El 26 de mayo de 2026, Coinbase acercó la inteligencia artificial al dinero on-chain con el lanzamiento de Base MCP, una pasarela de su red Ethereum de capa 2 que conecta la cuenta del usuario con asistentes como ChatGPT, Claude y Cursor.
El mensaje comercial que acompaña al lanzamiento busca tranquilizar, y lo hace con argumentos sólidos: el sistema es no custodio, el servidor nunca toca las claves privadas y cada acción de escritura exige la aprobación del usuario en Base Account.
Hasta ahí, la promesa suena impecable. El matiz aparece cuando se observa que el diseño no elimina el riesgo, sino que lo traslada, y que el nuevo punto débil tiene nombre propio: el propio usuario.
Qué cambia de verdad con Base MCP
Antes de cualquier crítica conviene reconocer el avance real, porque Base MCP no es una billetera cripto nueva ni entrega el control de los fondos a la máquina.
Su funcionamiento se apoya en el Model Context Protocol de Anthropic, que permite al asistente preparar la acción y dejarla pendiente para que la cuenta del usuario abra después una ventana de revisión con los cambios de saldo y los parámetros clave.
La ventaja del modelo no custodio es concreta: la IA no recibe la frase semilla ni firma dentro del chat, e incluso reduce algún riesgo de phishing, porque la transacción se construye localmente en lugar de extraerse de una web falsificada.
A ello se suma una autenticación mediante OAuth 2.1, el mismo estándar de inicio de sesión presente en buena parte de los servicios web, mientras los socios de lanzamiento abarcan Uniswap para swaps, Morpho y Moonwell para préstamos y Avantis para perpetuos, entre otros.
El riesgo no desaparece: se muda
La seguridad global, sin embargo, no mejora en la misma medida, porque el peligro abandona la custodia de la clave solo para reaparecer en la capa de aprobación y en el entorno del agente.
A la cabeza de los nuevos frentes figura la inyección de prompts: una instrucción maliciosa, oculta en un enlace o en la salida de un plugin, puede empujar al agente hacia acciones que el usuario nunca pidió, y se trata de una vulnerabilidad ya conocida en los sistemas MCP.
El requisito de aprobación atenúa la amenaza sin cancelarla, ya que la firma manual frena la ejecución automática, pero no impide que una propuesta maliciosa llegue bien disfrazada a la ventana de revisión.
El ecosistema multiplica los riesgos por otras vías, pues los servidores MCP no oficiales pueden suplantar a Base y las aprobaciones de tokens conservan su riesgo de contrato inteligente, que la capa de IA no reduce. Lejos de estrecharse, la superficie de ataque se amplía.
A la inmadurez del propio agente se suma la evidencia externa: un estudio de Google y varias universidades recomienda tratar a los agentes como sistemas imperfectos y poco desarrollados, y la campaña TrapDoor ya emplea instrucciones ocultas para comprometer asistentes de desarrolladores.
El usuario como modelo de seguridad
Toda la protección del diseño recae sobre una única acción, la revisión humana, ya que el asistente se limita a redactar la transacción y la decisión final corresponde siempre a la persona.
Sobre el papel la lógica resulta coherente, aunque en la práctica descansa en un supuesto frágil: que el usuario lee con atención cada ventana de confirmación.
La fatiga de aprobación desmiente el optimismo, porque quien confirma decenas de solicitudes acaba pulsando aceptar sin leer, y de una aprobación apresurada nace el fallo más simple y, a la vez, el más probable.
La paradoja de la conveniencia
En el cruce entre ambas capas aparece la tensión central del producto, donde la seguridad exige revisar cada operación con calma mientras la comodidad promete justo lo contrario.
El conflicto se agudiza en DeFi, ya que una estrategia activa puede encadenar muchas operaciones y la aprobación constante termina convertida en fricción, una fricción que erosiona el propio argumento de hablarle a la cartera.
Los micropagos x402 lo ilustran bien, porque el protocolo permite al agente pagar servicios en USDC con operaciones diminutas y frecuentes que resulta inviable revisar una por una y arriesgado aprobar en bloque.
El equilibrio se vuelve casi imposible cuando se intenta sostener todo a la vez: con revisión estricta la herramienta pierde agilidad y sin ella pierde seguridad, de modo que el producto no puede maximizar ambas cualidades.
Lo honesto, por tanto, es hablar de un intercambio y no de un atajo seguro, porque cuanta más comodidad ofrece la gestión de carteras por chat, más se degrada la vigilancia que el modelo necesita.
Un negocio todavía experimental
Los números, además, invitan a la cautela: durante el último año las transacciones basadas en agentes sumaron 73 millones de dólares, una cifra ínfima frente a los 14,5 billones que Visa procesa anualmente.
Con un comercio agéntico todavía pequeño y exploratorio, la urgencia del lanzamiento responde más a la estrategia que a una demanda masiva del usuario.
El propio canal de pagos lo confirma, ya que, según un rastreador del sector, el volumen del protocolo x402 en treinta días rondó apenas 1,1 millones de dólares.
La estrategia queda clara en palabras de la propia compañía, que considera las interfaces de chat agéntico una superficie clave para el descubrimiento de aplicaciones y prevé que las apps necesitarán una nueva forma de aparecer dentro del entorno del agente.
El mapa se completa al unir las dos piezas: la comodidad del usuario y el control de la distribución avanzan juntos, y Coinbase aspira a ocupar la pasarela por donde circule el dinero agéntico.
Cómo usarlo sin Equivocaciones
El uso prudente parte de una idea simple, que consiste en tratar al asistente como redactor de transacciones y nunca como filtro de seguridad.
A partir de ahí, la disciplina manual marca la diferencia: leer completa la ventana de Base Account, verificar token, importe, dirección, red y comisión, y empezar con cantidades pequeñas reduce el margen de error. El círculo se cierra con una buena higiene de conexión, que pasa por confirmar la fuente oficial del MCP, desconectar la integración al terminar y no pegar jamás claves ni frases de recuperación en un chat.
Base MCP representa un paso real de ingeniería, capaz de retirar la custodia de la clave como punto de fallo y de ordenar el flujo de aprobación con un estándar abierto. El avance, sin embargo, convierte un problema de custodia en un problema de atención, y la comodidad que vende compite directamente con la vigilancia que exige.
De ahí que la etiqueta correcta no sea «seguro», sino «depende de ti»: mientras la última defensa siga siendo una persona que aprueba a toda prisa, la promesa de seguridad seguirá teniendo carácter condicional.
