Saltar al contenido principal

Sandboxing - Aislamiento seguro de código no confiable

Lectura de 2 min aprox.

Un sandbox (entorno aislado) es una técnica de seguridad que ejecuta un programa en un entorno aislado para evitar que afecte a todo el sistema. Se usa para analizar de forma segura archivos y programas sospechosos, y aunque se ejecute malware, no se causa ningún daño a los sistemas fuera del sandbox. Este concepto también se aplica al aislamiento de pestañas del navegador y a la gestión de permisos de las aplicaciones móviles.

Casos de uso reales

«Introdujimos el análisis en sandbox de los archivos adjuntos en nuestra puerta de enlace de correo. Solo en la última semana se confirmó que 12 archivos adjuntos sospechosos intentaron comunicarse con servidores C&C dentro del sandbox, y pudimos bloquearlos antes de la entrega.»

El concepto de sandbox

Sandbox (entorno aislado)
Ejecutar programa sospechoso
Supervisar y registrar el comportamiento
↕ Restricción de acceso
SO anfitrión, sistema de archivos, red (objetivos protegidos)

Cómo funciona un sandbox

Un sandbox utiliza tecnología de virtualización o de contenedores para crear un entorno de ejecución aislado. Un programa solo puede acceder a los recursos dentro del sandbox, y su acceso al sistema de archivos y a la red está restringido. Los proveedores de seguridad analizan el comportamiento del malware en un sandbox y crean firmas de detección.libros sobre sandbox y análisis de malware (Amazon) permiten aprender más en detalle.

Escenarios de uso concretos

Un error común es pensar que «un sandbox es una herramienta que solo usan los profesionales de la seguridad». En realidad, los navegadores que usamos a diario (como Chrome y Edge) aplican un sandbox a cada pestaña, lo que impide que los sitios web maliciosos afecten a otras pestañas o al sistema.

En los equipos de seguridad corporativos, es habitual ejecutar automáticamente los archivos adjuntos de correo en un sandbox y comprobar si hay comportamientos sospechosos (como el cifrado de archivos o la comunicación con servidores externos) antes de entregarlos. Sin embargo, algunos malware avanzados poseen técnicas de «evasión de sandbox» que detectan el entorno aislado y cambian su comportamiento, por lo que es importante una defensa en profundidad que no dependa únicamente del sandbox.

Uso en el día a día

Al abrir un archivo sospechoso, es seguro comprobarlo en un entorno de sandbox. Con la función «Windows Sandbox» de Windows 10/11 puedes abrir archivos de forma segura en un entorno aislado. Al combinar la gestión de contraseñas robustas con la protección basada en sandbox, puedes lograr una seguridad multicapa.libros sobre defensa en profundidad (Amazon) también son una referencia útil.

Términos relacionados

¿Te resultó útil este artículo?

XHatena