Lo que cambia, cuándo y por qué. Cada release verificable en infraestructura pública. Cadencia mínima de uno por semana.
Magic-link con TTL de 15 min, render DOM API XSS-safe, sesión y audit log en DynamoDB, rutas API Gateway HTTP v2 en /cuenta/*. Auto-creación de cuenta al primer click en email. Compite a nivel Vercel/Stripe/Linear en UI con dos diferenciadores únicos: Internet.nl 100/100 verificable y stack 100% EU.
Migración cross-portfolio a TLS 1.3 only con certificados ECDSA P-256. State surgery en 9 repos (state rm RSA + import ECDSA), bump del provider AWS de 5.x a 6.6. Verificación viva en 13 dominios. Cipher posture sin fallback a TLS 1.2 ni curvas RSA legacy.
Header Strict-Transport-Security: max-age=63072000; includeSubDomains; preload en todo el portfolio + submission oficial al registry de Chromium en hstspreload.org. Una vez aceptados, Chrome/Firefox/Safari aplicarán HTTPS desde el primer request, sin esperar al primer redirect.
Kari-as-a-Service Lite 890€ setup + 49€/mes · bot conversacional Bedrock embebible en cualquier web. Pro 1.890€ + 99€/mes con RAG y multilingual. AI Concierge Starter 2.900€ + 149€/mes · agente interno con SSO, audit log y guardrails, conectado a sistemas de negocio (Holded, Microsoft Graph, Drive). 50% más barato que Microsoft Copilot 365.
Las 8 verticales productivas comparten ahora la misma postura WAFv2: CommonRuleSet + KnownBadInputs + rate-limit por IP. Sin Bot Control AWS (Cloudflare Bot Fight Mode lo cubre por delante), sin SQLi extra (CommonRuleSet ya), sin IpReputation (Cloudflare bloquea bad IPs antes). Coste objetivo <$40/mes total portfolio.
Doble CDN gratis con Free Tier permanente. Cloudflare delante para hardening, bot mitigation y SSL strict; CloudFront detrás como origin con TLS 1.3 + ECDSA y custom domain ACM. Patrón replicado a 7 verticales. Coste marginal por dominio: 0€.
script-src 'self'Endurecimiento de Content-Security-Policy en todos los dominios productivos. Inline scripts y estilos extraídos a archivos externos servidos desde el mismo origin. Cada cliente externo recibe audit previo de CDN/widgets que carga (Font Awesome, Booksy, GTM, Stripe...) para sumarlos a la CSP sin romper iconos ni analytics.
Backend Bedrock Haiku en Lambda Python 3.12 ARM tras API Gateway HTTP v2. Verificación OTP por email antes de capturar lead. Booking conversacional contra Microsoft Graph (sin Calendly). System prompt versionado, prompt caching activado, response streaming.
Capa Guardrails activada con redacción automática de PII (email, teléfono, IBAN, NIE) en logs y trazas, y topic deny-list para bloquear conversaciones fuera de ámbito antes de llegar al modelo. Defensas adicionales contra prompt injection en el system prompt.
Marca Enekui presentada ante la Oficina Española de Patentes y Marcas. 5 clases Niza (09 software + 35 servicios + 41 formación + 42 tecnología + 45 servicios legales). 459,24€ pagados. Plazo legal 12 meses, 20 con oposición.
Las 7 verticales productivas + el dominio paraguas con cadena de confianza DNSSEC firmada de extremo a extremo. KSK + ZSK con rotación automática gestionada por Route53. Validación verificable en DNSViz para cada zona.
Plan mensual opcional para clientes externos: hosting AWS gestionado por Enekui + WAFv2 + monitoring de uptime y latencia + 1h/mes de prompt tweaks o cambios menores en el bot. Mismo baseline de seguridad que el Hall of Fame, sin lock-in, cancelable cualquier mes.