Secretos, certificados y cifrado gestionados desde una única plataforma, con la seguridad basada en la identidad: para personas, máquinas y agentes de IA.
Contraseñas, claves API, tokens y certificados se multiplican con la nube, la automatización y los agentes de IA. Acaban en el código, en las pipelines, en las hojas compartidas: cada copia es una puerta abierta.
Vault autentica a cada persona, máquina, servicio o agente de IA y decide qué puede leer, durante cuánto tiempo y con qué políticas. Todo trazado, todo revocable.
un solo punto para custodiar y distribuir secretos a personas, máquinas y agentes de IA
creación, consumo, caducidad y rotación de los secretos con una única API
políticas granulares y audit trail completo de cada acceso
En lugar de contraseñas fijas compartidas y nunca rotadas, Vault emite credenciales efímeras, dedicadas y temporales: para bases de datos, nube y servicios.
La aplicación se presenta con su identidad (Kubernetes, cloud IAM, AppRole): nada de contraseñas en el código.
Vault crea al vuelo una credencial dedicada sobre la base de datos o la nube, con permisos mínimos.
La credencial tiene un TTL: vale solo por el tiempo necesario para el trabajo a realizar.
Al caducar se revoca sola. En caso de incidente, revocación inmediata y centralizada.
la secret engine PKI emite, renueva y revoca certificados vía API, también con el protocolo ACME
la renovación se convierte en un workflow, no en un vencimiento marcado en el calendario
discovery de los certificados por caducar y renovación orquestada end-to-end, con Vault como motor
Duración máxima de los certificados TLS públicos (CA/Browser Forum)
Renovar a mano ya no será una opción: hace falta una PKI automatizada.
las aplicaciones llaman a la secret engine transit para cifrar y descifrar: las claves se quedan en Vault
generación, rotación y versionado de las claves, también hacia los servicios KMS de las nubes
integración con HSM y controles avanzados en la edición Enterprise, para los entornos regulados
envía el dato a proteger: no ve ni custodia ninguna clave
cifra y descifra vía API, con claves versionadas y rotables
en bases de datos, storage y backups solo viaja y reposa el dato cifrado
Vault Radar escanea repositorios de código y herramientas de colaboración en busca de credenciales expuestas o no gestionadas, y las devuelve bajo control.
analiza repositorios, wikis y chats: cada secreto en claro es localizado y censado
clasifica los findings por riesgo y contexto: primero lo que está realmente expuesto
el secreto entra en Vault, se rota y desaparece de los sitios donde no debía estar
El secreto más peligroso es el que no sabes que tienes.
open source, para empezar y aprender la plataforma
en tu data center o nube privada, con réplica, namespaces y HSM
gestionado sobre la HashiCorp Cloud Platform: clúster dedicado, gestión delegada
Elijas la forma que elijas, la API y las políticas siguen siendo las mismas: se cambia de talla, no de plataforma.
Fuentes: HashiCorp e IBM, 2026
discovery y renovación de los certificados orquestados con Vault como motor nativo
content pack dedicado para la monitorización de seguridad de Vault
secretos dinámicos y rotación dentro de los workflows de provisioning
la caja fuerte junto a los sistemas donde corren los datos que importan
credenciales dinámicas y temporales para cada aplicación: la cuenta compartida y nunca rotada se jubila
PKI automatizada e integración IBM Concert: nunca más servicios parados por un certificado caducado
fuera los secretos del código y el CI/CD: Vault Radar los encuentra, Vault los custodia y los rota
encryption as a service para datos sensibles y requisitos GDPR, sin gestionar claves en las apps
Del primer caso de uso en adelante, Vault se convierte en un hábito: cada nuevo servicio nace ya sin secretos sueltos.
YoctoIT es una sociedad del grupo Var Group, división de servicios. Aseguramos secretos y certificados allí donde corren los sistemas que gestionamos cada día: del Power a la nube.
Calidad certificada: ISO 9001:2015 · ISO 27001:2022 · ISO/IEC 27017 y 27018 · IBM Fusion Certified Partner
“La TI que no se detiene”
Dónde viven hoy tus secretos: código, pipelines, hojas. Quick wins inmediatos con Vault Radar.
Vault en alta disponibilidad, on-premises o nube: auth methods, políticas y auditoría configurados como es debido.
Secret engines, rotación, PKI y cifrado aplicados a tus casos reales, uno a la vez.
Parches, upgrades, auditoría y monitorización en los Managed Services de YoctoIT: la caja fuerte nunca duerme.
Se empieza pequeño y se crece: el primer caso de uso en producción vale más que cualquier roadmap.