anonym.legal

By · Last updated 2026-03-03

Volver al BlogTécnico

Anonimización de PII en Entornos Aislados...

El 41% de las políticas de seguridad empresarial prohíben el procesamiento en la nube de documentos clasificados.

March 3, 20268 min de lectura
offlineair-gapdesktopITARGDPRgovernmentdefenselocal processing

Cuando la red no tiene salida

Una científica de datos trabaja en una empresa de defensa. Tiene 3.000 registros de personal. Necesita eliminar nombres, números de seguridad social y niveles de autorización de seguridad. Solo entonces podrá compartir los datos con un socio de investigación bajo un acuerdo CUI.

Su red no tiene internet. Por diseño.

Prueba cada herramienta web que puede encontrar. Cada una envía datos a un servidor externo. Cada plataforma en la nube necesita una cuenta y una conexión activa. Incluso las herramientas «on-premises» suelen llamar a un servidor de licencias remoto.

Este es el problema del despliegue air-gapped. Afecta a muchos más equipos de lo que la mayoría espera.

Quién necesita la eliminación PII sin conexión

Las empresas de defensa y las agencias gubernamentales son las más afectadas. El programa FedRAMP de la DISA exige que los datos permanezcan dentro de los límites de red aprobados. ITAR limita los datos técnicos a sistemas controlados por EE. UU. Redes como JWICS y SIPRNet están físicamente aisladas por diseño.

Pero la necesidad sin conexión va mucho más allá de los sitios clasificados:

Hospitales con redes segmentadas. Los sistemas de imagen PACS, las plataformas EHR y las bases de datos de investigación suelen estar en redes sin internet por política.

Pisos de trading y cámaras de compensación. Los sistemas de trading propietarios y los sistemas conectados a SWIFT utilizan estricto aislamiento de red.

Sistemas de control industrial. Las redes SCADA y la infraestructura crítica operan con air gaps como medida de seguridad central. El endurecimiento post-Stuxnet lo convirtió en la norma.

Normas europeas de datos. Las Landesdatenschutzgesetze alemanas y leyes similares de la UE exigen el procesamiento local de datos sensibles gubernamentales y de salud. La multa RGPD de 530 M€ a TikTok llegó en mayo de 2025. Abarcó transferencias de datos a China. Esa multa empujó a más equipos hacia herramientas locales. Consulta nuestra descripción general de cumplimiento para las normas de transferencia del RGPD aplicables.

Por qué las herramientas en la nube fallan en redes air-gapped

La mayoría de las herramientas de eliminación de datos siguen un modelo SaaS:

Dispositivo → HTTPS → API del proveedor → Modelos NLP → Respuesta → Dispositivo

Este diseño necesita acceso a internet en el dispositivo de procesamiento. Necesita confianza en los servidores del proveedor. Significa que los datos cruzan redes externas.

En una red air-gapped, el paso uno es una imposibilidad física. En entornos regulados, los pasos dos a cuatro pueden cada uno infringir las normas de cumplimiento.

Presidio auto-alojado es el recurso habitual. Pero necesita conocimientos de Docker y configuración de Python. También necesita descargas de modelos spaCy, que requieren acceso a internet. Y necesita soporte de IT continuo. La mayoría de los equipos no tienen todo esto.

La brecha entre la facilidad de la nube y la complejidad del auto-alojamiento es exactamente lo que llenan las herramientas de escritorio locales.

Cómo funciona la eliminación PII local

Una buena herramienta sin conexión incluye todo lo que necesita:

Modelos NLP integrados. Los modelos spaCy (40–80 MB cada uno) y los modelos transformer para la detección de entidades nombradas forman parte del instalador. No se necesita ninguna descarga durante la ejecución.

Pipeline de detección local. Regex, NLP y ML se ejecutan todos en la CPU local — o GPU si está disponible. El motor basado en Presidio dentro de anonym.legal no realiza llamadas de red durante una ejecución.

Bóveda local cifrada. Las configuraciones, preajustes y claves se almacenan localmente. La bóveda usa cifrado AES-256-GCM y derivación de clave Argon2id. Sin sincronización en la nube. Sin copia de seguridad remota. La bóveda permanece en el dispositivo.

E/S de archivos local. Los archivos de entrada vienen del almacenamiento local. Los archivos de salida vuelven al almacenamiento local. Ningún dato cruza ninguna interfaz de red.

Superficie de ataque pequeña. La aplicación Desktop usa Tauri 2.0 (basado en Rust). Tauri tiene una superficie de ataque mucho menor que Electron (basado en Chromium). Su binario es aproximadamente diez veces más pequeño. También llama a menos APIs del sistema operativo por defecto.

Tres escenarios reales de cumplimiento

Documentos ITAR — 500 archivos

Una empresa de defensa necesita compartir documentos técnicos con un socio extranjero bajo una excepción de licencia. Los archivos contienen nombres de personas de EE. UU. y datos de personal. Ambos deben eliminarse primero.

Necesidades clave: procesamiento solo en estaciones de trabajo autorizadas. Ningún dato enviado fuera de la red autorizada. Un rastro de auditoría que demuestre el trabajo realizado. Soporte por lotes para 500+ archivos.

La aplicación Desktop procesa todos los archivos DOCX 500+ localmente en modo por lotes. No se realiza ninguna llamada de red durante la ejecución. El registro de auditoría permanece en la bóveda local. El resultado cumple con los requisitos de la excepción de licencia ITAR.

Agencia federal alemana — Datos de quejas

Una agencia federal alemana debe eliminar datos personales de los registros de quejas ciudadanas. Luego envía los registros a un instituto de investigación. Las directrices del BfDI prohíben el procesamiento en sistemas no gubernamentales.

La aplicación Desktop se ejecuta en estaciones de trabajo Windows 11 de la agencia. Todo el procesamiento es local. El equipo de seguridad de TI lo confirma con monitoreo de tráfico — cero conexiones externas durante la ejecución.

Investigación hospitalaria — De-identificación de EHR

Un equipo de investigación hospitalaria necesita anonimizar registros de pacientes para un ensayo clínico. HIPAA Safe Harbor requiere eliminar 18 tipos de identificadores. La red clínica no tiene acceso a internet.

La aplicación Desktop maneja el procesamiento por lotes de exportaciones de EHR en formato CSV y JSON. El oficial de privacidad revisa el resultado frente a las normas Safe Harbor antes de que el conjunto de datos vaya a los socios de investigación.

Qué buscar en una herramienta sin conexión

CapacidadPor qué importa
Completamente sin conexión tras la instalaciónSin dependencia de internet durante el procesamiento
Modelos NLP integradosNo se necesita paso de descarga
Procesamiento por lotesManejar grandes volúmenes sin trabajo manual
Bóveda local cifradaAlmacenamiento seguro de configuraciones y claves
Registro de auditoríaRegistros necesarios para revisiones de cumplimiento
Soporte Windows, macOS, LinuxCubre tipos de estaciones de trabajo clasificadas
Opción sin telemetríaDetiene que los datos salgan por telemetría
Soporte de formatos de archivoDOCX, PDF, TXT, CSV, JSON, Excel

Las normas de datos empujan a los equipos hacia herramientas locales

La multa de 530 M€ a TikTok desencadenó una oleada más amplia de multas. Los equipos de la UE que usaban herramientas en la nube ahora hacen una nueva pregunta. ¿El procesamiento en los servidores de un proveedor satisface el Capítulo V del RGPD y las leyes nacionales de datos?

La respuesta más clara a «¿adónde van sus datos?» es esta: a ningún lado — nunca salen del dispositivo. El procesamiento local elimina la pregunta de transferencia del RGPD por completo.

Para los equipos alemanes, la lectura estricta de los artículos 44–46 del DSGVO hace del procesamiento local una elección inteligente. Esto se aplica incluso sin restricciones de red estrictas. Nuestra descripción general de seguridad explica cómo el procesamiento local elimina la cadena de datos de terceros.

Notas prácticas de despliegue

Instalación en sistemas air-gapped. El instalador — Windows .exe o .msi, macOS .dmg, Linux .AppImage o .deb — se transfiere a la red air-gapped por USB o transferencia de archivos segura. No se necesita internet después de la instalación.

Soporte de idiomas. 24 modelos específicos de idioma se incluyen con la aplicación. El conjunto completo está disponible sin conexión sin descarga adicional.

Necesidades de hardware. El pipeline NLP se ejecuta en estaciones de trabajo modernas sin GPU. El procesamiento por lotes de 1.000 documentos suele tardar entre 5 y 15 minutos. La velocidad depende del tamaño del documento y la velocidad de la CPU.

Configuración de licencia sin conexión. Para redes donde un servidor de licencias no es accesible, está disponible la configuración de licencia sin conexión.

Cuándo el air-gapping no es la solución adecuada

Los sistemas air-gapped resuelven problemas específicos. También añaden una carga real.

Fricción de actualización. Mantener los modelos y el software actualizados requiere pasos manuales. Los equipos que se quedan atrás pueden perderse nuevos patrones PII.

Overhead de vinculación. Los sistemas air-gapped no pueden conectarse a herramientas SIEM en la nube ni a paneles de auditoría remotos. Se necesitan soluciones de data-diode personalizadas. Esto aumenta los costos.

Compromisos de precisión. Las herramientas en la nube actualizan los datos de entrenamiento de forma continua. Los modelos sin conexión son una instantánea. Pueden quedarse atrás frente a nuevos patrones lingüísticos con el tiempo.

No necesario para cada modelo de amenaza. Los equipos sin mandatos gubernamentales, de salud o legales pueden encontrar las herramientas en la nube más prácticas. El cifrado fuerte, las auditorías SOC 2 Tipo II y los acuerdos de procesamiento de datos cubren la mayoría de los casos. El air-gapping solo vale la pena cuando el modelo de amenaza realmente incluye el robo de datos por red por parte de un adversario cualificado.

Para la mayoría de las pymes y equipos de empresa estándar, el cifrado fuerte en tránsito y en reposo proporciona protección adecuada. Los controles contractuales sólidos cubren la mayoría de los casos — sin la carga del air-gapping completo. Consulta nuestras FAQ para más información sobre cómo elegir el modelo de despliegue adecuado.

La aplicación Desktop de anonym.legal (Windows, macOS, Linux) procesa PII completamente de forma local con modelos NLP integrados. No se requiere conexión a internet después de la instalación. El procesamiento por lotes admite 1–5.000 archivos por ejecución según el nivel del plan.

Fuentes

Artículos Relacionados

Técnico

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Técnico

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Técnico

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.