A medida que las ciberamenazas ganan en sofisticación y los ataques remotos se multiplican, algunas organizaciones optan por una medida que puede parecer drástica, pero que va ganando terreno: aislar por completo sus sistemas críticos del resto del mundo digital.
La estrategia se basa en un principio sencillo: eliminar toda comunicación de red externa para reducir la superficie de ataque. El resultado es un entorno aislado físicamente, o «air-gapped».
Pero ¿en qué consiste exactamente? ¿Por qué esta estrategia se está convirtiendo poco a poco en la norma en determinados sectores? ¿Y qué capacidades concretas ofrece Cyberwatch para analizar máquinas sensibles o aisladas y realizar evaluaciones de vulnerabilidades pese a la falta de conectividad de red?
Te lo contamos todo en este artículo.
Entender el air gap: definición, ventajas y casos de uso
¿Qué es un entorno air-gapped?
Un entorno air-gapped es un sistema de información aislado de forma deliberada de cualquier otra red no controlada, en particular de internet.
En su definición más estricta, un sistema aislado no tiene:
- Ninguna conexión a internet
- Ningún enrutamiento hacia una red externa
- Ningún túnel VPN
- Ninguna interconexión persistente con un sistema de terceros
El aislamiento es físico, no solo lógico.
¿Qué significa esto en la práctica? Que las máquinas implicadas no están conectadas a ningún entorno externo por cable, wifi, fibra ni ninguna otra tecnología de red.
Hay que tener en cuenta que:
- Una red privada protegida por un firewall no es necesariamente air-gapped
- Una VLAN segmentada no es necesariamente air-gapped
- Un sistema sin acceso a internet pero conectado a otras redes tampoco es necesariamente air-gapped
La clave es la siguiente: un verdadero air gap implica que ninguna comunicación de red activa sale del entorno.
¿Por qué implementar un air gap?
Un air gap reduce drásticamente la superficie de ataque remota. No corrigiendo las vulnerabilidades una a una, sino eliminando la propia exposición.
La razón es sencilla. La mayoría de los ataques aprovechan sistemas accesibles desde el exterior:
- Servicios expuestos
- Vulnerabilidades de aplicaciones
- Errores de configuración
- Fallos de autenticación
- Accesos remotos comprometidos
Según el informe de análisis de incidentes de Kaspersky publicado en 2025, por ejemplo, las aplicaciones expuestas a internet fueron el principal vector de ataque inicial (39,2 % de los casos) y las cuentas comprometidas sirvieron como punto de entrada en el 31,4 % de los incidentes. Ambos vectores comparten una premisa: que existe algo accesible desde el exterior.
Eso es precisamente lo que elimina un air gap. Al cortar toda conectividad de red externa, los atacantes pierden la superficie sobre la que se apoyan estas técnicas.
Dicho esto, el aislamiento físico no es infalible.
Los soportes extraíbles, los accesos físicos no controlados o los ataques a la cadena de suministro siguen siendo vectores válidos, y por eso mismo la gestión de vulnerabilidades sigue siendo imprescindible, incluso en un entorno air-gapped.
¿En qué contextos se utiliza el air gap?
El aislamiento físico no se improvisa. Responde a requisitos normativos o de seguridad concretos, y se encuentra sobre todo en entornos donde una brecha tendría consecuencias críticas:
- Sistemas industriales (ICS/SCADA)
- Infraestructuras críticas (energía, transporte, sanidad)
- Sistemas clasificados o militares
- Entornos de firma criptográfica
- Determinados entornos de producción sensibles
Para algunas organizaciones, la exigencia también es normativa. En España, los operadores críticos designados al amparo de la Ley PIC (Protección de Infraestructuras Críticas) están sujetos a estrictas obligaciones de aislamiento bajo la supervisión del CNPIC: toda comunicación con una red externa está prohibida o sometida a un control riguroso.
En todos estos contextos, el riesgo aceptable es próximo a cero, y el air gap se impone como la respuesta arquitectónica evidente.
Los retos operativos del air gap
A cambio de una superficie de ataque casi nula, el air gap conlleva importantes restricciones operativas. Los sistemas aislados no pueden recibir actualizaciones automáticas, ni ser supervisados por herramientas de seguridad conectadas, ni enviar sus logs a un SIEM centralizado.
Esto plantea un reto estructural para la gestión de vulnerabilidades: ¿cómo analizar máquinas que no pueden comunicarse directamente con una plataforma de seguridad? ¿Cómo mantener los parches al día sin tráfico de red? ¿Cómo detectar un riesgo sin telemetría?
Precisamente para responder a estas limitaciones, Cyberwatch ha desarrollado un modo de funcionamiento pensado para entornos aislados. Así es como funciona.
¿Cómo escanear y reportar vulnerabilidades en entornos aislados con Cyberwatch?
Cómo funciona el escaneo air gap en Cyberwatch
A diferencia de un escaneo clásico, que se realiza mediante una conexión directa entre Cyberwatch y la máquina objetivo, el escaneo air gap se basa en un modelo offline:
→ Cyberwatch proporciona scripts de análisis que se ejecutan localmente en la máquina aislada. Son los mismos que se utilizan para los escaneos con agente y sin agente.
→ Los scripts recopilan los datos técnicos necesarios para identificar los componentes de software presentes (sistema operativo, paquetes, versiones, configuraciones).
→ Los resultados pueden exportarse como archivos de texto estructurados en formato declarativo.
→ Esos archivos pueden importarse después en la instancia de Cyberwatch conectada, ya sea de forma manual o mediante herramientas automatizadas (API / CLI), llegado el caso a través de una ruptura de protocolo.
El proceso no requiere ningún flujo de comunicación entre el entorno aislado y Cyberwatch. Los datos recopilados se exportan y, a continuación, se transfieren según los procedimientos que defina la organización.
De este modo, los datos procedentes de máquinas desconectadas se integran en una gestión centralizada de vulnerabilidades, respetando al mismo tiempo las restricciones de aislamiento de la infraestructura.
Veamos cómo ponerlo en marcha, paso a paso.
Cómo implementar el escaneo air gap con Cyberwatch, paso a paso
Descargar y copiar los scripts de análisis
El primer paso de un escaneo air gap es descargar los scripts que proporciona Cyberwatch. Tienes dos opciones:
- Desde la interfaz de Cyberwatch, en Gestión de activos > Activos air gap > Añadir, puedes descargar un paquete ZIP con los scripts de análisis.
- Desde la API de Cyberwatch disponible en GitHub, instalable con Python, mediante el siguiente comando: cyberwatch-cli airgap download-scripts.
Si optas por la segunda opción, necesitarás haber generado una clave de API desde tu usuario en la interfaz, además de una conexión entre una máquina y tu instancia de Cyberwatch.
En cualquier caso, el siguiente paso es transferir los scripts descargados al equipo sin conexión (como archivo ZIP o como carpeta).
Ejecutar los scripts en la máquina aislada
Los scripts están organizados por familias de sistemas compatibles. En la máquina aislada, ejecuta el que corresponda al sistema operativo:
- Windows, por ejemplo: ejecución mediante PowerShell (.\run.ps1).
- Linux, por ejemplo: ejecución mediante el script de Bash proporcionado (./run.sh).
El script genera una salida de texto que puedes redirigir a un archivo (> output.txt), con la información del sistema estructurada en forma de datos declarativos (sistema operativo, lista de componentes, versiones, etc.).
Ese archivo es el que Cyberwatch utiliza como base para el análisis de vulnerabilidades.
Transferir los resultados e importarlos en Cyberwatch
Una vez ejecutado el script, el archivo de salida debe salir del entorno aislado por los medios que permita tu política de seguridad y, después, importarse en Cyberwatch.
Aquí también tienes dos opciones:
- Desde la interfaz: Gestión de activos > Activos air gap > Añadir, y luego importa el archivo de texto generado.
- A través de la API, con el comando cyberwatch-cli airgap upload. Esta opción permite automatizar los escaneos y evitar instalar un agente en los activos críticos.
Un detalle a tener en cuenta al importar: si ya existe un activo con el mismo hostname en el mismo proyecto, Cyberwatch actualiza su información. De lo contrario, se crea un activo nuevo. En ambos casos se conserva el historial.
Formatos compatibles:
Cyberwatch admite varios formatos según el uso:
| Formato | Uso |
| Archivo de texto | Salidas de scripts, creación manual de activos |
| JSON / SBOM (CycloneDX, SPDX) | Inventario de software, imágenes Docker |
| XLSX | Importación simultánea de varias máquinas, equipos de red o industriales |
| XML (Burp) | Resultados de escaneos de aplicaciones de Burp Suite |
Encontrarás una descripción más detallada del modo air gap, así como de las distintas fuentes y métodos disponibles, en nuestra documentación específica.
Cartografiar tus activos aislados con el descubrimiento declarativo
Una vez escaneadas e importadas tus máquinas, queda una pregunta: ¿tienes una visión completa de tu parque informatico aislado?
Aquí es donde entra en juego el descubrimiento declarativo.
En Cyberwatch, los descubrimientos permiten cartografiar tus activos según distintos perímetros (red, proveedores de infraestructura, etc.) y medir qué proporción de ellos está realmente supervisada.
Para entornos con varias máquinas aisladas, el descubrimiento declarativo permite añadir una lista de activos a partir de sus hostnames, direcciones IP o nombres de dominio. La importación se realiza desde un archivo de texto (.txt), un CSV o un Excel (.xlsx), sin necesidad de ninguna conexión de red.
Cyberwatch los correlaciona después con los activos ya supervisados y muestra qué proporción de máquinas solo está descubierta frente a las ya registradas, lo que te da una visión precisa de tu cobertura real, incluidos los posibles puntos ciegos en tus máquinas sin conexión.
Ya dominas lo esencial. Aquí tienes algunos recursos adicionales por si quieres profundizar.
Más allá de lo básico
Priorizar las vulnerabilidades en un entorno air-gapped
Identificar vulnerabilidades en un sistema aislado es solo el primer paso. El siguiente es saber cuáles corregir primero.
En un entorno conectado, los equipos suelen apoyarse en las puntuaciones de criticidad estándar (CVSS, EPSS, etc.) para orientar sus esfuerzos de remediación. Pero en un contexto air gap, ese enfoque alcanza rápidamente sus límites.
Una vulnerabilidad clasificada como crítica por ser explotable de forma remota a través de la red no implica necesariamente el mismo nivel de riesgo en una máquina totalmente desconectada de internet y de cualquier red externa. A la inversa, algunas vulnerabilidades explotables localmente o mediante soportes extraíbles pueden conservar un impacto importante pese al aislamiento del sistema.
Esta cuestión es aún más relevante porque las operaciones de actualización suelen ser más complejas en los entornos aislados: ventanas de mantenimiento limitadas, paradas de producción, procedimientos de validación específicos o requisitos normativos. En estas condiciones, el objetivo no es corregir el mayor número posible de vulnerabilidades, sino identificar con precisión cuáles representan un riesgo real para el activo en cuestión.
Para dar respuesta a este reto, Cyberwatch permite definir una política de priorización adaptada al contexto de cada equipo supervisado. La puntuación de riesgo se recalcula entonces según el método BTE (Base, Threat, Environment), teniendo en cuenta las características propias del activo, en particular su nivel de exposición.
En un contexto air gap, las vulnerabilidades críticas cuya explotación depende exclusivamente del acceso a la red pueden reclasificarse a la baja, mientras que los fallos realmente pertinentes en un entorno aislado ascienden automáticamente en las prioridades de tratamiento.
El resultado: una priorización más fiel al riesgo real, una mejor asignación de los recursos de mantenimiento y unos esfuerzos de corrección concentrados allí donde aportan más valor en la reducción del riesgo.
La gestión del cumplimiento en air gap con Cyberwatch
El escaneo de vulnerabilidades no es el único análisis que puedes realizar en un equipo aislado: Cyberwatch también permite ejecutar análisis de cumplimiento, siguiendo el mismo principio offline.
El proceso se desarrolla en tres fases, a través de la API REST y la CLI de Cyberwatch:
- Descarga de los scripts de cumplimiento desde un equipo conectado al servidor: cyberwatch-cli airgap download-compliance-scripts
- Transferencia y ejecución de los scripts en el equipo aislado, de forma local.
- Envío de los resultados al servidor de Cyberwatch: cyberwatch-cli airgap upload-compliance
Nota: el activo correspondiente debe haberse creado previamente en Cyberwatch, tal como se explica en la sección anterior.
¿Prefieres PowerShell? El procedimiento completo está disponible en nuestra documentación específica.
Sintaxis de los datos declarativos
¿Quieres entender en detalle el formato de los datos recopilados durante un escaneo air gap, o crear un activo manualmente sin pasar por los scripts? La documentación dedicada a la sintaxis declarativa es justo para eso.
Recoge la lista completa de claves utilizables en modo air gap y cubre dos casos de uso: entender la estructura de los datos exportados desde tus activos y crear manualmente un activo desde la página de creación de activos air gap.
En este segundo caso, en lugar de importar un archivo, dispones de un campo de texto editable para declarar directamente las propiedades del activo respetando la sintaxis declarativa. Resulta especialmente útil para los equipos que los scripts no admiten de forma nativa, como ciertos equipos industriales o terminales móviles Android e iOS.
Por último, puedes consultar la lista completa de equipos compatibles con Cyberwatch, incluidos los supervisados mediante el método air gap.
En resumen
Los entornos air gap responden a necesidades de ciberseguridad muy concretas, pero están lejos de ser una rareza: en defensa, industria, energía o sanidad, suelen ser la norma.
Cyberwatch lleva años acompañando a organizaciones que operan en este tipo de entornos.
Esa experiencia sobre el terreno, acumulada junto a actores con algunas de las exigencias de seguridad más altas, nos ha llevado a desarrollar mecanismos concretos y probados para los retos específicos del air gap: scripts de análisis offline, importación multiformato y gestión centralizada de vulnerabilidades sin tráfico de red.
Si gestionas entornos aislados y quieres saber más sobre cómo Cyberwatch puede ayudarte, nuestro equipo estará encantado de comentarlo contigo.
Preguntas frecuentes
¿Qué es un entorno air-gapped?
Un entorno air-gapped es un sistema de información aislado de forma deliberada de cualquier red externa, incluido internet. El aislamiento es físico: ningún cable, wifi u otra conexión de red une estas máquinas con el exterior.
¿Qué diferencia hay entre una red aislada por firewall y un verdadero air gap?
Un firewall filtra el tráfico, pero la conexión de red sigue existiendo. Un verdadero air gap elimina esa conexión por diseño: sencillamente no hay nada que interceptar ni que comprometer de forma remota.
¿Protege el air gap frente a todos los ciberataques?
No. Neutraliza la gran mayoría de los ataques remotos, pero vectores como los soportes extraíbles (pendrives), los accesos físicos no controlados o los ataques a la cadena de suministro siguen siendo amenazas reales.
¿Cómo se escanean vulnerabilidades en una máquina air gap?
Cyberwatch proporciona scripts de análisis que se ejecutan localmente en la máquina aislada. Los resultados se exportan a un archivo, se transfieren manualmente y luego se importan en Cyberwatch, sin necesidad de ningún tráfico de red.
¿Es posible realizar análisis de cumplimiento en air gap?
Sí. Cyberwatch ofrece scripts de cumplimiento descargables que se ejecutan localmente en el equipo aislado y que después se reimportan en la plataforma mediante la CLI o PowerShell.
