Palo Alto Networks: Las amenazas impulsadas por IA expanden estructuralmente la demanda de ciberseguridad, no la eliminan
Conferencia de resultados del tercer trimestre fiscal de 2026, 2 de junio de 2026: trimestre récord en todas las métricas a medida que los modelos de IA de frontera transforman el panorama de amenazas
Palo Alto Networks presentó lo que la dirección describió como el trimestre más sólido en la historia de la compañía, con un ARR de NGS que alcanzó los $8.130 millones, un crecimiento interanual del 60% y superando todas las métricas proyectadas por un margen significativo. Sin embargo, la historia más trascendental para los inversionistas no son las cifras financieras en sí, sino el argumento estructural emergente de que los modelos de IA de frontera, como Mythos, han elevado permanentemente el valor terminal de la industria de la ciberseguridad, revirtiendo una narrativa que había pesado sobre el sector durante la mayor parte del año.
Mythos cambia el cálculo de las amenazas y la tesis de inversión
El CEO, Nikesh Arora, fue inusualmente directo al replantear lo que significa para la industria la llegada de sistemas de IA autónomos y con capacidades cibernéticas. "Hace seis meses, las acciones de ciberseguridad estaban condenadas porque la IA nos iba a proteger a todos y nos íbamos a quedar sin trabajo", afirmó. "Y de repente, no puedes ejecutar un escenario de protección cibernética sin utilizar un proveedor de plataformas de ciberseguridad". Su punto no era promocional, sino estructural. Los mismos modelos de frontera que los adversarios ahora pueden utilizar como arma están plagados de una tasa de falsos positivos del 25%, lo que significa que las defensas de IA automatizadas no pueden operar sin el tipo de telemetría en línea de alta fidelidad que solo una plataforma profundamente integrada puede proporcionar. Una decisión de ejecución errónea, como señaló Arora, "puede derribar una red de producción global".
El equipo de investigación Unit 42 de Palo Alto demostró la urgencia a principios de este año al simular una campaña completa de ransomware —desde la entrada inicial hasta la exfiltración de datos— en solo 25 minutos. La empresa promedio todavía requiere días para identificar una brecha. Arora advirtió a los inversionistas que esperen una ventana de tres a seis meses antes de que estos sistemas de frontera evolucionen hacia entidades de hackeo autónomas más sofisticadas, con IA agentica capaz de escanear entornos, generar exploits a medida y orquestar ataques integrales a velocidad de máquina en pocos años. La implicación práctica para los inversionistas es que la demanda de ciberseguridad basada en plataformas y en tiempo real no es un fenómeno cíclico; se está convirtiendo en infraestructura fundamental.
El hardware tiene su mejor década en un solo trimestre
Quizás el dato más sorprendente del trimestre fue el desempeño del negocio de hardware. Las reservas de firewalls de próxima generación aumentaron casi un 40% interanual, entregando lo que Palo Alto calificó como el desempeño de hardware más sólido en una década. Esto fue impulsado por una combinación de despliegues de centros de datos de IA, un aumento de precios del 10% implementado a principios de abril y una nueva clase de compradores —proveedores de infraestructura soberana y laboratorios de IA— que no tienen precedentes en la mezcla histórica de clientes de la compañía. El CFO, Dipak Golechha, señaló que el hardware, que ahora representa aproximadamente el 10% de los ingresos totales en comparación con el 20% en el año fiscal 2021, contribuyó a niveles récord de pedidos pendientes en el tercer trimestre. El promedio de suscripciones adjuntas dentro de la base instalada supera ahora las cuatro por dispositivo, y la compañía ofrece once suscripciones avanzadas en total, lo que ilustra cómo la venta de hardware se ha convertido en un punto de entrada duradero a la plataforma en lugar de una transacción de productos básicos.
Arora contextualizó claramente la oportunidad multianual: "A medida que se necesita almacenar y utilizar más datos para entrenar a todos estos laboratorios de frontera, y se observa la explosión de centros de datos en construcción —ya sea por hiperescaladores, laboratorios de frontera o neoclouds—, la demanda fluye hacia los proveedores de hardware. Espero que esta tendencia continúe durante los próximos trimestres, si no por algunos años". Fue cauteloso al no prometer demasiado, señalando que cuando el crecimiento de los centros de datos eventualmente se estabilice, el impulso del hardware se moderará en consecuencia.
Prisma AIRS es el producto de más rápido crecimiento en la historia de la compañía
Prisma AIRS, la plataforma de seguridad de IA de Palo Alto, triplicó su número de clientes en un solo trimestre, pasando de 100 clientes al cierre del segundo trimestre a más de 300 al final del tercero. La compañía tiene ahora una clara visión de alcanzar los $100 millones en ARR "en los próximos dos trimestres" para un producto que no existía hace doce meses. Una firma de consultoría global firmó un acuerdo superior a los $20 millones para asegurar una flota de aplicaciones de IA que procesan más de dos billones de tokens por mes, un récord para AIRS. Golechha señaló que el ARR de firewalls de software aumentó un 25% interanual, en parte debido a los acuerdos de Prisma AIRS y Firewall Flex, lo que refleja cómo el producto está impulsando componentes de plataforma adyacentes.
El director de producto y tecnología, Lee Klarich, explicó que la arquitectura abarca todo el ciclo de vida, desde el escaneo de modelos antes del despliegue y el red teaming de IA hasta la prevención de amenazas en tiempo de ejecución y la ingesta en el SOC a través de XSIAM. La reciente adquisición de PortKey, una puerta de enlace de IA que procesa billones de tokens mensualmente, añade un punto de cumplimiento crítico para las interacciones entre agentes a escala, extendiendo Prisma AIRS aún más hacia la capa de infraestructura agentica.
XSIAM supera los $600 millones de ARR con un crecimiento del 100%; la transformación del SOC es real
XSIAM cerró el tercer trimestre con más de $600 millones en ARR, un aumento del 100% interanual en una base de 740 clientes. El punto de prueba operativa que citó Klarich es que la mayoría de los clientes de XSIAM ahora responden a las amenazas en menos de diez minutos, frente a los días o semanas que requerían las arquitecturas heredadas. La plataforma ingiere más de 17 petabytes de telemetría diaria, un volumen que Palo Alto asegura que no tiene comparación con ningún proveedor de seguridad de nicho. Arora señaló que XSIAM fue diseñado arquitectónicamente para preanalizar los datos antes de la ingesta, lo que está demostrando ser una ventaja significativa a medida que los tiempos de ataque se comprimen a velocidad de máquina. Sin embargo, fue franco al decir que los clientes permanecen en una fase inicial de generación de confianza: "En este momento, nuestros clientes quieren observar y aprobar. A medida que se sientan cómodos con el despliegue, le darán más agencia".
Chronosphere supera las expectativas; la observabilidad y la seguridad comienzan a converger
El ARR de observabilidad superó los $300 millones en el tercer trimestre, casi duplicándose desde que se anunció la adquisición el otoño pasado y superando el 50% de crecimiento trimestral. El rendimiento superior fue impulsado en parte por un cliente existente de grandes modelos de lenguaje que aceleró su migración desde un proveedor tradicional; el mismo cliente que representa más de $200 millones en ARR para la plataforma combinada, convirtiéndose en la relación de cliente individual más grande de Palo Alto este trimestre. Arora describió la ventaja competitiva central de Chronosphere de manera sencilla: ofrece una capacidad comparable a aproximadamente la mitad del costo de los proveedores establecidos, lo que hace que el cálculo de desarrollar frente a comprar favorezca cada vez más a la plataforma. Fue medido respecto a la hoja de ruta, reconociendo que "los profesionales avanzados ya ven la capacidad", pero que se necesitan funciones adicionales antes de que sea plenamente competitiva en el mercado más amplio.
Klarich articuló la tesis de convergencia a largo plazo: los datos recopilados para la observabilidad se convierten en un sensor de seguridad que alimenta a XSIAM, y la telemetría de seguridad proporciona contexto adicional para los casos de uso de observabilidad. Se espera que una capa agentica compartida, que Palo Alto denomina AgentiX, se convierta en el tejido conectivo entre ambas plataformas. Fue enfático en que la integración no significa dilución: "No se puede tomar una plataforma de observabilidad, añadirle un poco y, de repente, decir que es una buena plataforma de seguridad y viceversa".
La integración de CyberArk avanza de tres a seis meses antes de lo previsto
En su primer trimestre completo bajo la propiedad de Palo Alto, CyberArk superó los puntos de referencia internos tanto en ingresos como en rentabilidad. La compañía ha iniciado aproximadamente 1.000 compromisos con clientes entre los equipos de ventas principales de Palo Alto y CyberArk, y el mes pasado lanzó Idira, una plataforma de identidad de próxima generación diseñada para la era agentica. Arora describió el fundamento filosófico: "Durante años, la industria operó bajo la falacia IAM: la creencia de que solo necesitabas asegurar a un puñado de administradores privilegiados. En la era de la IA agentica, esa distinción ha desaparecido". Idira extiende los controles PAM modernos a todas las identidades humanas, de máquinas y de agentes de software, abordando lo que Palo Alto considera el principal vector de ataque de la próxima década.
Golechha dijo que la compañía ha identificado más de 300 proveedores de TI para racionalizar tras la adquisición, ya ha dispuesto de aproximadamente el 20% y está optimizando una huella inmobiliaria combinada que añadió más de 40 nuevas instalaciones. Se espera que la convergencia de la rentabilidad de CyberArk con los propios márgenes de Palo Alto ocurra dentro de doce a dieciocho meses, de tres a seis meses antes de la proyección original. Esto respalda directamente el objetivo de la compañía de un margen de flujo de caja libre del 40% en el año fiscal 2028, el cual Golechha reafirmó. Sobre la migración de Prisma Cloud a Cortex Cloud, Arora fue notablemente franco: "Esa no está contribuyendo tan bien como otros productos. Está bien. Por eso tienes una cartera de plataformas". Espera que la mayoría de los clientes de Prisma completen la migración a Cortex Cloud para el cierre del año fiscal.
SASE alcanza $1.600 millones de ARR con una tasa de crecimiento del doble del mercado; el navegador seguro escala a 11 millones de licencias
El ARR de SASE de $1.600 millones creció un 40% interanual, más del doble de la tasa de crecimiento general del mercado, con casi 50 victorias de desplazamiento que totalizaron $200 millones en valor de contrato en lo que va del año. El navegador seguro (Secure Browser) se cuadruplicó hasta alcanzar los 11 millones de licencias, lo cual Palo Alto está posicionando como un punto de control crítico para el acceso empresarial a la IA. Arora argumentó que la compañía se está beneficiando de un cambio estructural en la mentalidad del comprador: "Hace ocho años había mucha más disposición a elegir lo mejor de cada categoría. Esa disposición ha disminuido lentamente". La capacidad de ofrecer un cumplimiento de políticas consistente en firewalls de hardware, firewalls de software, SASE y ahora Prisma AIRS está generando proyectos de consolidación de arquitectura de red que los proveedores de SASE de un solo producto no pueden abordar.
Finanzas y proyecciones: resultados sólidos y aumento de las previsiones anuales
Los ingresos totales para el tercer trimestre fueron de $3.000 millones, con un crecimiento interanual del 31%. El RPO alcanzó los $18.400 millones, un aumento del 36% interanual, o un 22% de forma orgánica excluyendo a CyberArk y Chronosphere. El flujo de caja libre ajustado para el trimestre fue de $910 millones, un aumento del 57% interanual, con un flujo de caja libre ajustado de los últimos doce meses alcanzando los $4.080 millones con un margen del 38,5%, una mejora de 430 puntos básicos interanuales incluso con la inclusión total de los gastos de adquisición. El beneficio por acción (EPS) diluido no GAAP de $0,85 superó en $0,05 el extremo superior de la proyección. El margen bruto fue del 75,8%. El margen operativo no GAAP fue del 21,3%, estable interanualmente a medida que los costos de integración de fusiones y adquisiciones absorbieron el apalancamiento a corto plazo. La compensación basada en acciones aumentó al 17% de los ingresos debido a las adjudicaciones relacionadas con la adquisición, y la dirección prevé un retorno a los niveles previos a la adquisición en un plazo de doce a dieciocho meses.
Para el cuarto trimestre fiscal de 2026, Palo Alto proyectó un ARR de NGS de entre $8.900 millones y $8.950 millones (crecimiento del 59%-60%), ingresos de entre $3.345 millones y $3.355 millones (crecimiento del 32%) y un EPS no GAAP de $0,96 a $0,98. Para el año fiscal completo, la compañía proyectó ingresos de entre $11.415 millones y $11.425 millones (crecimiento del 24%), un margen operativo no GAAP de entre 28,9% y 29,2%, un EPS de $3,77 a $3,79 y un margen de flujo de caja libre ajustado del 37,5%. Golechha también anunció que a partir del año fiscal 2027, la compañía pasará a revelar los ingresos a nivel de segmento en seguridad de red, Cortex e identidad, discontinuando el desglose separado para los negocios adquiridos a medida que la integración madura.
La "plataformización" cuenta ahora con aproximadamente 2.280 clientes, con 110 adiciones netas nuevas en el tercer trimestre. El grupo continúa mostrando una retención neta del 120% y una rotación de un solo dígito. El camino hacia las 4.000 plataformizaciones para el año fiscal 2030, que Arora ha enmarcado repetidamente como el principal impulsor hacia los $20.000 millones en ARR de NGS, parece intacto y, basado en el impulso orgánico actual, podría resultar conservador.