Energent.ai Seguridad Whitepaper

2025-05-27

Borrador v1.0

Autores: Equipo de Seguridad e Ingeniería de Energent.ai

Resumen

Energent.ai proporciona un agente de escritorio virtual impulsado por IA que automatiza flujos de trabajo complejos de múltiples aplicaciones para usuarios empresariales. Dado que el agente opera con datos comerciales sensibles y puede recibir amplios privilegios en escritorios de usuarios y recursos en la nube, la seguridad y la privacidad son fundamentales para el diseño de nuestro producto. Este whitepaper documenta el modelo de amenazas, la arquitectura defensiva, los controles de seguridad y la postura de cumplimiento de la plataforma Energent. Se basa en el enfoque estructurado y basado en datos utilizado en el whitepaper de CambioML AnyParser, y se alinea con las mejores prácticas del Pilar de Seguridad de AWS Well-Architected y la guía de controles de seguridad NIST SP 800-53 Rev 5.

Tabla de Contenidos

  1. Introducción
  2. Arquitectura de la Plataforma Energent
  3. Modelo de Amenazas
  4. Controles de Seguridad
  5. Cumplimiento y Gobernanza
  6. Seguridad Operacional
  7. Opciones de Implementación para Clientes
  8. Conclusión
  9. Apéndice A – Mapeo de Controles
  10. Referencias

1 Introducción

1.1 Propósito

Este documento permite a los equipos de seguridad, TI y cumplimiento evaluar si Energent.ai cumple con los requisitos de seguridad de su organización. Detalla cómo protegemos los datos, sistemas y usuarios a lo largo del ciclo de vida del agente, desde el desarrollo hasta las operaciones en producción.

1.2 Alcance

  • Energent Cloud (SaaS). Servicio multi-inquilino operado por Energent.ai en AWS.
  • Nube Privada / Aislada por VPC. Stack dedicado de un solo inquilino desplegado en una cuenta controlada por el cliente en AWS, Azure o GCP.
  • On-Prem/VM. Imagen de VM de Linux aislada para entornos altamente regulados.

1.3 Audiencia

CISOs, arquitectos de seguridad, ingenieros de DevOps, auditores y profesionales de adquisiciones que evalúan Energent.ai.

2 Arquitectura de la Plataforma Energent

2.1 Componentes de Alto Nivel

ComponenteDescripción
Runtime del Agente (Edge VM)Un escritorio virtual basado en Linux que alberga los núcleos de visión por computadora y RPA, así como scripts de flujo de trabajo proporcionados por el cliente. Se ejecuta en un sandbox sin puertos de entrada expuestos.
Plano de Control (AWS)Microservicios multi-AZ diseñados en torno a un modelo de confianza cero. Proporciona autenticación, aplicación de políticas, orquestación y registro de auditoría.
Plano de DatosAlmacenamiento de objetos encriptados respaldado por S3 y bus de eventos utilizado para el intercambio de artefactos (capturas de pantalla, registros, metadatos de flujo de trabajo). Todos los datos están encriptados con claves gestionadas por el cliente de AWS KMS (CMKs).
Consola de AdministraciónInterfaz web donde los administradores configuran roles, políticas y revisan auditorías. Front-end servido a través de Amazon CloudFront con TLS 1.3 aplicado.

Vista lógica de los componentes de Energent y límites de confianza

Figura 1. Vista lógica de los componentes de Energent y límites de confianza.

2.2 Principios de Seguridad por Diseño

  1. Menor privilegio y micro-segmentación. Los roles de IAM y los grupos de seguridad restringen cada servicio a los permisos mínimos requeridos.
  2. Cifrado de extremo a extremo. TLS 1.2+ para datos en tránsito; AES-256-GCM para datos en reposo utilizando claves gestionadas por KMS.
  3. Infraestructura inmutable. Todos los nodos de cómputo se reconstruyen a partir de AMIs firmados; no se permiten cambios en el lugar.
  4. Automatización del cumplimiento continuo. Barandillas codificadas en IaC y reglas de AWS Config para detectar desviaciones.

3 Modelo de Amenazas

3.1 Activos

  • Credenciales de usuario y tokens de API
  • Artefactos de flujo de trabajo (capturas de pantalla, datos extraídos, documentos generados)
  • Lógica de flujo de trabajo propietaria

3.2 Adversarios y Capacidades

AdversarioCapacidad
Atacante externoEscaneo de red, phishing, malware, relleno de credenciales
Insiders maliciososAcceso privilegiado a consola/API
Dependencia de terceros comprometidaAtaque a la cadena de suministro, puerta trasera de software

3.3 Límites de Confianza

  • Aislamiento de inquilinos entre stacks de clientes.
  • Separación entre el plano de control y el plano de datos.
  • Sandbox en VM vs. entorno host.

4 Controles de Seguridad

4.1 Identidad, Autenticación y Autorización

  • SSO a través de SAML 2.0 / OIDC con aplicación de MFA.
  • Políticas de IAM ABAC de grano fino para todos los microservicios.
  • Acceso privilegiado justo a tiempo (JIT) con auto-expiración.

4.2 Seguridad de Red e Infraestructura

  • Puertas de enlace de salida solo a nivel de VPC; sin balanceadores de carga públicos en modo de nube privada.
  • Todo el tráfico de API se termina en AWS ALB con WAF WebACL (conjunto de reglas OWASP Top 10).
  • Conectividad privada opcional a través de AWS PrivateLink o VPN del cliente.

4.3 Protección de Datos

  • Cifrado del lado del servidor (SSE-KMS) para S3; SDK de cifrado del lado del cliente disponible.
  • Cifrado a nivel de campo para PII/PHI utilizando AES-256 + claves de sobre.
  • Rotación automática de claves y CMKs por inquilino.

4.4 Seguridad de Aplicaciones

  • Estándares de codificación segura (OWASP ASVS L2).
  • Pipelines automatizados de SCA, SAST y DAST integrados en CI/CD.
  • Bloqueos de dependencias con firmas verificadas de PyPI/npm.

4.5 Gestión de Secretos y Claves

  • Secretos almacenados en AWS Secrets Manager con rotación automática.
  • Los agentes obtienen tokens de sesión con tiempo limitado a través de STS AssumeRole, nunca claves de larga duración.

4.6 Ciclo de Vida de Desarrollo Seguro

  • Modelado de amenazas para cada épica (metodología STRIDE).
  • Las revisiones de código requieren aprobación de dos personas y pasar puertas de seguridad.
  • Construcciones reproducibles con procedencia de Sigstore.

5 Cumplimiento y Gobernanza

5.1 Modelo de Responsabilidad Compartida

Energent adopta el enfoque de responsabilidad compartida de AWS, donde AWS asegura la nube subyacente “de la nube,” y Energent asegura todo “en la nube.”

5.2 Certificaciones de Auditoría (En Progreso 2025)

MarcoEstadoAlcance
SOC 2 Tipo IIEn Auditoría (ETA Q4 2025)Energent Cloud (regiones de EE. UU. y UE)
ISO/IEC 27001:2022PlanificadoImplementaciones empresariales y en la nube privada
GDPR y CCPAImplementadoPortal de derechos de sujetos de datos y DPA

5.3 Mapeo de Controles

El Apéndice A proporciona un mapeo detallado de los controles de Energent a las familias de NIST SP 800-53 Rev 5 (AC, AU, SC, SI, etc.).

6 Seguridad Operacional

6.1 Monitoreo, Detección y Respuesta

  • Agregación de registros centralizada en Amazon OpenSearch con copias de seguridad inmutables en S3.
  • GuardDuty, Inspector y Security Hub permiten la detección continua de amenazas.
  • Equipo de Respuesta a Incidentes de Seguridad (SIRT) disponible 24×7 con libros de procedimientos documentados.

6.2 Gestión de Vulnerabilidades y Pruebas de Penetración

  • Escaneos semanales de imágenes de contenedores; CVEs críticos parchados en 24 horas.
  • Pruebas de penetración de terceros anuales y pruebas comisionadas por clientes permitidas.

6.3 Continuidad del Negocio y Recuperación ante Desastres

  • Todos los datos persistentes almacenados en S3 versionado y multi-AZ con replicación entre regiones.
  • RPO ≤ 15 minutos, RTO ≤ 1 hora para servicios críticos.

7 Opciones de Implementación para Clientes

7.1 Energent Cloud (SaaS)

  • Opción predeterminada; incorporación más rápida; hereda la seguridad de la infraestructura global de AWS.

7.2 Nube Privada / Aislada por VPC

  • Stack de Energent desplegado por Terraform en la cuenta de AWS del cliente, con control de residencia de datos.

7.3 On-Prem / Solo VM

  • Imagen de VM capaz de funcionar sin conexión; atestación de raíz de confianza de hardware soportada a través de TPM/SGX.

8 Conclusión

Energent.ai combina ingeniería de defensa en profundidad, procesos operativos rigurosos y cumplimiento transparente para salvaguardar los datos del cliente en cada capa. Al adherirse a marcos líderes en la industria como AWS Well-Architected y NIST SP 800-53, ofrecemos una plataforma que permite la automatización segura y escalable sin comprometer la confianza del usuario.

Apéndice A – Mapeo de Controles (Extracto)

Familia NIST 800-53ID de ControlImplementación de Energent
Control de AccesoAC-2SSO + MFA + aprovisionamiento SCIM
Auditoría y ResponsabilidadAU-6Registros inmutables, S3 a prueba de manipulaciones + CloudTrail
Protección de Sistemas y ComunicacionesSC-13Cifrado de extremo a extremo, TLS 1.3 aplicado
Integridad del SistemaSI-2Patching automatizado a través de AWS SSM

Matriz completa disponible a solicitud.

Referencias

  1. Marco AWS Well-Architected – Pilar de Seguridad, 6 de noviembre de 2024
  2. NIST SP 800-53 Rev 5, “Controles de Seguridad y Privacidad para Sistemas de Información y Organizaciones,” septiembre de 202
  3. CambioML y Epsilla, “Logrando 2× Precisión en la Recuperación de Conocimiento de Gráficos y Tablas,” 2 de agosto de 2024

¡Hablemos!

Oficina:

Oficina de Abu Dhabi:

Al Khatem Tower, Al Maryah Island, Abu Dhabi

Oficina de Silicon Valley:

3101 Park Blvd. Palo Alto, CA