FutrixData logo FutrixData
Limitaciones y modelo de amenazas

Contra qué no protege FutrixData

FutrixData reduce riesgos específicos sobre el acceso de agentes de IA y de humanos a la base de datos — no elimina todos los riesgos de base de datos, y no sustituye una certificación de cumplimiento ni un stack completo de IAM, DLP o SIEM. Esta página es el inverso del texto de marketing: las cosas que el producto no hace, para que decidas dónde encaja en tu entorno.

Auditoría sólo local, no almacenamiento inmutable externo

El log de auditoría del agente es local y está encadenado por hash. El verificador del CLI detecta filas modificadas, eliminadas, insertadas o reordenadas dentro de la sección encadenada. No detecta una reescritura completa del registro local en la que un atacante con control del host reescribe cada fila y recomputa cada hash. Tampoco puede probar que un final truncado haya existido alguna vez sin un anclaje externo.

Para entornos que necesitan garantías más fuertes, replica los eventos de herramientas de agente a un almacén externo de sólo añadidura que tú controles (por ejemplo, una instancia de Postgres con archivado WAL, un almacén de objetos con object lock o un sumidero de sólo escritura en otra red). La verificación local está pensada para darte una señal rápida y offline de integridad — no para sustituir el almacenamiento inmutable externo.

El enmascaramiento determinista no es anonimización

El enmascaramiento de resultados es un HMAC estable respaldado por secreto, no un anonimizador. El algoritmo es HMAC-SHA256: la clave HMAC se deriva por cada (fuente de datos, campo) a partir de un secreto local, y el formato de salida es masked:v1: seguido de los primeros 16 caracteres hexadecimales del HMAC — por lo que el mismo valor en bruto en otro campo o en otra fuente de datos produce un hash distinto. La sustitución hace que un valor sensible sea seudónimo: quienes invocan ven hashes consistentes entre llamadas sin ver valores en bruto, pero la correspondencia es determinista por diseño. Cualquiera con acceso al secreto local de enmascaramiento puede recomputar hashes a partir de entradas conocidas; un atacante con control del host local puede hacer lo mismo. Los espacios de entrada de baja cardinalidad (booleanos, género, edad en años, enumerados pequeños) siguen siendo vulnerables a la enumeración: quien pueda enviar entradas conocidas a través de la pasarela — o quien posea el secreto local — puede construir una tabla de búsqueda que efectivamente invierte tales campos.

El enmascaramiento determinista es la herramienta correcta para mantener la PII fuera de prompts a LLM y contextos de agente preservando claves de join para los analistas. Es la herramienta incorrecta para divulgar un conjunto de datos públicamente — eso requiere k-anonimato, privacidad diferencial o tokenización completa con un gestor de claves externo.

La Consola es la ruta de datos en bruto para humanos autorizados, por diseño

La Consola de escritorio devuelve filas en bruto al ingeniero al teclado. El enmascaramiento de resultados no se aplica aquí intencionalmente — la Consola existe para inspeccionar datos reales. Si no quieres que valores en bruto lleguen a un usuario dado, el control correcto es el acceso a la propia fuente de datos (ACL por fuente de datos, credenciales por entorno), no el enmascaramiento del lado de la Consola.

La ruta de resultados del agente (MCP, Skill, CLI del agente) se enmascara por separado. Las dos rutas comparten el mismo motor de riesgo y el mismo log de auditoría, pero el enmascaramiento diverge a propósito.

Los metadatos de esquema son una ruta separada de las filas de resultados

AI Chat, la navegación de conocimiento de esquema y la asistencia ER pueden incluir metadatos de esquema en prompts al proveedor de LLM configurado. El enmascaramiento de resultados no cubre automáticamente los metadatos de esquema. Si el esquema en sí es sensible — nombres de tablas KYC, nombres de columnas regulatorias, códigos internos de productos — desactiva la transmisión de esquema al LLM para esa fuente de datos. Cada transmisión se registra; revisa el registro antes de asumir que una fuente de datos es "segura para IA".

Tu proveedor de IA tiene sus propias políticas de datos

Bring-your-own-LLM significa que FutrixData no ve tus prompts ni completaciones, pero también significa que el proveedor que configuraste (Anthropic, OpenAI, Google, Azure, Ollama, etc.) tiene sus propias políticas de retención de datos, elegibilidad para entrenamiento y enrutamiento regional. FutrixData enmascara la PII en la ruta de resultados del agente antes de que la fila salga de la pasarela; lo que tu proveedor de LLM hace con el prompt resultante se rige por el contrato que tienes con él, no por FutrixData.

Los clientes MCP externos y los agentes externos que construyas contra FutrixData también tienen sus propias políticas de manejo de datos. La pasarela puede probar qué se devolvió a quien invoca; no puede imponer lo que quien invoca haga después.

No es una certificación, no es un SIEM, no es un IAM completo, no es un DLP

FutrixData es una pasarela de base de datos. No es, ni reemplaza:

Cosas que el texto de marketing evita afirmar

Para que el texto de marketing y esta página se mantengan consistentes, aquí hay afirmaciones que explícitamente no hacemos:

Si encuentras texto de marketing en otro lugar del sitio que entre en conflicto con esta página, considera esta página como autoritativa y repórtalo a hi@futrixdata.com.

Preguntas frecuentes

Si el log de auditoría está encadenado por hash, ¿por qué la reescritura local sigue siendo posible?

La cadena prueba que el archivo es internamente consistente en el momento de la lectura. Un atacante con control total del host puede reescribir cada fila, recomputar cada hash y producir un archivo falsificado internamente consistente. Para detectar eso, necesitas un anclaje externo — una copia de la cabeza de la cadena en un lugar al que el atacante no pueda acceder. Replicar los eventos de herramientas de agente a un almacén externo de sólo añadidura es la solución estándar.

¿Por qué el enmascaramiento determinista no basta para divulgación pública?

Preserva una correspondencia estable entre entrada y hash, que es exactamente lo que hace que joins y analítica sigan funcionando. Esa misma propiedad lo hace reversible contra entradas conocidas por cualquiera que tenga el secreto local. Para divulgación pública quieres que la correspondencia se rompa — k-anonimato, privacidad diferencial o un servicio de tokenización con secretos en un límite de confianza separado.

Quiero RBAC de equipo completo. ¿Está disponible?

El RBAC de equipo con roles, permisos, ámbitos de entorno y ámbitos de esquema es una característica de la edición Enterprise sobre la pasarela autoalojada. El cliente de escritorio gratuito te da identidad por agente, claves de acceso, revocación y atribución de auditoría — suficiente para desarrolladores en solitario y equipos pequeños AI-native, pero no suficiente para separación de roles entorno por entorno. Consulta self-hosted.

¿FutrixData detiene a un principal malicioso de la BD directamente?

No. La pasarela está delante de la base de datos; no cambia los grants en la propia base de datos. Si un desarrollador o agente tiene credenciales directas de BD, puede saltarse la pasarela. La mitigación es eliminar las credenciales directas y enrutar a esos invocadores a través de FutrixData, para que la identidad de agente, el enmascaramiento y el log de auditoría apliquen.

¿Cómo se compara con un cliente de base de datos SaaS alojado?

Los clientes de base de datos SaaS alojados enrutan tus consultas a través de sus servidores — el límite de confianza es suyo, el log de auditoría es suyo, y las credenciales residen en su entorno. FutrixData se ejecuta localmente (escritorio) o en tu VPC (pasarela Enterprise). La pasarela no ve lo que ven los servidores de FutrixData; los servidores de FutrixData no ven tus consultas ni filas. Compromisos diferentes — comodidad vs. control del perímetro.

Prueba FutrixData con tu propia base de datos

Aplicación de escritorio gratuita para macOS, Windows y Linux. Enterprise Edition autoalojada para despliegues en producción.