X-twitter

Zscaler compra SPLX para blindar todo el ciclo de vida de la IA: descubrimiento de activos, red teaming automático y guardrails nativos en Zero Trust Exchange

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Zscaler (NASDAQ: ZS) ha anunciado la adquisición de SPLX, una joven pionera en seguridad de IA, con la que reforzará su plataforma Zero Trust Exchange™ añadiendo capacidades de descubrimiento shift-left de activos de IA, red teaming automatizado y gobernanza de extremo a extremo. El objetivo declarado por la compañía es claro: proteger las inversiones en IA desde el desarrollo hasta la producción, en un momento en el que la industria prevé más de 250.000 millones de dólares de gasto en infraestructura de IA antes de que termine 2025.

“La IA crea un valor enorme, pero solo se materializa cuando puede asegurarse”, resumió Jay Chaudhry, fundador y CEO de Zscaler. “Con la tecnología de SPLX y la inteligencia de Zero Trust Exchange —que clasifica, gobierna y evita fugas de datos sensibles en prompts, modelos y salidas—, aseguraremos todo el ciclo de vida de la IA en una sola plataforma”.

La compra aterriza en un contexto de superficie de ataque en expansión, shadow AI y adopción de agentes en procesos reales. Zscaler quiere evitar que el despliegue de modelos, workflows y herramientas alrededor de RAG y MCP (Model Context Protocol) se convierta en una nueva puerta trasera para el robo de datos, la manipulación de salidas o los movimientos laterales entre agentes y servicios.

Qué añade SPLX a la plataforma de Zscaler

Zscaler integrará la tecnología y el equipo de SPLX como una capa nativa de protección de IA en Zero Trust Exchange™, con cuatro bloques funcionales:

1) Descubrimiento de activos de IA y evaluación de riesgo (shift-left)

No solo catálogos públicos de IA generativa o nubes públicas: el descubrimiento se extiende a modelos internos, pipelines, repositorios de código, RAGs, servidores MCP y flujos tanto públicos como privados. El objetivo es disponer de un inventario vivo, con riesgo calculado por activo, antes de que llegue a producción.

2) Red teaming automático y remediación

SPLX aporta un motor con 5.000+ simulaciones de ataques específicas de IA —prompt injection, jailbreaks, data exfiltration, function calling malicioso, abuso de herramientas, etc.— que pueden ejecutarse desde el desarrollo hasta producción. El sistema prioriza hallazgos y sugiere remediación en tiempo real, de modo que los equipos pueden corregir rápidamente sin esperar a auditorías manuales.

3) Guardrails de tiempo de ejecución y fortificación del prompt

Zscaler amplía sus AI Runtime Guardrails —que ya bloquean fuga de datos y ataques entre apps de IA y LLM— para profundizar en entornos de desarrollo (IDE, CI/CD) y automatizar guardrails para activos de riesgo (por ejemplo, agentes con acceso a datos sensibles o herramientas con acciones críticas). La fortificación de prompt se integra como política, no como best effort.

4) Gobernanza y cumplimiento

Un marco unificado para pasar de la defensa reactiva a la protección proactiva: políticas por modelo, entorno, persona y dato; registros y evidencias para auditoría; controles para marcos de gobernanza emergentes (p. ej., controles de datos y model risk). La idea es que cumplimiento, seguridad y producto hablen el mismo lenguaje.

“Zscaler y SPLX comparten la misma visión: plantar cara a la nueva superficie de ataque creada por la expansión de la infraestructura de IA”, señaló Kristian Kamber, CEO y cofundador de SPLX. “Unidos, llevaremos nuestra innovación a una de las plataformas de seguridad más confiables del mundo, asegurando la innovación en IA a la misma velocidad a la que se adopta”.

Por qué es relevante: la seguridad de la IA ya no es solo “filtrar prompts”

El ritmo de inversión —> 250.000 millones de dólares en 2025, según Goldman Sachs— ha llevado la IA desde prototipos puntuales a sistemas productivos: LLMs que orquestan herramientas, agentes con memoria, RAG conectados a fuentes internas, MCP para conectar apps con modelos de forma estandarizada. Ese salto trae riesgos nuevos y conocidos:

  • Descubrimiento: la IA nace distribuida —hay modelos en varias nubes, repositorios, pipelines y entornos de feature stores. Saber qué existe y dónde vive el dato es el primer paso.
  • Desarrollo inseguro: prompts hardcoded, claves expuestas, repositorios con datasets sensibles, pruebas con tokens de producción… El shift-left debe incluir IA, no solo código.
  • Ataques específicos: inyección de prompt y “alucinaciones dirigidas” para inducir acciones; abuso de agentes y funciones; exfiltración a través de salidas o registros; envenenamiento de datos de contexto.
  • Gobernanza y guardrails: quién puede usar qué modelo, con qué datos y herramientas, bajo qué políticas, y con qué rastros de auditoría.

La apuesta de Zscaler plantea que todo ello —inventario, pruebas ofensivas, controles de ejecución y cumplimiento— viva en la misma plataforma, pegada a la protección de datos y al Zero Trust que la empresa ya aplica a aplicaciones, usuarios y cargas.

Para quién es esto (y qué gana cada perfil)

  • CISOs y GRC: un panel unificado de activos de IA con riesgo, políticas y evidencias para auditoría. Menos hojas de cálculo, más controles observables.
  • MLOps / Plataformas de datos: pruebas tipo red team automatizadas que integran CI/CD, con remediación contextual. Descubrimiento de RAGs y MCP self-hosted.
  • Ingeniería de producto: guardrails de tiempo de ejecución que evitan fugas y abuso de funciones sin frenar la entrega; prompt hardening como parte de la política, no solo la guía.
  • Cumplimiento: soporte a marcos de gobernanza nacientes con trazabilidad por prompt, modelo y salida, y clasificación/gobierno de datos sensibles aplicada en la ruta de IA.

¿Cómo encaja técnicamente con Zero Trust Exchange?

Zscaler dispone de telemetría masiva y protección de datos nativa (clasificación y prevención de pérdida) en tráfico, aplicaciones y usuarios. Al añadir SPLX:

  1. El inventario de IA (modelos, workflows, RAG, MCP, repos) se descubre y etiqueta bajo el mismo tejido de identidad + aplicación + dato.
  2. El motor de red teaming se integra con CI/CD y entornos (dev, test, prod), y alimenta políticas.
  3. Los guardrails se aplican en tiempo de ejecución —entre apps de IA y LLMs, o entre agentes— y bloquean exfiltraciones y ataques sin romper la experiencia.
  4. Gobernanza y cumplimiento se benefician de registros consistentes y enforcement centralizado.

En términos de operación, la promesa es recortar MTTD/MTTR de incidentes relacionados con IA y reducir errores humanos (la causa de la mayoría de fugas), sin multiplicar herramientas ni silos.

Ejemplos de riesgos que la combinación busca cubrir

  • Un agente con acceso a almacenes de código al que se le induce, mediante inyección, a exfiltrar secretos en la salida.
  • Un RAG que indexa documentos sensibles y entrega fragmentos fuera de contexto a un usuario no autorizado.
  • Un servidor MCP expuesto, sin autenticación ni límite de herramientas, que permite acciones críticas con prompts maliciosos.
  • Repositorios con datasets sin anonimizar reutilizados en pruebas, que terminan filtrándose en logs o telemetry.

Lo que no cambia (y lo que Zscaler advierte)

Se trata de un anuncio de adquisición y, como tal, incluye declaraciones a futuro: Zscaler deberá integrar la tecnología de SPLX en su nube, retener al equipo y alinear hojas de ruta. El valor para el cliente dependerá de qué rápido lleguen las funciones integradas, de su cobertura real en entornos híbridos y de la calidad de la automatización de remediación.

Señales para el mercado

  1. La seguridad de IA se consolida como categoría propia (no solo “DLP para prompts”).
  2. Zero Trust extiende su perímetro: modelo, agente y contexto pasan a ser ciudadanos de primera en las políticas.
  3. La automatización ofensiva (red teaming continuo) empieza a verse integrada en plataformas, más allá de tooling aislado.

En un 2025 que cerrará con inversiones récord en infraestructura de IA, la compra de SPLX apunta a que los clientes no quieren “otra herramienta más”, sino seguridad y gobernanza de IA desde la plataforma que ya protege usuarios, apps y datos.

Preguntas frecuentes

¿Qué es SPLX y qué añade exactamente a Zscaler?
SPLX es una startup especializada en seguridad de IA: descubrimiento de activos (modelos, RAG, MCP, repos), red teaming automatizado con 5.000+ simulaciones de ataques, guardrails de ejecución y gobernanza. Zscaler integrará estas capacidades como una capa nativa en Zero Trust Exchange™ para asegurar el ciclo completo —desde desarrollo hasta producción—.

¿Qué significa red teaming automático para IA y cómo se usa en CI/CD?
Es la ejecución continua y automatizada de ataques específicos de IA (inyección de prompt, jailbreak, exfiltración, abuso de agentes/herramientas) en cada cambio de código/modelo/infra. Se integra con CI/CD, prioriza hallazgos por riesgo y propone remediaciones en tiempo real para que el equipo las aplique antes de pasar a producción.

¿Qué son los guardrails de tiempo de ejecución en IA?
Controles dinámicos que clasifican y gobiernan datos sensibles en prompts, modelos y salidas, bloquean ataques entre apps de IA y LLMs, y limitan el radio de acción de agentes y servidores MCP. Con SPLX, Zscaler extiende estos guardrails a entornos de desarrollo y automatiza su activación para activos de riesgo.

¿Cómo ayuda Zscaler + SPLX con la gobernanza y el cumplimiento de IA?
Ofrece inventario vivo, evaluación de riesgo, políticas por modelo/dato/persona, evidencias de auditoría y enforcement centralizado. Esto permite alinear seguridad, MLOps y cumplimiento, y adaptarse a marcos de gobernanza emergentes sin montar silos de herramientas.

vía: zscaler

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Nota de Prensa

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Zscaler compra SPLX para blindar todo el ciclo de vida de la IA: descubrimiento de activos, red teaming automático y guardrails nativos en Zero Trust Exchange

Trulioo presenta capacidades de identidad de “siguiente generación” para cubrir todo el ciclo de confianza digital

Fuga del Exynos 2600: un engineering sample iguala al Apple M5 en single-core (Geekbench 6) y marca 4,20 GHz en su núcleo tope

SK hynix dibuja la década de la memoria: HBM4E hoy, HBM5 y DDR6 a partir de 2029, SSD PCIe 7.0 y UFS 6.0… y un “almacenamiento con IA” para cerrar el círculo

×