¿Qué es Windows Sandbox? ¿Cómo puede ayudarte con los problemas de seguridad?

Los programas desconocidos o sospechosos pueden causar diversos problemas en el sistema principal, desde malware hasta cambios no deseados en la configuración del sistema. Una protección eficaz es el llamado salvadera ("sandbox"), que permite que los programas se ejecuten en un entorno virtual aislado y protegido, separado del resto del sistema.

Durante años, los usuarios de Windows han utilizado herramientas como Sandboxie, que rastrea todos los cambios realizados por un programa y los deshace al salir, restaurando el sistema a su estado original. Para un mayor nivel de aislamiento, se utilizaban máquinas virtuales (con VirtualBox o la tecnología Hyper-V integrada de Microsoft), en las que se instalaba el sistema operativo por separado y se podían ejecutar programas peligrosos, con la posibilidad de restaurar el sistema virtual a su estado original en cualquier momento. Este método es muy fiable, pero requiere más conocimientos y tiempo para configurar y mantener un sistema adicional.

¿Qué es Windows Sandbox?

Windows Sandbox es un entorno de escritorio aislado con el sistema operativo Windows, diseñado para probar programas y archivos de forma segura. Se ejecuta como una máquina virtual ligera y temporal dentro del sistema. Utiliza virtualización acelerada por hardware (Hyper-V) para separarlo completamente del sistema operativo host. Cada vez que lo iniciamos, obtenemos un sistema completamente limpio y vacío que se comporta como un Windows recién instalado, y todos los programas y archivos instalados en el Sandbox se pierden irremediablemente al cerrarlo. Sandbox forma parte de Windows 10/11 (disponible en las ediciones Pro, Enterprise y Education, pero no en Home) y no requiere ninguna licencia adicional ni la instalación de otro sistema operativo.

Si tiene instalada una versión de Windows 10/11 Home, puede cambiarla posteriormente a una versión compatible usando un script que se encuentra en línea (massgrave) o comprando una nueva licencia.

¿Cómo habilitar y utilizar Windows Sandbox?

Para usar Sandbox, necesita un sistema compatible. Este es Windows 10 (1903 o posterior) o Windows 11 con una licencia Pro, Enterprise o Education y compatibilidad con virtualización de hardware. Los procesadores Intel/AMD modernos suelen ser compatibles con tecnologías de virtualización (Intel VT-x, AMD-V, etc.), pero esta opción suele tener que estar habilitada en la configuración del BIOS/UEFI.

1. En Windows 10/11, abra el Panel de control o el cuadro de búsqueda de Inicio y busque "Activar o desactivar las funciones de Windows" (Activar o desactivar las funciones de Windows). En la lista de funciones, busque Windows Sandbox y marque la casilla. Haga clic en Bueno y reinicie su computadora cuando se le solicite instalar la función.
2. Después de iniciar sesión en Windows, abra el menú Inicio y escriba Zona protegida de WindowsHaga clic en el icono de Windows Sandbox. El sistema se cargará durante unos segundos y, a continuación, se abrirá una ventana con un escritorio virtual de Windows. Verá un escritorio similar al suyo, pero es un sistema temporal independiente con una configuración predeterminada (por ejemplo, puede que note que solo están instalados los programas predeterminados y el navegador Edge).
3. En el entorno de pruebas, ahora puede instalar programas o abrir archivos prácticamente igual que en un sistema normal. Puede instalar una aplicación sospechosa y probarla. Incluso si contiene un virus, permanecerá dentro del entorno de pruebas. Por defecto, el sistema protegido tiene acceso a Internet (a través de una red virtual), lo que facilita la transferencia de archivos o actualizaciones. Sin embargo, tenga cuidado, ya que el código malicioso también puede acceder a la red. Puede intercambiar archivos entre el host y el entorno de pruebas usando el portapapeles. Por ejemplo, copie un archivo en el sistema principal (Ctrl+C) y péguelo dentro del entorno de pruebas (Ctrl+V). Los usuarios más avanzados también pueden habilitar la asignación automática de carpetas individuales del host al entorno de pruebas creando un archivo .wsb de configuración.
4. Cuando termine de probar, simplemente cierre la ventana de Windows Sandbox (haga clic en la X como siempre). Aparecerá una advertencia indicando que se eliminará todo el contenido del Sandbox. Confirme con BuenoEl sistema virtual se apagará y todo su contenido se eliminará permanentemente. Su Windows principal permanecerá exactamente como estaba antes de iniciar el entorno aislado, como si nada hubiera sucedido. Si posteriormente reinicia el entorno aislado, obtendrá una instancia completamente nueva de Windows, sin rastro de su sesión anterior.

Si desea conservar algún resultado (un archivo descargado) en el entorno de pruebas, asegúrese de copiarlo del entorno de pruebas al host (por ejemplo, mediante el portapapeles o una carpeta compartida) antes de cerrarlo. De lo contrario, los datos se perderán al cerrar la ventana del entorno de pruebas.

Windows Sandbox, Sandboxie, VirtualBox o...?

Windows Sandbox no es la única solución para aislar software malicioso o no deseado.

Herramienta Sandboxie Funciona a nivel del sistema operativo. Ejecuta la aplicación dentro del entorno aislado interceptando su acceso al sistema. Todos los cambios realizados por el programa (p. ej., entradas de registro, archivos) son redirigidos por Sandboxie a un área aislada y se deshacen al cerrarse, restaurando así el sistema a su estado original. La ventaja de Sandboxie es que es poco exigente y también funciona en Windows Home (y versiones anteriores de Windows), y permite aislar programas individuales sin ejecutar todo el sistema. Además, varios programas o entornos aislados independientes pueden ejecutarse en paralelo en el entorno de Sandboxie.

Una máquina virtual (VM) completa, ya sea mediante VirtualBox de código abierto, VMware o Hyper-V integrado, implica crear manualmente un ordenador virtual e instalar en él un sistema operativo completo (Windows o Linux). Esta solución proporciona un aislamiento completo, ya que la VM se ejecuta independientemente del host y cuenta con su propio disco virtual, hardware, etc. Además, el usuario tiene control total sobre el sistema virtual: puede mantenerlo en funcionamiento durante un tiempo prolongado, instalar software permanentemente, modificar la configuración, etc.

Una ventaja clave de una máquina virtual es la capacidad de guardar el estado. En VirtualBox/VMware/Hyper-V, se puede crear una instantánea (punto de control) del sistema y acceder a ella posteriormente, lo cual resulta muy útil para realizar pruebas. Por ejemplo, si no se está seguro de la fiabilidad de un programa desconocido, se puede tomar una instantánea antes de instalarlo y, una vez finalizada la instalación o las pruebas, restaurar el sistema al punto de guardado.

Otra ventaja de las máquinas virtuales reales es que permiten tener varias máquinas virtuales ejecutándose simultáneamente (si se tienen suficientes recursos) y ejecutar diferentes sistemas en ellas, como una versión diferente de Windows o Linux. En cambio, un entorno aislado de Windows siempre ejecuta la misma versión de Windows que el host.

Por supuesto, las máquinas virtuales también tienen desventajas. Requieren espacio de disco adicional (varios gigabytes por cada máquina virtual) y más memoria (la máquina virtual reserva, por ejemplo, más de 4 GB de RAM, que se extraen del host). La configuración también es más larga, ya que primero hay que instalar manualmente el sistema operativo y encargarse de sus actualizaciones y mantenimiento, mientras que Windows Sandbox lo hace todo automáticamente en cuestión de segundos.

Para pruebas a corto plazo o análisis de archivos sospechosos, Windows Sandbox es mucho más práctico, ya que se puede activar y desactivar en cualquier momento sin necesidad de mucha preparación previa. Sin embargo, si desea ejecutar un programa durante un periodo más largo, realizar cambios más permanentes o ejecutar un servidor completo de forma aislada, por ejemplo, una máquina virtual completa sigue siendo una mejor solución.

Hyper-V y sistemas de pruebas persistentes

Windows Sandbox busca que las pruebas aisladas sean lo más rápidas y sencillas posible, por lo que no es adecuado para todas las situaciones. Los usuarios más avanzados que ya tengan Windows 10/11 Pro o Enterprise pueden aprovechar la plataforma Hyper-V integrada y crear manualmente sus propias máquinas virtuales para realizar pruebas.

Este es básicamente un enfoque similar al sandboxing, pero con más opciones de personalización a cambio de una configuración inicial más compleja. Hyper-V permite crear una o más máquinas virtuales en el equipo. Cada una de ellas puede aislarse completamente de la red y de otros equipos (si se especifica), lo cual es ideal para probar de forma segura programas altamente peligrosos sin conexión a internet. En la consola del Administrador de Hyper-V, se puede configurar el hardware virtual (CPU, RAM, disco, interfaces de red, etc.) para cada máquina virtual y, por ejemplo, optar por no conectar la interfaz de red virtual a la red externa, creando así un entorno cerrado y aislado.

Una vez creada una nueva máquina virtual, se instala el sistema operativo deseado (Windows de nuevo u otro). Para ello, se necesita un archivo ISO de instalación o una imagen del sistema previamente preparada. Tras la instalación, la máquina virtual se considera un equipo independiente. Se puede encender y apagar según sea necesario, y todos los datos se conservan hasta que se eliminen. Esto significa que se pueden instalar varios programas en dicha máquina virtual de prueba y probarlos durante un largo periodo sin tener que reinstalarlos cada vez que se inicia el sistema (como con Windows Sandbox).

Una ventaja particular de usar Hyper-V (u otras plataformas de máquinas virtuales) es la posibilidad de crear puntos de control o instantáneas del estado del sistema. Por ejemplo, al instalar un sistema operativo limpio y actualizaciones básicas en una máquina virtual, se puede capturar el estado original. Luego, durante los días siguientes, se instalan y prueban diferentes programas. Si alguno resulta ser dañino o causa problemas, se puede revertir fácilmente la máquina virtual a un estado limpio y, por lo tanto, eliminar las consecuencias de las pruebas.

Esto es similar a usar un entorno aislado, excepto que aquí se puede elegir un punto de restauración y almacenar varios estados diferentes (uno con la configuración básica, otro tras instalar ciertas actualizaciones, etc.). Por supuesto, esta flexibilidad implica asignar suficiente espacio en disco para la máquina virtual (las instantáneas ocupan espacio adicional) y supervisar las actualizaciones del sistema dentro de la máquina virtual, ya que no se actualizará automáticamente como lo hace Windows Sandbox en cada inicio.

En la práctica, muchos usuarios avanzados configuran laboratorios virtuales completos. En un ordenador o servidor más potente, varias máquinas virtuales pueden ejecutarse simultáneamente; por ejemplo, una con Windows 10 sin red para realizar pruebas de virus, otra con Windows Server para probar la configuración del servidor, una tercera con Linux para desarrollo, etc.

Para configurar un entorno Hyper-V en Windows Pro, solo necesita habilitar Hyper-V (similar a lo descrito para Windows Sandbox) e iniciar la herramienta Administrador de Hyper-V, donde podrá crear nuevos entornos virtuales. El proceso de instalación del sistema operativo en este entorno es el mismo que en un equipo físico.

Elige la herramienta adecuada para ti

Windows Sandbox es una herramienta excelente para probar programas de forma rápida y sencilla en un entorno seguro, especialmente cuando queremos probar algo una sola vez o de forma ocasional y no queremos perder tiempo configurando una máquina virtual completa. Para muchos profesionales de TI, se ha vuelto indispensable para comprobar si hay adjuntos desconocidos, software sospechoso o al visitar sitios web peligrosos. Simplemente lo inician, hacen lo necesario y lo cierran, sin preocuparse de que se filtre información al sistema de producción. Por otro lado, las máquinas virtuales clásicas (Hyper-V, VirtualBox, etc.) siguen siendo importantes para pruebas y desarrollo más exhaustivos, donde necesitamos un sistema más duradero, diferentes entornos o la posibilidad de tomar instantáneas.