Tecnología
BlueUP no es un producto aislado: es una plataforma integrada en tres capas diseñada para que organizaciones reguladas adopten IA agéntica sin comprometer seguridad, compliance ni soberanía.
Arquitectura de la Plataforma
┌─────────────────────────────────────────────────────────────┐
│ CAPA 3: GOBERNANZA Y COMPLIANCE │
│ │
│ ComplianceView BlueUPALM (AML/DORA) │
│ Monitorización Compliance regulatorio │
│ continua de grado bancario │
│ 96 controles Screening, SEPBLAC, DORA │
├─────────────────────────────────────────────────────────────┤
│ CAPA 2: EJECUCIÓN SOBERANA │
│ │
│ Motor financiero Rust Gateways MCP / LMM │
│ 162k asientos/seg Gobernanza de herramientas │
│ Multi-GAAP nativo y modelos de IA │
├─────────────────────────────────────────────────────────────┤
│ CAPA 1: ACCESIBILIDAD ZERO TRUST │
│ │
│ BlueUP Connect OpenZiti / NetFoundry │
│ Cliente desktop Conectividad identity-first │
│ identity-first Servicios "dark" por defecto │
├─────────────────────────────────────────────────────────────┤
│ SUSTRATO: IDENTIDAD CRIPTOGRÁFICA │
│ │
│ Keycloak (humanos) · SPIRE SVIDs (workloads) │
│ Biscuit Tokens (autorización offline) │
│ OPA (políticas infra) · Cerbos (políticas app) │
└─────────────────────────────────────────────────────────────┘Capa 1: Accesibilidad Zero Trust
El principio fundamental: sin identidad criptográfica válida, no existe ruta de datos.
Los servicios no tienen IP pública, no responden a escaneos de puertos, no aparecen en Shodan. Solo "existen" para identidades autenticadas con política coincidente.
| Componente | Función |
|---|---|
| OpenZiti | Sustrato de conectividad open-source: túneles cifrados, servicios dark, política de servicio |
| BlueUP Connect | Cliente desktop que muestra al usuario solo los servicios autorizados |
| Identidad criptográfica | Cada agente, servicio y humano tiene identidad Ed25519 verificable |
| Dark Services | Sin puertos de entrada, sin IP pública, invisibles a internet |
Partner tecnológico: NetFoundry
Nuestro sustrato de conectividad está construido sobre OpenZiti, la plataforma open-source desarrollada por NetFoundry. Como partner oficial de NetFoundry, ofrecemos tanto despliegue self-hosted como conectividad managed para clientes que lo requieran.
NetFoundry cuenta con el respaldo de inversores como Cisco Investments y partners como Stellar Cyber e Intrusion para entornos de alta seguridad.
Capa 2: Ejecución Soberana
La lógica de negocio se ejecuta en infraestructura controlada, con rendimiento de grado institucional.
| Componente | Función |
|---|---|
| Motor financiero (Rust) | Contabilidad multi-GAAP (Sectorial, IFRS, Fiscal), 162k asientos/seg |
| Gateway MCP | Gobierna qué herramientas pueden invocar los agentes, por identidad y política |
| Gateway LMM | Controla el acceso a modelos de lenguaje con puntos de aprobación humana |
| Sandbox gVisor | Aislamiento a nivel de kernel por agente y servicio |
Capa 3: Gobernanza y Compliance
Monitorización continua y compliance regulatorio integrado por diseño, no como añadido.
| Componente | Función |
|---|---|
| BlueUPALM | Compliance AML/DORA de grado bancario: screening, SEPBLAC, gestión de incidentes |
| ComplianceView | 96 controles alineados con NIST, ISO 27001, DORA y FINOS. Collectors automatizados |
| OPA | Evaluación centralizada de políticas de acceso e infraestructura |
| Cerbos PDP | Autorización contextual ABAC/RBAC para lógica de negocio |
Sustrato de Identidad
Todo el sistema comparte un modelo de identidad unificado:
| Capa | Tecnología | Función |
|---|---|---|
| Humanos | Keycloak OIDC/PKCE | Autenticación federada sin contraseñas estáticas |
| Workloads | SPIRE SVIDs (Ed25519) | Identidad criptográfica rotatoria por servicio |
| Autorización | Biscuit Tokens v6 | Tokens de capacidad con atenuación asíncrona |
| Cifrado | mTLS extremo a extremo | Verificación mutua en cada conexión |
Stack Tecnológico Completo
| Capa | Tecnologías |
|---|---|
| Frontend | React, TypeScript, CSS Modules |
| Backend | Rust (Axum), Python (FastAPI), NATS JetStream |
| Seguridad | OpenZiti, Keycloak, SPIRE, OPA, Biscuit Tokens, Cerbos |
| IA y Data | Vertex AI, MCP SDK, vLLM / Ollama (soberano) |
| Infraestructura | Google Cloud, Kubernetes (Talos Linux), Terraform, Gitea Actions |
| Aislamiento | Cilium (red), gVisor (kernel), eBPF (observabilidad) |
Principios de Diseño
| Principio | Descripción |
|---|---|
| Identidad como Perímetro | La seguridad no depende de la ubicación del servidor, sino de la identidad criptográfica verificable |
| Privilegios Dinámicos | La IA propone, pero las políticas OPA y la intervención humana actúan como frenos de seguridad |
| Blast Radius Mínimo | Un compromiso en un agente nunca se traduce en una brecha sistémica |
| Compliance por Diseño | DORA, SEPBLAC, AI Act y GDPR son requisitos de arquitectura, no añadidos posteriores |
| Soberanía del Dato | El procesamiento nunca sale de la infraestructura controlada |
¿Quieres profundizar en la arquitectura?
Descarga nuestro whitepaper técnico sobre arquitectura identity-first para IA agéntica.