Tecnología
BlueUP no es un producto aislado: es una plataforma integrada en tres capas diseñada para que organizaciones reguladas adopten IA agéntica sin comprometer seguridad, compliance ni soberanía.
Arquitectura de la Plataforma
Monitorización continua
96 controles
Compliance regulatorio
de grado bancario
162k asientos/seg
Multi-GAAP nativo
Gobernanza de herramientas
y modelos de IA
Cliente desktop
identity-first
Conectividad identity-first
Servicios "dark" por defecto
Capa 1: Accesibilidad Zero Trust
El principio fundamental: sin identidad criptográfica válida, no existe ruta de datos.
Los servicios no tienen IP pública, no responden a escaneos de puertos, no aparecen en Shodan. Solo "existen" para identidades autenticadas con política coincidente.
OpenZiti
Sustrato de conectividad open-source: túneles cifrados, servicios dark, política de servicio.
BlueUP Connect
Cliente desktop que muestra al usuario solo los servicios autorizados.
Identidad criptográfica
Cada agente, servicio y humano tiene identidad Ed25519 verificable.
Dark Services
Sin puertos de entrada, sin IP pública, invisibles a internet.
Partner tecnológico: NetFoundry
Nuestro sustrato de conectividad está construido sobre OpenZiti, la plataforma open-source desarrollada por NetFoundry. Como partner oficial de NetFoundry, ofrecemos tanto despliegue self-hosted como conectividad managed para clientes que lo requieran.
NetFoundry cuenta con el respaldo de inversores como Cisco Investments y partners como Stellar Cyber e Intrusion para entornos de alta seguridad.
Capa 2: Ejecución Soberana
La lógica de negocio se ejecuta en infraestructura controlada, con rendimiento de grado institucional.
Motor financiero (Rust)
10 crates, 191 tests, contabilidad multi-GAAP (Sectorial/IFRS/Fiscal), 162k asientos/seg.
Gateway MCP
Gobierna qué herramientas pueden invocar los agentes, por identidad y política.
Gateway LLM
Controla el acceso a modelos de lenguaje con puntos de aprobación humana.
Sandbox Sandbox de Google que provee aislamiento a nivel de kernel por agente y servicio. En BlueUP se usa para limitar el blast radius de cada componente. Leer más → gVisor
Aislamiento a nivel de kernel por agente y servicio.
Capa 3: Gobernanza y Compliance
Monitorización continua y compliance regulatorio integrado por diseño, no como añadido.
BlueUPALM
Compliance AML/DORA de grado bancario: screening, Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias. Unidad de inteligencia financiera de España (FIU), receptor oficial de las comunicaciones de operativa sospechosa de las entidades obligadas.SEPBLAC, gestión de incidentes.
ComplianceView
96 controles alineados con National Institute of Standards and Technology: organismo federal estadounidense que publica estándares técnicos ampliamente referenciados en ciberseguridad, incluyendo el Cybersecurity Framework y la familia SP 800.NIST, Estándar internacional para sistemas de gestión de seguridad de la información (SGSI). Define controles y proceso de auditoría certificable. Versión vigente: ISO/IEC 27001:2022.ISO 27001, DORA y Fintech Open Source Foundation: fundación bajo la Linux Foundation centrada en open source para servicios financieros. Mantiene proyectos como CDM (Common Domain Model) y SDLC Controls referenciados en compliance.FINOS. Collectors automatizados.
OPA
Evaluación centralizada de políticas de acceso e infraestructura.
Cerbos PDP
Autorización contextual ABAC/RBAC para lógica de negocio.
Sustrato de Identidad
Todo el sistema comparte un modelo de identidad unificado:
| Capa | Tecnología | Función |
|---|---|---|
| Humanos | Keycloak OIDC/PKCE | Autenticación federada sin contraseñas estáticas |
| Workloads | SPIRE SVIDs (Ed25519) | Identidad criptográfica rotatoria por servicio |
| Autorización | Biscuit Tokens v6 | Tokens de capacidad con atenuación asíncrona |
| Cifrado | mTLS extremo a extremo | Verificación mutua en cada conexión |
Stack Tecnológico Completo
| Capa | Tecnologías |
|---|---|
| Frontend | React, TypeScript, CSS Modules |
| Backend | Rust (Axum), Python (FastAPI), NATS JetStream |
| Seguridad | OpenZiti, Keycloak, SPIRE, OPA, Biscuit Tokens, Cerbos |
| IA y Data | Vertex AI, MCP SDK, vLLM / Ollama (soberano) |
| Infraestructura | Google Cloud, Kubernetes (Talos Linux), Terraform, Gitea Actions |
| Aislamiento | Cilium (red), gVisor (kernel), eBPF (observabilidad) |
Principios de Diseño
Identidad como Perímetro
La seguridad no depende de la ubicación del servidor, sino de la identidad criptográfica verificable.
Privilegios Dinámicos
La IA propone, pero las políticas OPA y la intervención humana actúan como frenos de seguridad.
Blast Radius Mínimo
Un compromiso en un agente nunca se traduce en una brecha sistémica.
Compliance por Diseño
DORA, SEPBLAC, Reglamento UE 2024/1689: marco europeo para sistemas de IA basado en riesgo. Prohíbe usos inaceptables, regula los de alto riesgo y establece transparencia para modelos generativos. Entrada en vigor escalonada 2025-2027.AI Act y General Data Protection Regulation: Reglamento UE 2016/679 de protección de datos personales. Aplica a cualquier tratamiento de datos de residentes europeos. Sanciones de hasta el 4% del facturado global.GDPR son requisitos de arquitectura, no añadidos posteriores.
Soberanía del Dato
El procesamiento nunca sale de la infraestructura controlada.
Aplicación por sector
Esta arquitectura se concreta de forma distinta según el sector regulado al que sirva. Consulta los detalles operativos en:
- Banca Privada — Know Your Customer: conjunto de procesos para verificar la identidad de un cliente y entender su perfil de riesgo. En banca y fintech, requisito legal previo a la apertura de relación de negocio. Leer más → KYC reforzado, screening continuo y trazabilidad para HNWI.
- Aseguradoras — AML específico de seguros con workflow SEPBLAC integrado.
- Fintech e IA Agéntica — Gobernanza Modelo arquitectónico bajo el axioma "nunca confíes, verifica siempre". Cada acceso se verifica individualmente con identidad criptográfica, en cada interacción — sin importar si la petición viene de dentro o fuera de la red. Leer más → Zero Trust para agentes autónomos.
Para los lectores que quieren material descargable: Whitepaper DORA y Calculadora DORA.
¿Quieres profundizar en la arquitectura?
Descarga nuestro whitepaper técnico sobre arquitectura identity-first para IA agéntica.