Identity-based security · una presentación YoctoIT

HashiCorp Vault

Secretos, certificados y cifrado gestionados desde una única plataforma, con la seguridad basada en la identidad: para personas, máquinas y agentes de IA.

AHORA UNA SOCIEDAD IBM Sinergia nativa con IBM Concert, QRadar, Terraform, IBM Z y Power
Julio 2026 · Material de presentación YoctoIT para clientes y partners
01 · El contexto

Los secretos están por todas partes. Y se nota.

Contraseñas, claves API, tokens y certificados se multiplican con la nube, la automatización y los agentes de IA. Acaban en el código, en las pipelines, en las hojas compartidas: cada copia es una puerta abierta.

4,4 mln $
el coste medio global de una violación de datos (fuente: IBM, Cost of a Data Breach 2025)
97%
de las organizaciones golpeadas por incidentes ligados a la IA no tenía controles de acceso de IA adecuados (fuente: IBM, 2025)
47 días
la duración máxima de los certificados TLS públicos para 2029 (CA/Browser Forum)

¿Dónde viven hoy los secretos?

Código fuente y repositorios
Pipelines CI/CD y automatizaciones
Variables de entorno y archivos de configuración
Hojas, wikis y tickets
Chats de equipo y notas personales
02 · La plataforma

Una sola identidad, una sola caja fuerte

Vault autentica a cada persona, máquina, servicio o agente de IA y decide qué puede leer, durante cuánto tiempo y con qué políticas. Todo trazado, todo revocable.

Centraliza

un solo punto para custodiar y distribuir secretos a personas, máquinas y agentes de IA

Automatiza

creación, consumo, caducidad y rotación de los secretos con una única API

Controla

políticas granulares y audit trail completo de cada acceso

Autenticación basada en identidadLDAP y Active Directory · OIDC · Kubernetes · cloud IAM
Vault corepolicy engine · audit trail completo · una API para todo
KV
Database
PKI
Transit
Secret engines: los motores que emiten y gestionan secretos estáticos, dinámicos, certificados y cifrado
03 · Secretos dinámicos

La mejor credencial caduca sola

En lugar de contraseñas fijas compartidas y nunca rotadas, Vault emite credenciales efímeras, dedicadas y temporales: para bases de datos, nube y servicios.

STEP 1

Solicitud

La aplicación se presenta con su identidad (Kubernetes, cloud IAM, AppRole): nada de contraseñas en el código.

STEP 2

Emisión

Vault crea al vuelo una credencial dedicada sobre la base de datos o la nube, con permisos mínimos.

STEP 3

Vida corta

La credencial tiene un TTL: vale solo por el tiempo necesario para el trabajo a realizar.

STEP 4

Revocación

Al caducar se revoca sola. En caso de incidente, revocación inmediata y centralizada.

Novedad Vault 2.0: con la Workload Identity Federation también Vault dialoga con AWS, Azure y Google Cloud sin credenciales estáticas (fuente: HashiCorp)
04 · PKI y certificados

Certificados que se renuevan solos

Emisión on demand

la secret engine PKI emite, renueva y revoca certificados vía API, también con el protocolo ACME

Rotación automática

la renovación se convierte en un workflow, no en un vencimiento marcado en el calendario

Integración IBM Concert

discovery de los certificados por caducar y renovación orquestada end-to-end, con Vault como motor

La carrera a la baja de las duraciones

Oggi · hasta 398 días
2026 · 200 días
2027 · 100 días
2029 · 47 días

Duración máxima de los certificados TLS públicos (CA/Browser Forum)

Renovar a mano ya no será una opción: hace falta una PKI automatizada.

05 · Cifrado

Las claves nunca salen de la caja fuerte

Encryption as a service

las aplicaciones llaman a la secret engine transit para cifrar y descifrar: las claves se quedan en Vault

Key management centralizado

generación, rotación y versionado de las claves, también hacia los servicios KMS de las nubes

HSM y requisitos enterprise

integración con HSM y controles avanzados en la edición Enterprise, para los entornos regulados

Aplicación

envía el dato a proteger: no ve ni custodia ninguna clave

Vault · transit engine

cifra y descifra vía API, con claves versionadas y rotables

Dato protegido

en bases de datos, storage y backups solo viaja y reposa el dato cifrado

06 · Vault Radar

Encuentra los secretos antes de que los encuentre otro

Vault Radar escanea repositorios de código y herramientas de colaboración en busca de credenciales expuestas o no gestionadas, y las devuelve bajo control.

Descubre

analiza repositorios, wikis y chats: cada secreto en claro es localizado y censado

Prioritizza

clasifica los findings por riesgo y contexto: primero lo que está realmente expuesto

Remedia

el secreto entra en Vault, se rota y desaparece de los sitios donde no debía estar

El secreto más peligroso es el que no sabes que tienes.

07 · Enterprise y despliegue

Listo para el data center

Capacidades enterprise

  • Réplica para disaster recovery y rendimiento entre data centers
  • Namespaces multi-tenant para equipos y entornos separados
  • Integración HSM y controles para entornos regulados
  • Disponible también sobre IBM Z y LinuxONE (fuente: IBM)

Community

open source, para empezar y aprender la plataforma

Enterprise self-managed

en tu data center o nube privada, con réplica, namespaces y HSM

HCP Vault Dedicated

gestionado sobre la HashiCorp Cloud Platform: clúster dedicado, gestión delegada

Elijas la forma que elijas, la API y las políticas siguen siendo las mismas: se cambia de talla, no de plataforma.

08 · Vault e IBM

Vault 2.0: la primera major de la era IBM

Las novedades de la release 2.0

  • Ciclo de vida IBM: al menos 2 años de soporte estándar para cada major release
  • Workload Identity Federation hacia AWS, Azure y Google Cloud
  • Automatización extendida del ciclo de vida de los certificados en la PKI engine
  • SCIM 2.0 (beta) e identidad workload SPIFFE

Fuentes: HashiCorp e IBM, 2026

IBM Concert

discovery y renovación de los certificados orquestados con Vault como motor nativo

IBM QRadar SIEM

content pack dedicado para la monitorización de seguridad de Vault

Terraform y Ansible

secretos dinámicos y rotación dentro de los workflows de provisioning

IBM Z y Power

la caja fuerte junto a los sistemas donde corren los datos que importan

09 · Casos de uso

Cuatro problemas reales, una sola respuesta

Bases de datos sin contraseñas fijas

credenciales dinámicas y temporales para cada aplicación: la cuenta compartida y nunca rotada se jubila

Certificados que se renuevan solos

PKI automatizada e integración IBM Concert: nunca más servicios parados por un certificado caducado

Pipelines y repositorios limpios

fuera los secretos del código y el CI/CD: Vault Radar los encuentra, Vault los custodia y los rota

Cifrado para las aplicaciones

encryption as a service para datos sensibles y requisitos GDPR, sin gestionar claves en las apps

Del primer caso de uso en adelante, Vault se convierte en un hábito: cada nuevo servicio nace ya sin secretos sueltos.

10 · YoctoIT

El centro de competencia IBM de Var Group

YoctoIT es una sociedad del grupo Var Group, división de servicios. Aseguramos secretos y certificados allí donde corren los sistemas que gestionamos cada día: del Power a la nube.

60+
certificaciones IBM del equipo
200+
certificaciones activas sobre 16 vendors
H24
NOC activo 7 días a la semana, 365 días al año
99,9%
SLA cumplidos
3.543
hosts monitorizados por nuestro NOC
100+
clientes activos, 200+ proyectos en 3 años

Calidad certificada: ISO 9001:2015 · ISO 27001:2022 · ISO/IEC 27017 y 27018 · IBM Fusion Certified Partner

“La TI que no se detiene”

11 · Cómo empezamos

Del assessment a la gestión 24/7

01

Assessment

Dónde viven hoy tus secretos: código, pipelines, hojas. Quick wins inmediatos con Vault Radar.

02

Arquitectura y despliegue

Vault en alta disponibilidad, on-premises o nube: auth methods, políticas y auditoría configurados como es debido.

03

Onboarding de las apps

Secret engines, rotación, PKI y cifrado aplicados a tus casos reales, uno a la vez.

04

Gestión 24/7

Parches, upgrades, auditoría y monitorización en los Managed Services de YoctoIT: la caja fuerte nunca duerme.

Se empieza pequeño y se crece: el primer caso de uso en producción vale más que cualquier roadmap.