Que herramientas de seguridad funcionan en redes aisladas sin acceso a internet? La respuesta practica es mas estrecha de lo que sugieren la mayoria de las paginas de producto. Algunas herramientas siguen funcionando completamente en local. Otras solo encajan si puedes pasar actualizaciones, licencias o paquetes de plugins a traves del limite. Y otras dejan de servir en cuanto el entorno ya no puede alcanzar un plano de control cloud, un feed en vivo o una API expuesta en Internet.
Este articulo se mantiene dentro del alcance de las redes empresariales aisladas con un modelo operativo centrado en Active Directory y Windows. No intenta cubrir programas de seguridad OT o ICS. Si tu pregunta principal sigue siendo como auditar el entorno en si, usa Auditoria de seguridad de una red air-gapped como guia process-first y Como auditar Active Directory en un entorno air-gapped como deep dive AD. El objetivo aqui es distinto: que herramientas y que workflows siguen siendo realistas cuando el acceso a Internet esta ausente, muy mediado por brokers, o solo es posible mediante transferencias offline controladas.
Que herramientas de seguridad funcionan en redes aisladas sin acceso a internet?
Una herramienta solo deberia contar como utilizable sin acceso a Internet si su funcion principal de seguridad puede seguir ejecutandose dentro del perimetro y si las dependencias restantes son explicitas. En la practica, eso significa responder primero a cuatro preguntas:
| Pregunta | Por que importa en una red aislada |
|---|---|
| Puede la herramienta recopilar o analizar datos localmente? | Si la recopilacion exige un plano de control cloud, no encaja en un air gap real. |
| Necesita feeds en vivo o puede trabajar con staged offline updates? | Algunas herramientas siguen siendo utiles, pero solo con un workflow de transferencia disciplinado. |
| Puedes volver a ejecutarla tras la remediacion desde el mismo lado del limite? | Un escaneo puntual es mas debil que un modelo estable de rerun local. |
| Mantiene la herramienta la evidencia dentro del entorno cuando hace falta? | En redes aisladas, la salida de datos suele ser una superficie de control, no una comodidad. |
Esta distincion importa porque muchos entornos descritos como offline en realidad solo estan aislados de forma logica o dependen de bastiones, brokers o rutas manuales de transferencia. La guia de implementacion de BOD 23-01 de CISA sigue siendo el recordatorio oficial mas claro: un entorno fisicamente air-gapped no es lo mismo que uno simplemente aislado. Una herramienta que funciona con imports staged a traves de un limite de transferencia no es lo mismo que una herramienta que funciona sin ninguna dependencia externa.
Empieza separando workflows local-only de herramientas cloud-dependent
La forma mas limpia de evaluar herramientas en un entorno aislado es separar tres modelos.
| Modelo de herramienta | Que sigue funcionando | Restriccion principal |
|---|---|---|
| Workflow local-only | La recopilacion y la revision ocurren por completo dentro del perimetro. | Aun necesitas suficientes fuentes de evidencia locales y suficiente capacidad operativa para interpretarlas. |
| Offline-capable con staged updates | La herramienta se ejecuta localmente, pero firmas, plugins, licencias o catalogos deben importarse manualmente. | La frescura operativa depende del proceso de transferencia, no solo de la herramienta. |
| Cloud-dependent | El producto asume un plano de control SaaS, APIs accesibles por Internet o contenido online continuo. | Normalmente deja de encajar en un air gap real, aunque el instalador pueda ejecutarse en local. |
Ese es el marco para el resto del articulo. La pregunta no es si un fabricante dice que su software puede instalarse en un host Windows. La pregunta es si el valor de seguridad se mantiene cuando no existe acceso directo a Internet ni una ruta de excepcion invisible que haga el trabajo real.
La instrumentacion nativa de Windows y Active Directory sigue funcionando offline
El punto de partida mas fiable en una red empresarial aislada sigue siendo el modelo nativo de evidencia de Windows y Active Directory.
La documentacion de Microsoft y las Open Specifications dejan claro lo esencial: los datos de directorio, los metadatos de Group Policy, los archivos de politica respaldados por SYSVOL, los registros de eventos locales y Windows Event Forwarding no necesitan Internet para existir ni para revisarse. Eso significa que un workflow local serio todavia puede apoyarse en:
- consultas LDAP o LDAPS para usuarios, grupos, delegaciones, trusts y atributos relevantes para privilegios
- una revision de Group Policy que cubra tanto los metadatos de AD como el contenido de politica alojado en SYSVOL
- registros de eventos locales y WEF/WEC para centralizar evidencia dentro del perimetro
- PowerShell local para configuracion de host, postura de protocolos y validacion de controles
- escaneo offline de Windows Update Agent con
Wsusscn2.cabpara detectar actualizaciones de seguridad de Microsoft ausentes
El limite es que la instrumentacion nativa te da fuentes de evidencia, no un programa de seguridad llave en mano. WEF/WEC ayuda a reenviar lo que ya existe, pero Microsoft documenta de forma explicita que el mecanismo sigue siendo pasivo respecto a la generacion de eventos, el tamano de los logs, los canales deshabilitados y la politica de auditoria. Del mismo modo, el escaneo offline de WUA puede indicar actualizaciones de seguridad de Microsoft ausentes, pero no sustituye un workflow conectado de inteligencia de vulnerabilidades.
Por eso la instrumentacion nativa aparece en la primera fila de la matriz. Es la base offline mas defendible, pero no es la respuesta completa por si sola.
Herramientas de evaluacion point-in-time que pueden ejecutarse en redes aisladas
Dos herramientas centradas en AD siguen siendo validas aqui porque su comportamiento offline o desconectado esta documentado oficialmente y porque su papel es mas estrecho que el de una plataforma cloud de seguridad.
PingCastle
PingCastle es uno de los ejemplos mas claros de una herramienta que sigue encajando en redes aisladas, porque su documentacion oficial describe explicitamente varios patrones de despliegue desconectados. Health Check es el informe por defecto. La documentacion Deploy cubre dominios sin conexion de red, recopilacion a traves de bastion, programacion semanal y transferencia cifrada de informes por canales no confiables. La documentacion Consolidation cubre la agrupacion de multiples informes en una vista de nivel superior.
Eso hace de PingCastle una opcion realista de evaluacion AD point-in-time cuando el requisito es:
- solo Active Directory on-prem
- un informe local HTML-first
- ejecucion desde cada dominio o desde un bastion
- un modelo practico de recopilacion de informes incluso cuando la centralizacion es incomoda
Es un buen fit para scorecards AD offline. No es una plataforma general de seguridad offline, y no resuelve inteligencia de actualizaciones, identidad hibrida ni visibilidad amplia de host y red fuera de su modelo orientado a AD.
Purple Knight
Purple Knight tambien sigue siendo relevante, pero solo si se describe con precision.
Semperis afirma en la FAQ oficial que Purple Knight es software instalado, que no realiza cambios en Active Directory, que requiere la capacidad de ejecutar scripts de PowerShell, que utiliza consultas LDAP sobre RPC para ciertos escaneos de vulnerabilidades y que no tiene capacidades de phone-home. La misma FAQ afirma tambien que proporciona una scorecard point-in-time y que el informe incluye indicadores escaneados, estado pass/fail, mapeo MITRE ATT&CK y orientacion de remediacion.
Eso hace que Purple Knight sea utilizable para una evaluacion de AD on-prem en un entorno Windows-centric aislado cuando quieres una herramienta de evaluacion instalada localmente y no un plano de control cloud. Pero Purple Knight tambien esta posicionado por Semperis como un producto de evaluacion de AD y Entra. La FAQ oficial explica que la evaluacion de Entra requiere una app registration y permisos de Microsoft Graph.
ℹ️ Inferencia a partir de docs oficiales: Purple Knight sigue siendo valido para revisar AD on-prem dentro de una red aislada, pero la parte de Entra queda fuera de un entorno realmente sin Internet porque la conectividad con Microsoft Graph se situa fuera de ese limite.
Ese caveat importa. Purple Knight pertenece a este articulo por su lado AD, no como afirmacion general de que todo su alcance hibrido seguiria funcionando dentro de un air gap real.
Escaneres de vulnerabilidades que siguen funcionando con staged offline updates
El ejemplo de escaner mas defendible aqui es Tenable Nessus en offline mode, porque Tenable documenta el workflow de forma explicita.
La documentacion oficial de Tenable afirma que Nessus puede ponerse en offline mode y recomienda ese modo para escaneres offline o air-gapped. La misma documentacion tambien afirma que offline mode deshabilita funciones que requieren conexion con el feed de Nessus, incluidas actualizaciones core y de plugins, feed status updates, vinculacion con Tenable Vulnerability Management y otras funciones de la aplicacion.
El punto operativo importante es que offline-capable no significa self-sufficient. La documentacion de Tenable sobre instalacion y actualizaciones offline deja claro que:
- el registro offline es un proceso aparte
- un sistema auxiliar conectado a Internet se usa para obtener los artefactos necesarios
- los paquetes de plugins deben transferirse manualmente
- la frescura del escaner depende de como se mantenga ese proceso de transferencia
Eso sigue haciendo de Nessus una entrada valida en un articulo tools-first sobre redes aisladas. No lo convierte en algo simple. En un air gap real, el escaner solo esta tan actualizado como la ruta de staged updates que lo alimenta.
Lo que suele romperse en un air gap real
Algunas categorias de herramientas suelen dejar de encajar en cuanto el entorno ya no puede llegar a Internet o a una API externa aprobada.
- productos SaaS-only cuyo modelo principal de analisis, politica o evidencia vive en un plano de control remoto
- productos que requieren actualizacion continua de firmas, reputacion o threat intelligence sin una ruta de importacion offline documentada
- herramientas que pueden instalarse localmente pero que aun asi asumen registro de tenant, acceso a APIs cloud o correlacion por Internet para ofrecer su valor principal
- ecosistemas de agentes donde versionado, sincronizacion de politicas o analitica se degradan con fuerza en cuanto el entorno pierde conectividad online
Aqui es donde los equipos pierden tiempo. Una demo de producto puede parecer suficientemente local hasta que se traza la cadena de dependencias oculta: registro, comprobaciones de licencia, feeds de plugins, acceso Graph, scoring cloud o ayuda y actualizaciones servidas desde la web. En entornos aislados, esas dependencias forman parte de la revision de diseno, no del ruido de fondo.
Matriz corta: herramientas de seguridad para redes aisladas sin acceso a internet
| Herramienta o workflow | Funciona sin Internet? | Que sigue necesitando | Mejor fit | Donde se rompe en un air gap real |
|---|---|---|---|---|
| Native Windows / AD tooling | Si | Capacidad operativa, acceso local a la recopilacion y un modelo de evidencia disciplinado | Revision local basica de AD, GPO, logs, WEF/WEC, PowerShell y escaneo WUA offline | No proporciona por si solo un programa de seguridad empaquetado. |
| PingCastle | Si, para evaluacion AD | Conectividad AD, un punto de ejecucion local o bastion y recopilacion de informes | Health checks AD point-in-time en entornos desconectados o dificiles de centralizar | Sigue siendo estrecho: orientado a AD, HTML-first, y no un workflow completo de identidad hibrida o inteligencia de vulnerabilidades. |
| Purple Knight | Si, para evaluacion AD on-prem | Ejecucion local, PowerShell y LDAP sobre RPC para ciertos escaneos | Evaluacion AD local rapida con remediacion a nivel de indicadores | La parte Entra depende de Microsoft Graph, asi que el alcance hibrido no se traslada a un air gap real. |
| Tenable Nessus Offline Mode | Si, con condiciones | Registro offline y transferencia manual de plugins y artefactos | Vulnerability scanning local cuando ya se acepta un proceso de staged updates | Pierde la comodidad dependiente del feed y se vuelve operativo y pesado si las actualizaciones offline no se mantienen bien. |
| ETC Collector standalone | Si | Despliegue local, acceso read-only y el mismo workflow de rerun tras remediaciones dentro del limite | Revisiones de seguridad repeatable mediante recopilacion local y reruns en entornos empresariales prudentes o aislados | No esta pensado para reemplazar cada fuente de inteligencia conectada; es mas fuerte cuando importan la evidencia local y los reruns repeatable. |
El objetivo de esta matriz no es declarar un ganador. Es separar las herramientas que siguen siendo honestamente operables offline de aquellas que solo parecen offline hasta que se examina su cadena de dependencias.
Como elegir la mezcla adecuada para una red empresarial aislada
Un buen stack de herramientas para una red aislada suele ser una combinacion, no un producto unico.
- Empieza por las fuentes de evidencia locales que siguen funcionando de forma nativa: datos AD, SYSVOL, logs locales, WEF/WEC y revision de configuracion de host.
- Anade una herramienta de evaluacion AD point-in-time si necesitas una vista mas rapida de privilegios y politicas. PingCastle y Purple Knight son validos, pero por motivos distintos.
- Anade un escaner offline-capable solo si la organizacion esta preparada para mantener correctamente la ruta de staged updates. Si no, la salida del escaner envejecera mas rapido que el entorno.
- Prioriza herramientas que puedas rerun localmente despues de la remediacion desde el mismo lado del limite. Eso importa mas que lo bonito que parezca el primer dashboard.
- Deja fuera de alcance los productos cloud-dependent salvo que el entorno este solo aislado logicamente y la ruta de dependencia este aprobada y documentada formalmente.
Aqui es donde siguen siendo utiles los articulos de fondo. Usa Como auditar la seguridad de Active Directory para la secuencia de revision, Auditoria recurrente de Active Directory para la logica de rerun, Windows LAPS no implementado cuando la reutilizacion de admins locales sigue presente, y Firma SMB deshabilitada cuando el riesgo de movimiento lateral sigue marcado por la postura de protocolos.
Si AD CS existe en el entorno aislado, la exposicion de certificados sigue perteneciendo al primer nivel de revision aunque no sea el tema principal aqui. Usa Ataques de plantillas de certificado ADCS para ese recorrido.
Como encaja EtcSec en workflows de seguridad offline
Para este caso de uso, el unico claim de producto que realmente importa es el modelo de despliegue y de recopilacion.
El material oficial de EtcSec describe un collector read-only que puede ejecutarse en un modo standalone completamente local. En ese modelo, la GUI y la API REST siguen siendo locales, los datos siguen siendo locales y la recopilacion puede seguir cubriendo evidencia de Active Directory por LDAP o LDAPS y SYSVOL. Ese es el limite de producto correcto que conviene enfatizar en una red aislada, porque coincide con la restriccion real: la recopilacion local y los reruns locales importan mas que la comodidad cloud.
Si necesitas el marco de proceso mas amplio, usa Auditoria de seguridad de una red air-gapped. Si necesitas el marco mas amplio de evaluacion de herramientas, usa Comparativa de herramientas de auditoria AD. Si necesitas el detalle de despliegue del modelo de collector local, usa ETC Collector.
El encaje practico es simple: EtcSec pertenece a la conversacion cuando el requisito es recopilacion local read-only repeatable y revision basada en reruns dentro del mismo limite de confianza, no cuando el equipo solo quiere una captura puntual.
Actionable next steps
- Mapea primero las fuentes de evidencia que siguen siendo totalmente locales: AD, SYSVOL, logs, WEF/WEC y escaneos WUA offline.
- Verifica despues que herramientas exigen transferencia manual de updates, licencias o plugins antes de tratarlas como realmente viables.
- Prueba por ultimo un rerun tras una remediacion pequena y real para confirmar que la herramienta sigue siendo util despues del cambio, y no solo para una primera foto.
Referencias primarias
- CISA: BOD 23-01 Implementation Guidance
- Microsoft Learn: Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn: Using WUA to Scan for Updates Offline
- Microsoft Open Specifications: MS-ADOD
- Microsoft Open Specifications: MS-GPOD Group Policy Structure
- PingCastle Documentation
- PingCastle Health Check
- PingCastle Deploy
- PingCastle Consolidation
- Semperis: Purple Knight FAQ
- Semperis: Active Directory Security Assessment | Purple Knight
- Tenable Nessus: Offline Mode
- Tenable Nessus: Install Tenable Nessus Offline
- Tenable Nessus: Update Plugins Offline
- ETC Collector
- ANSSI: Recommandations pour l'administration securisee des SI reposant sur AD
