistente saca los PRs y la actividad de tickets de ayer de tus herramientas de desarrollo, formatea tus tres respuestas y las envía al standup de hoy antes de que abras Slack.

🃏Planning poker desde el backlog

"Saca los próximos 10 tickets sin estimar, abre una sala de planning poker llamada Sprint 47 y añade cada ticket como una ronda." Un solo prompt, sala de sprint lista.

🪞Retros precargadas con datos reales

Llega a la retro con las incidencias, releases y reportes de clientes de este sprint ya en el tablero, agrupados por columna. El equipo discute, no transcribe.

Action items con contexto

El asistente convierte la discusión de la retro en action items, asigna responsables y enlaza cada uno al hilo o ticket de origen. Sin impuesto de copiar y pegar.

El cambio de fondo es que el rol del scrum master empieza a tener otra pinta. Buena parte de la fontanería de las reuniones (recoger updates, perseguir a los rezagados, resumir el último sprint) es trabajo que una IA puede hacer de forma fiable si tiene la superficie de herramientas correcta. El tiempo humano vuelve a las conversaciones que de verdad necesitan a una persona: facilitar la retro difícil, dar coaching al equipo sobre un impedimento recurrente, ayudar a alguien recién incorporado a escribir mejores historias. Para profundizar en cómo se ve esto en la práctica, mira nuestro artículo sobre cómo los agentes de IA están cambiando la forma de estimar y refinamiento de backlog asistido por IA.

Lo que puedes hacer hoy

Los clientes que actualmente soportan MCP son Claude Desktop, Claude Code, Cursor, Zed, ChatGPT y una lista creciente de frameworks de agentes. En el lado del servidor, GitHub, Linear, Sentry, PagerDuty, Notion, Slack, Atlassian y la mayoría de las herramientas SaaS modernas o bien tienen un servidor MCP, o lo tienen en beta. Ilustración editorial de un tablero de sprint flotando en primer plano con burbujas de chat estilizadas fluyendo hacia él desde la izquierda, cada burbuja con un pequeño icono de código, ticket, incidencia o mensaje, en colores planos vibrantes sobre un fondo de gradiente suave Kollabe también incluye un servidor MCP. Conéctalo al cliente de IA que prefieras y obtienes el conjunto completo de herramientas de standup, retro, planning poker y action items, con el mismo modelo de auth descrito arriba, con scope a una organización y con revocación en un clic si cambias de opinión. Todo está en kollabe.com/mcp, junto con fragmentos de configuración listos para copiar y pegar para cada cliente. Si prefieres construir algo más a medida que una sesión de chat, los mismos endpoints están expuestos a través de la API REST pública de Kollabe usando personal access tokens. Mismo modelo de auth, mismas formas, sin necesidad de cliente MCP. Útil para una Claude Skill que ejecute el formato exacto de standup de tu equipo, un job de CI que abra una sala de planning poker cuando arranque un sprint, o un cron que cierre una retro cada dos viernes.

Un punto de partida razonable

Si tu equipo todavía no ha tocado MCP, la rampa de entrada con menos riesgo es elegir un ritual que te resulte tedioso y conectar un solo servidor MCP. Los standups suelen ser la primera victoria porque el valor se ve en una sola mañana. A partir de ahí, el siguiente sprint suele encontrar un segundo caso de uso por sí mismo. Prueba nuestro generador de plantillas de retrospectiva como punto de partida sin MCP si quieres ver cómo encaja la IA en los rituales ágiles antes de cablear un servidor, y vuelve a este post cuando estés listo para enchufar un asistente a tus herramientas reales.

No. Anthropic publicó la especificación, pero es abierta. OpenAI, Google y varios clientes open source la implementan, y cualquier modelo puede estar detrás de un cliente compatible. Al protocolo le da igual qué modelo haya al otro lado.

Para usarlo, no. Conectar un servidor MCP a Claude Desktop o Cursor son unos pocos clics en ajustes más una aprobación OAuth. Para construir un servidor, sí; esa parte sigue siendo terreno de desarrolladores, pero la mayoría de los equipos solo van a consumir los servidores que publiquen sus proveedores.

El function calling es una característica de un modelo concreto. Los plugins de ChatGPT eran específicos de OpenAI. MCP es un estándar de transporte y autenticación que cualquier modelo y cualquier herramienta pueden implementar, así que un servidor que publicas una vez funciona en cualquier cliente compatible. La interoperabilidad es el objetivo.

Siguen funcionando. MCP suele asentarse sobre la misma API interna que usa tu aplicación web. No estás migrando nada; estás exponiendo una nueva superficie para clientes de IA mientras tus dashboards y scripts siguen pegando a la API como siempre.

Con OAuth 2.1, PKCE, tokens con scope y un camino claro de revocación, la postura de seguridad es la misma que conectar cualquier app de terceros. El riesgo más grande son los prompts malos, no un mal diseño de protocolo. Empieza con scopes de solo lectura, observa lo que hace el asistente durante un sprint y concede acceso de escritura cuando confíes en el flujo.