Zscaler registra márgenes récord y un crecimiento del 25% en ARR, pero la salida de líderes de ventas y la desaceleración del ARR neto nuevo nublan las perspectivas
Conferencia de resultados del tercer trimestre fiscal 2026, 26 de mayo de 2026
Zscaler presentó lo que la dirección calificó como un tercer trimestre sólido, con un ARR (ingresos recurrentes anuales) que creció un 25% interanual hasta los $3.500 millones y un margen operativo no GAAP que alcanzó un máximo histórico del 23%. Los ingresos de $850 millones superaron el extremo superior de las previsiones, y el desempeño de la "Regla del 55" en lo que va del año —que combina un crecimiento de ingresos del 26% con un margen de flujo de caja libre del 29%— subraya el apalancamiento operativo que la empresa ha estado construyendo. Sin embargo, el trimestre cerró con una revelación poco grata: dos líderes de ventas han abandonado la compañía, y la dirección fue lo suficientemente cautelosa respecto al riesgo de interrupción como para incorporar un grado significativo de conservadurismo tanto en las previsiones del cuarto trimestre como en una perspectiva temprana para el año fiscal 2027, que implica una marcada desaceleración en el crecimiento orgánico del ARR neto nuevo.
La salida del liderazgo de ventas es la variable crítica
La información nueva más trascendental en esta conferencia no fueron los sólidos resultados del tercer trimestre, sino el anuncio de que dos líderes de ventas de la organización del CRO Mike Rich han dejado la empresa. La dirección se cuidó de no calificar estas salidas como voluntarias o involuntarias, y ni Jay Chaudhry ni el CFO Kevin Rubin ofrecieron muchos detalles operativos. Lo que sí ofrecieron fue una revisión a la baja significativa en el tono de las previsiones. Chaudhry reconoció que "habrá cambios en el liderazgo de vez en cuando" y confirmó que ya se ha designado un reemplazo interno para uno de los puestos, mientras que la segunda contratación se encuentra en etapas finales. El reconocimiento implícito es que, para un negocio de la complejidad y el tamaño de las transacciones de Zscaler, la interrupción del equipo de ventas a nivel de liderazgo puede repercutir en las tasas de cierre y la conversión de la cartera de proyectos de maneras que son difíciles de cuantificar con precisión en tiempo real.
Cuando Brad Zelnick, de Deutsche Bank, presionó para saber si la cartera de proyectos estaba intacta y el problema era simplemente una menor tasa de cierre prevista, Rubin confirmó el enfoque prudente sin proporcionar un contrafactual de cuál habría sido la previsión de no haber existido estas transiciones. Esa falta de especificidad probablemente frustrará a los inversores que intentan determinar si se trata de un colchón de gestión de ganancias para un trimestre o de algo más preocupante desde el punto de vista estructural.
Perspectiva preliminar del año fiscal 2027: la desaceleración orgánica es real
Rubin proporcionó una visión preliminar inusualmente temprana del año fiscal 2027, proyectando un crecimiento total del ARR y de los ingresos de entre el 16% y el 17%. Si bien enmarcó esto como un esfuerzo deliberado para establecer expectativas tras la adquisición de Red Canary y el cambio hacia el ARR como la métrica de crecimiento principal, las cifras son aleccionadoras. La previsión para el año fiscal 2026 completo implica un crecimiento orgánico del ARR neto nuevo —excluyendo a Red Canary— de aproximadamente el 9,5%, y el marco para 2027 implica un ARR neto nuevo orgánico prácticamente plano en términos interanuales. Ittai Kidron, de Oppenheimer, presionó a Rubin sobre si las salidas del liderazgo de ventas eran el único factor, y Rubin identificó un segundo: el ritmo de adopción de la solución SecOps integrada que se está construyendo en torno a la adquisición de Red Canary. "No conozco el ritmo de adopción entre los clientes existentes para eso", dijo Rubin con franqueza, añadiendo que se espera que el ARR neto nuevo de Red Canary crezca a un ritmo más lento que el negocio general en el año fiscal 2027.
Rubin también reconoció que la adquisición de nuevos logotipos ha sido un área de bajo rendimiento en relación con las expectativas internas, aunque tuvo cuidado de reformular sus comentarios anteriores cuando Gabriela Borges, de Goldman Sachs, lo cuestionó. "Mis expectativas en relación con la visión temprana para el próximo año adoptaron un enfoque moderado sobre cómo pensábamos en las contribuciones de los nuevos logotipos", aclaró, en lugar de sugerir que la categoría en sí se estaba deteriorando. Zscaler atiende actualmente a aproximadamente 4.500 empresas de una base direccionable declarada de 20.000, lo que sugiere que el mercado potencial es real, pero que la maquinaria de comercialización para capturarlo requiere inversión. Chaudhry describió cuatro palancas específicas que se están activando: ampliar la cobertura de ventas en el segmento de 2.000 a 10.000 puestos, crear incentivos en el canal VAR específicamente para ganar nuevos logotipos, aprovechar las asociaciones con GSI y aumentar el enfoque en cuentas principales. Estas son respuestas lógicas, pero tomarán tiempo en reflejarse en los números.
AI Protect supera los $100 millones en reservas; el ARR de Zero Trust Branch se triplica
Más allá del ruido de las previsiones, varias métricas de productos representan información genuinamente nueva para los inversores. AI Protect, la solución de la compañía para descubrir activos de IA, aplicar barreras de seguridad y realizar pruebas de penetración continuas (red teaming) —introducida en enero— ha superado los $100 millones en reservas en los últimos doce meses. Chaudhry describió una venta adicional de siete cifras en una empresa de tecnología financiera de Fortune 500 donde la capacidad del producto para "inspeccionar cada solicitud y respuesta en tiempo real para detener fugas de datos y ataques como la inyección de prompts" y mover a los clientes "de un esfuerzo reactivo manual a un enfoque proactivo automatizado" fue la propuesta de valor central. La cartera de proyectos se describe como sólida y en crecimiento, y el interés entrante se ha acelerado claramente tras las nuevas capacidades de los modelos de IA de frontera.
El ARR de Zero Trust Branch se ha triplicado aproximadamente de forma interanual, respaldado en parte por lo que Chaudhry describió como el mayor acuerdo de sucursales en la historia de Zscaler: una venta adicional de ocho cifras con un sistema de salud líder que se despliega en 2.000 sitios a aproximadamente la mitad del costo de la solución heredada reemplazada. El número de empresas con "Zero Trust Everywhere" —clientes que adquieren los tres pilares: Usuarios, Sucursales y Nube— creció de más de 550 en el segundo trimestre a más de 700 en el tercero, y este grupo representa el segmento de clientes de mayor valor y más estratégicamente arraigado en la cartera. La seguridad de datos también superó los $500 millones de ARR, un aumento de más del 30% interanual, con dinámicas de consolidación que impulsan ventas adicionales significativas a medida que los datos confidenciales proliferan en entornos multinube.
La adquisición de Symmetry Systems apunta a la seguridad de agentes: una apuesta tecnológica, no de ingresos
Anunciada el 21 de mayo, la adquisición prevista de Symmetry Systems introduce lo que Chaudhry describió como un problema técnico genuinamente difícil: mapear cómo las identidades, aplicaciones y fuentes de datos se conectan en toda una empresa en tiempo real. "Piénselo de esta manera. En una gran empresa, todas estas identidades —tal vez usuarios, cargas de trabajo, tal vez otras máquinas— acceden a fuentes de datos que pueden estar en algún lugar. ¿Cómo sabe quién accede a qué, cuándo y dónde? La información reside en los registros de cada aplicación. Symmetry extrae esa información y crea un gráfico de acceso visual muy interesante". La tecnología está destinada a integrarse en el Zero Trust Exchange de Zscaler para aplicar políticas sobre las interacciones de agentes de IA. Rubin confirmó que se trata de una adquisición de tecnología y talento; el ARR es de un solo dígito bajo y financieramente irrelevante. Los inversores no deben esperar una contribución a los ingresos a corto plazo, pero el posicionamiento estratégico en torno a la seguridad de agentes es direccionalmente importante dado hacia dónde se dirige el panorama de amenazas.
Los modelos de IA de frontera están comprimiendo la ventana de seguridad empresarial
Chaudhry dedicó mucho tiempo al contexto macro de las amenazas, y su planteamiento merece ser entendido en detalle. Citó a Mythos, un nuevo modelo de IA de frontera que puede encontrar vulnerabilidades de software a velocidad de máquina, como una representación de un cambio estructural en el problema de la superficie de ataque. "Los modelos de frontera están multiplicando las vulnerabilidades no remediadas hasta por 10 veces, y modelos aún más potentes que se están desarrollando actualmente sin duda empeorarán la situación". La respuesta empresarial, según él, no puede ser una estrategia solo de parches, porque la acumulación es más rápida de lo que las organizaciones de TI pueden abordar. La respuesta arquitectónica de Zscaler —ocultar las aplicaciones de internet para que no puedan ser atacadas y eliminar el movimiento lateral una vez que un atacante obtiene acceso— se posiciona como la única respuesta duradera a esta dinámica.
Sobre el impacto en la cartera de proyectos, Chaudhry fue franco al decir que el beneficio significativo en los ingresos por la urgencia relacionada con Mythos no está incorporado en las estimaciones del cuarto trimestre, pero se espera que se materialice en el año fiscal 2027. Destacó específicamente la venta adicional de ZPA para clientes que tienen ZIA desplegado ampliamente pero no han extendido el acceso privado a todos los usuarios y ubicaciones, así como el creciente interés en la tecnología de engaño (deception technology) de la compañía, como las oportunidades de conversión más inmediatas. "A veces siento que es un momento como el de la versión 4.0", dijo, comparando el entorno actual con puntos de inflexión previos para la adopción de Zero Trust.
El viento en contra del CapEx es real y merece atención
Un elemento poco apreciado en los resultados es la revisión del CapEx (gastos de capital). Rubin proyectó el CapEx del año fiscal 2026 en un porcentaje de un solo dígito alto de los ingresos, por encima de la previsión anterior de un dígito medio, debido a la compra oportunista de equipos para centros de datos para asegurar precios antes de los aumentos esperados. La causa es la demanda impulsada por la IA de memoria, almacenamiento y procesadores, lo que crea una inflación de costos generalizada y restricciones de disponibilidad. Mirando hacia el año fiscal 2027, Rubin proyectó que el CapEx como porcentaje de los ingresos aumentará hasta en 200 puntos básicos respecto a los niveles del año fiscal 2026. Como consecuencia directa, la previsión del margen de flujo de caja libre para el año fiscal 2026 se revisó a la baja a aproximadamente entre el 22,8% y el 23,3%, frente al 26,5% a 27% anterior. Para una empresa que históricamente ha utilizado la generación de flujo de caja libre como una narrativa clave de valor para el accionista, esta es una revisión significativa impulsada por dinámicas de costos externas que la empresa tiene una capacidad limitada para compensar totalmente a corto plazo. Se aplicó un aumento de precios en los dispositivos de sucursal a principios de este año calendario y se espera que se refleje en los próximos meses, proporcionando un alivio parcial.
El programa Z-Flex gana impulso como palanca estratégica de retención y venta adicional
Z-Flex, el programa de compromisos plurianuales flexibles de la compañía, generó poco más de $480 millones en TCV (valor total del contrato) en el tercer trimestre, un aumento de más del 60% intertrimestral, lo que eleva el TCV acumulado de Z-Flex a más de $1.000 millones en los últimos doce meses con un plazo promedio de cuatro años. El programa está diseñado para permitir a los clientes activar o intercambiar módulos sin iniciar un nuevo ciclo de adquisiciones, y Rubin lo citó como un impulsor de ciclos de ventas más cortos y una mayor visibilidad de los ingresos futuros. Dos ejemplos ilustrativos del trimestre —un acuerdo Z-Flex de ocho cifras con una empresa de finanzas y seguros de Fortune 500 que aumentó el ARR en casi un 50% y un acuerdo de tres años de ocho cifras con un fabricante de semiconductores Global 2000 que aumentó el gasto anual en un 60%— demuestran que los mecanismos de venta adicional funcionan según lo previsto. El programa se está convirtiendo en una ventaja estructural significativa en la retención de clientes y la expansión de la plataforma, particularmente a medida que los clientes profundizan la adopción de módulos.
El uso medido sin puestos representa ahora más del 30% del nuevo ACV
Un cambio comercial notable destacado por Rubin: las soluciones de uso medido no basadas en puestos entregaron poco más del 30% del nuevo ACV (valor anual del contrato) en el tercer trimestre, con el ARR vinculado a esas ofertas creciendo más del 100% interanual. A medida que proliferan los agentes de IA y se escalan las interacciones máquina a máquina, la capacidad de la empresa para monetizar en función del uso en lugar del número de empleados se vuelve estructuralmente importante. Esta es la evolución del modelo de negocio que sustenta la tesis alcista a largo plazo: la oportunidad direccionable ya no está limitada por el número de empleados de la empresa. El TCV del mercado en la nube alcanzó aproximadamente $900 millones en lo que va del año fiscal 2026, más del doble año tras año, lo que refleja la creciente importancia de la adquisición en el mercado como un movimiento de compra empresarial que se alinea con las estructuras de compromiso en la nube.
Análisis a fondo: Zscaler, Inc.
Modelo de negocio y oferta principal
Zscaler opera la plataforma de seguridad en la nube en línea más grande del mundo, funcionando como un conmutador digital global que conecta de forma segura a usuarios, dispositivos y aplicaciones. La premisa fundamental de la compañía es la obsolescencia del perímetro de red corporativo tradicional. En lugar de construir muros alrededor de centros de datos heredados mediante firewalls físicos y redes privadas virtuales (VPN), el Zero Trust Exchange de Zscaler coloca un intermediario de software nativo en la nube entre el usuario y la aplicación. La arquitectura se basa en el principio de confianza cero: a un usuario autorizado solo se le concede acceso a una aplicación específica, no a la red subyacente, lo que neutraliza eficazmente el riesgo de movimiento lateral de amenazas.
La compañía monetiza esta arquitectura a través de un modelo de software como servicio (SaaS) altamente predecible, donde las suscripciones representan aproximadamente el 98% de los ingresos totales. Zscaler atrae a clientes empresariales mediante licencias anuales escalonadas por usuario, que suelen oscilar entre $70 y más de $300 por usuario, dependiendo del paquete de funciones. El principal motor de crecimiento es una estrategia clásica de "aterrizar y expandir" (land-and-expand). Los clientes generalmente comienzan con Zscaler Internet Access (ZIA) para el tráfico web y de software como servicio (SaaS) saliente seguro. Con el tiempo, añaden Zscaler Private Access (ZPA) para el acceso seguro a aplicaciones internas y Zscaler Digital Experience (ZDX) para el monitoreo del rendimiento de extremo a extremo. Esta estrategia de expansión modular es altamente efectiva, lo que se refleja en tasas de retención neta basadas en dólares que se mantienen constantemente alrededor del 115%.
Cuota de mercado, clientes y panorama competitivo
Zscaler se sitúa en la cúspide del mercado de Security Service Edge (SSE). Para 2026, la compañía protege aproximadamente al 45% de las empresas Fortune 500 y procesa más de 500.000 millones de transacciones diarias a través de sus más de 150 centros de datos globales. Gartner ha nombrado constantemente a Zscaler como líder en SSE, elevándolo recientemente a la posición más alta en ejecución. Sin embargo, el entorno competitivo es cada vez más agresivo a medida que el mercado más amplio de Secure Access Service Edge (SASE) se consolida.
La compañía enfrenta una guerra en múltiples frentes. Palo Alto Networks es la amenaza incumbente más formidable, utilizando una estrategia de paquetes agresiva para impulsar su plataforma Prisma SASE. Palo Alto aprovecha su amplia base de firewalls heredados para realizar ventas cruzadas de seguridad en la nube, compitiendo frecuentemente por precio para desplazar a los proveedores especializados. En el ámbito del SSE puro, Netskope sigue siendo un rival feroz, particularmente en inspección profunda de datos, Cloud Access Security Broker (CASB) y capacidades de prevención de pérdida de datos (DLP), compitiendo frecuentemente con Zscaler en despliegues complejos de Fortune 100.
Desde abajo, Cloudflare se está expandiendo agresivamente en el espacio de confianza cero empresarial. Aprovechando su enorme red de entrega de contenido (CDN) global, Cloudflare ofrece una latencia estructuralmente menor y precios altamente disruptivos, captando desarrolladores y cuentas del mercado medio mientras asciende constantemente en el mercado. Finalmente, gigantes tecnológicos como Microsoft, con su Entra Private Access, y Cisco están integrando funciones de confianza cero "suficientemente buenas" en acuerdos empresariales existentes, lo que genera presión sobre los márgenes en el segmento bajo del mercado.
Ventajas competitivas
El foso defensivo principal de Zscaler es estructural: su arquitectura nativa en la nube. A diferencia de los proveedores de firewalls heredados que adaptaron máquinas virtuales locales a la nube, Zscaler fue construido específicamente como un proxy multiinquilino. En el centro de esta ventaja se encuentra su tecnología Single-Scan Multi-Action (SSMA). En lugar de encadenar servicios de seguridad de forma serial —donde el tráfico se descifra, es escaneado por un firewall, pasa a un motor DLP, luego a un CASB y finalmente se vuelve a cifrar, lo que causa una latencia severa—, Zscaler inspecciona el flujo de datos descifrados simultáneamente en todos los motores de seguridad. Esta ventaja de rendimiento estructural es extremadamente difícil de replicar para los competidores con herencia de hardware.
El segundo pilar del foso de Zscaler es la gravedad de los datos. Procesar más de 500.000 millones de solicitudes diarias proporciona una telemetría inigualable. En el ámbito de la ciberseguridad, los algoritmos de aprendizaje automático y detección de amenazas son tan efectivos como los datos con los que se entrenan. La enorme visibilidad de Zscaler sobre los vectores de amenazas globales le permite bloquear ataques novedosos para un cliente y propagar instantáneamente esa defensa a toda la base de usuarios.
Por último, los altos costos de cambio aíslan el modelo de negocio. Una vez que una empresa global redirige su tráfico digital central a través del Zero Trust Exchange, elimina sus VPN heredadas e integra a Zscaler en sus flujos de trabajo de gestión de identidad y acceso, la fricción de reemplazar la plataforma es inmensa. Este arraigo genera una durabilidad de ingresos excepcional, evidenciada por márgenes brutos no GAAP que superan habitualmente el 80%.
Dinámica de la industria: Oportunidades y amenazas
La industria de la ciberseguridad está experimentando un cambio de paradigma estructural impulsado por la proliferación de la inteligencia artificial. Los actores de amenazas cibernéticas están utilizando la IA generativa para automatizar el descubrimiento de vulnerabilidades y desplegar agentes de forma autónoma para ejecutar ataques laterales a gran escala. Esta dinámica convierte a las arquitecturas VPN heredadas —donde las credenciales comprometidas otorgan acceso a toda una red corporativa— en una responsabilidad catastrófica. La necesidad urgente de neutralizar el ransomware impulsado por IA es el principal viento de cola que acelera la adopción de la confianza cero a nivel mundial.
Sin embargo, la industria enfrenta una amenaza generalizada de fatiga de proveedores y escrutinio presupuestario. Los directores de seguridad de la información (CISO) buscan activamente consolidar sus extensas pilas de seguridad, pasando de docenas de soluciones puntuales a un puñado de plataformas estratégicas. Si bien Zscaler está bien posicionado como consolidador de plataformas, esta misma dinámica juega a favor de Palo Alto Networks y Microsoft, los cuales pueden ofrecer suites de seguridad empresariales más amplias, aunque a veces tecnológicamente más superficiales. Zscaler debe demostrar continuamente que su enfoque SSE de "mejor en su clase" ofrece suficiente valor distintivo para justificar permanecer fuera del contrato de consolidación de proveedores más amplio de una empresa.
Nuevos vectores de crecimiento y participantes disruptivos
Para mantener un crecimiento agresivo de los ingresos, Zscaler está extendiendo su filosofía de confianza cero más allá del trabajador remoto hacia la sucursal física, la fábrica y la carga de trabajo en la nube. La introducción de Zero Trust SD-WAN y el dispositivo Branch Connector es un ataque directo a los mercados de enrutamiento tradicionales dominados por Cisco y Fortinet. En lugar de extender redes mediante VPN de sitio a sitio, la SD-WAN de Zscaler segmenta la tecnología operativa (OT) y los dispositivos de Internet de las cosas (IoT) en el borde, eliminando por completo los firewalls físicos. Aunque los analistas consideran que es incipiente en comparación con los especialistas en SD-WAN establecidos, representa una expansión masiva del mercado total direccionable de Zscaler.
Simultáneamente, Zscaler ha comercializado rápidamente la defensa mediante IA. A principios de 2026, la compañía lanzó AI Protect, una suite diseñada para asegurar el uso de aplicaciones de IA públicas por parte de los empleados y salvaguardar los flujos de trabajo de IA empresariales propietarios. Este módulo alcanzó una tasa de ejecución de reservas de $100 millones a los pocos meses de su lanzamiento, impulsando los ingresos recurrentes anuales (ARR) totales de seguridad de IA de Zscaler por encima de los $400 millones, trimestres antes de los objetivos internos.
En el frente disruptivo, el mercado no es estático. Nuevos participantes están desafiando por completo el modelo de proxy en la nube. Las startups basadas en agentes, como dope.security, argumentan que enrutar todo el tráfico a través de un punto de presencia en la nube centralizado introduce latencia innecesaria y riesgos de privacidad. Estos disruptores ejecutan la inspección de la puerta de enlace web segura directamente en el dispositivo final. Si bien aún no representan una amenaza sistémica para el dominio empresarial de Zscaler, estas arquitecturas de computación en el borde representan una evolución tecnológica creíble que merece un seguimiento cercano.
Trayectoria de la gestión y ejecución
Bajo la dirección del fundador y CEO Jay Chaudhry, la trayectoria a largo plazo de la gestión en cuanto a desarrollo de productos visionarios y ejecución a escala es excepcional, llevando a la compañía a $3.500 millones en ARR. Sin embargo, la ejecución reciente ha introducido turbulencias, reflejando la fricción de la transición de una economía de software de alto crecimiento a una realidad intensiva en infraestructura de IA.
En el tercer trimestre fiscal de 2026, a pesar de superar las expectativas de ingresos y alcanzar un margen operativo no GAAP récord del 23%, la dirección sorprendió al mercado al reducir agresivamente la guía de margen de flujo de caja libre de aproximadamente el 27% al 23%. Esta compresión de márgenes se debe a una intensa inversión de capital de un solo dígito necesaria para construir la infraestructura de computación de alto rendimiento requerida para manejar cargas de trabajo de seguridad de IA avanzadas. Paralelamente, una reestructuración del liderazgo de ventas a finales del tercer trimestre de 2026, que incluyó la salida de dos ejecutivos clave de ventas, ha introducido incertidumbre sobre la ejecución en campo a corto plazo. La dirección está haciendo una apuesta deliberada y muy convencida de que sacrificar el flujo de caja libre a corto plazo es esencial para asegurar el dominio arquitectónico en la era de la IA. Es un giro estratégico necesario, pero que exige una ejecución impecable durante el próximo año fiscal para validar el desembolso de capital.
El balance
Zscaler sigue siendo el líder arquitectónico indiscutible en el paradigma de seguridad de confianza cero. Su diseño de proxy nativo en la nube, su inmensa gravedad de datos derivada de 500.000 millones de transacciones diarias y sus altos costos de cambio forman un foso competitivo formidable. La rápida tracción en el mercado de su módulo AI Protect y el cambio estructural lejos de las VPN heredadas indican que la demanda subyacente del Zero Trust Exchange es altamente duradera. El negocio principal se está consolidando efectivamente como el sistema nervioso digital para las empresas Fortune 500, aislado por métricas de retención estelares y márgenes brutos elevados.
Por el contrario, la tesis de inversión a corto plazo requiere tolerancia a la fricción. La compañía está digiriendo activamente una transición en su liderazgo de comercialización (go-to-market) en el mismo momento en que Palo Alto Networks está presionando implacablemente su ventaja de paquetes. Más críticamente, la abrupta revisión a la baja de los márgenes de flujo de caja libre por parte de la dirección señala que mantener la supremacía tecnológica en la era de la IA generativa requiere un gasto de capital sustancial y sostenido. Los vientos de cola estructurales a largo plazo están intactos, pero Zscaler debe navegar un ciclo desafiante de mayor intensidad de capital y feroz competencia a nivel de plataforma.