Sandboxing manual sin software adicional

  • El sandboxing crea entornos aislados que limitan el acceso a sistema de archivos, red y kernel, evitando que software malicioso afecte al sistema principal.
  • Windows Sandbox ofrece un escritorio ligero, desechable y muy integrado en Windows Pro, Enterprise y Education, ideal para pruebas y navegación segura.
  • Herramientas como Sandboxie Plus y los sandboxes nativos de macOS, Linux y WSL2 permiten un control granular sobre aplicaciones y agentes de código.
  • Combinar sandboxing con buenas prácticas de permisos y licenciamiento adecuado refuerza la seguridad sin sacrificar productividad ni autonomía.
Daniel Terrasa

16 minutos

Sandboxing manual sin software adicional

Cuando empiezas a trastear con software desconocido, scripts raros que te pasan por chat o ficheros adjuntos en los que no confías del todo, tener un entorno aislado donde nada de eso pueda romper tu Windows es casi obligatorio. A eso, en seguridad, se le llama sandboxing. Es decir, crear una especie de burbuja controlada en la que puedes hacer pruebas sin miedo a cargarte el sistema ni filtrar datos delicados.

Lo bueno es que en muchos casos puedes montar esta protección de forma manual y sin instalar programas de terceros, aprovechando lo que ya trae Windows (como el Espacio aislado de Windows) o incluso recurriendo a entornos de sandbox que se apoyan en primitivas del propio sistema operativo en macOS, Linux o WSL2. Y cuando necesitas ir un paso más allá, tienes herramientas como Sandboxie Plus que dan un control fino sobre qué puede hacer cada aplicación.

Qué es realmente el sandboxing y por qué te interesa usarlo

En términos sencillos, un sandbox es un mecanismo de seguridad que separa la ejecución de programas para que, aunque algo falle o sea malicioso, el daño quede confinado dentro de ese entorno y no llegue al sistema principal ni a tus datos personales. Esa separación puede afectar a la CPU, la memoria, el disco, la red y hasta a los dispositivos de entrada.

Uno de los usos más habituales del sandbox es la ejecución de aplicaciones poco confiables, como instaladores descargados de webs dudosas, adjuntos de correo sospechosos o binarios que recibes por mensajería. Al tenerlos en un entorno aislado, su acceso a recursos como almacenamiento, red, inspección del sistema host o lectura de dispositivos de entrada queda muy limitado o directamente bloqueado, según cómo configures la protección.

Un ejemplo clásico de sandbox son las máquinas virtuales completas, que emulan un ordenador entero y cargan un sistema operativo invitado totalmente separado del anfitrión. El sistema invitado no funciona de forma nativa, sino a través del emulador o hipervisor. Ysólo puede acceder a los recursos físicos del host a través de esa capa intermedia.

Sin embargo, las máquinas virtuales no son la única forma de sandbox que existe. Los navegadores modernos como Chrome, Chromium o Edge usan múltiples capas de aislamiento de procesos para que una pestaña comprometida no arrastre al resto del sistema. Del mismo modo, algunas herramientas de desarrollo modernas ofrecen su propio sandbox interno para ejecutar agentes de código, scripts y comandos de terminal con permisos muy acotados.

En el ecosistema Windows, además de las máquinas virtuales, cuentas con opciones como Espacio aislado de Windows (Windows Sandbox) y soluciones avanzadas como Sandboxie Plus. Soluciones que crean un entorno operativo separado para tus programas. Y si miras a otros sistemas, proyectos como los agentes de desarrollo con sandbox nativo usan primitivas del sistema (Seatbelt en macOS, seccomp o Landlock en Linux, bubblewrap, etc.) para reforzar ese aislamiento.

Espacio aislado de Windows Sandbox

Espacio aislado de Windows (WSB): el sandbox integrado en Windows 10 y 11

Microsoft incluyó en Windows 10 y Windows 11 una característica llamada Espacio aislado de Windows (Windows Sandbox, WSB), pensada para que cualquier usuario pueda tener una “mini máquina virtual” lista para usar sin romperse la cabeza. Se basa en la virtualización con hipervisor (Hyper-V) y monta un entorno de escritorio ligero, temporal y completamente separado del sistema principal.

Dentro de ese espacio aislado puedes instalar y ejecutar programas con total tranquilidad. Todo lo que ocurra ahí dentro se queda ahí. Cuando cierres la ventana del sandbox, se borran el software instalado, los archivos creados y hasta el estado del sistema, como si nunca hubiera existido. Cada vez que lo arrancas, obtienes una instancia nueva y limpia, semejante a una instalación recién hecha de Windows.

Las aplicaciones del host no se comparten automáticamente con el sandbox. Si necesitas algo dentro, tendrás que instalarlo explícitamente dentro del entorno aislado. O mapear carpetas siguiendo la sintaxis de archivos .wsb, donde incluso puedes marcar rutas en modo sólo lectura y desactivar la red para añadir una capa adicional de seguridad.

Desde el punto de vista técnico, WSB se comporta como una máquina virtual desechable. Eso sí, mucho más ligera que una VM convencional. Aprovecha archivos del propio sistema operativo host, usa un kernel separado y recortado, y emplea optimizaciones para reducir el consumo de memoria y acelerar el arranque. De esta forma puedes tenerlo operativo en cuestión de segundos.

Características clave de Windows Sandbox

Una de las ventajas más claras de WSB es que forma parte de las ediciones profesionales de Windows, de modo que no necesitas instalar un hipervisor de terceros ni una solución de virtualización completa para tener un sandbox razonablemente robusto. Todo está ya en el sistema, listo para activarse desde las características opcionales.

Este espacio aislado es totalmente desechable y prístino. Cada lanzamiento equivale a arrancar una instalación recién hecha de Windows. Nada se guarda cuando cierras la ventana, lo que simplifica enormemente las pruebas de software y evita que se acumulen restos de programas o configuraciones raras con el paso del tiempo.

En cuanto a seguridad, Windows Sandbox se basa en la virtualización por hardware para aislar el kernel. Usa el hipervisor de Microsoft para correr un núcleo independiente que separa de forma estricta el espacio aislado del sistema principal. Esto reduce muchísimo la superficie de ataque si el ejecutable que pruebas contiene malware, exploits o comportamiento inesperado.

En el terreno del rendimiento, WSB está pensado para ser rápido y eficiente. Hace uso de la GPU virtual, de un programador de kernel integrado y de una gestión inteligente de memoria, con lo que consigue tiempos de inicio bajos y consume menos recursos que una máquina virtual completa con su propio sistema operativo independiente.

Al estar incluido en Windows 10 Pro, Enterprise y Education, así como en Windows 11 Pro y Enterprise, no necesitas VHD externos ni licencias añadidas. El sistema aprovecha una imagen reducida del propio Windows de aproximadamente 100 MB para levantar el entorno, simplificando el mantenimiento y reduciendo descargas adicionales.

windows sandbox

Requisitos de edición, licencia y hardware para usar WSB

Windows Sandbox no está disponible en todas las versiones del sistema. Para poder activarlo necesitas una edición compatible de Windows, como Windows 10 Pro, Enterprise o Education (incluyendo Pro Education/SE), o bien Windows 11 Pro y Enterprise. Windows Home se queda fuera por ahora, ya que Microsoft no ofrece soporte oficial de WSB en esa rama.

En lo que respecta a licenciamiento, los derechos de uso del espacio aislado se incluyen en las licencias de Windows orientadas a entorno profesional y educativo. Entrarían aquí Windows Pro y Pro Education/SE, Windows Enterprise E3 y E5, y las licencias educativas A3 y A5. Toda la información de detalle sobre licencias se puede consultar en la documentación general de licenciamiento de Windows.

Desde el punto de vista de hardware, el sistema necesita una CPU con capacidades de virtualización (en arquitectura AMD64 o ARM64 moderna en el caso de Windows 11), al menos 4 GB de RAM (se recomiendan 8 GB para ir holgado), 1 GB libre de espacio en disco (idealmente sobre SSD) y un mínimo de dos núcleos de CPU, siendo deseable disponer de cuatro con hyper-threading para ganar fluidez.

Es imprescindible que la virtualización esté habilitada en la BIOS/UEFI del equipo físico. Si estás dentro de una máquina virtual, necesitarás además activar la virtualización anidada y, en algunos casos, actualizar la VM para añadir esa funcionalidad, usando comandos de PowerShell para exponer las extensiones de virtualización y actualizar la versión de máquina; si te interesa montar un entorno más complejo, puedes ver una guía sobre Windows 11 como host de laboratorio de pruebas.

Si al intentar activar la característica no te aparece la casilla de Espacio aislado de Windows, muy probablemente el sistema haya determinado que tu equipo no cumple alguno de los requisitos. En ese caso toca revisar tanto la versión de Windows instalada como los parámetros de la BIOS y el hardware disponible.

Cómo activar y poner en marcha Windows Sandbox paso a paso

Una vez confirmado que tu edición y tu hardware cumplen los requisitos, el primer paso es encender las opciones de virtualización en la BIOS o UEFI. Normalmente tendrás que buscar parámetros como Intel VT-x, AMD-V o similares y activarlos. Es un paso clave, porque sin eso Windows no puede usar Hyper-V ni las funcionalidades de contenedores y espacio aislado.

Con la virtualización lista, sigue estos pasos:

  1. Abre Windows.
  2. Ve al Panel de control.
  3. Abre la carpeta de Programas.
  4. Accede a Programas y características.
  5. Selecciona Activar o desactivar las características de Windows.

Ahí encontrarás una lista de componentes opcionales; marca la casilla de Espacio aislado de Windows y acepta. El sistema descargará y configurará lo necesario y te pedirá reiniciar.

Si lo prefieres, puedes habilitar la característica desde PowerShell ejecutado como administrador, con un comando que active la funcionalidad Containers-DisposableClientVM, encargada de este entorno de escritorio temporal. Esta vía resulta especialmente cómoda si automatizas el despliegue o si trabajas con scripts de configuración de varios equipos.

Tras el reinicio, basta con abrir el menú Inicio y buscar “Espacio aislado de Windows” para lanzar la herramienta por primera vez. Verás una ventana con un escritorio de Windows minimalista: ahí ya puedes copiar archivos, instalar programas y hacer pruebas con la tranquilidad de que, al cerrar, todo ese entorno desaparecerá.

Para usuarios avanzados, existe la posibilidad de crear archivos de configuración .wsb que permiten personalizar el comportamiento del sandbox: habilitar o deshabilitar la red, mapear carpetas del host en modo lectura o lectura/escritura, ejecutar scripts al inicio, etc. Con esa configuración puedes diseñar entornos muy finos adaptados a cada caso de uso, por ejemplo, un sandbox para análisis de malware sin conexión a Internet y con una carpeta de muestras en sólo lectura.

windows insider

Probar funciones avanzadas de WSB con el programa Windows Insider

Si quieres estar al día de las últimas mejoras que Microsoft introduce en el espacio aislado, puedes unirte al Programa Windows Insider. Al hacerlo, tendrás acceso a compilaciones de Windows en versión preliminar que suelen incluir cambios y nuevas opciones de WSB antes de que lleguen al público general.

Dentro de este programa puedes elegir distintos canales de actualización en la configuración de Windows.

  • Canal de desarrollo. Proporciona las novedades más recientes, a costa de una estabilidad menor.
  • Canal beta. Más equilibrado. Suele ser la mejor opción para usuarios avanzados que quieren probar cosas nuevas sin sufrir demasiadas sorpresas.
  • Canal de versión preliminar. Se centra en correcciones y funciones clave de la siguiente versión estable, justo antes de su publicación definitiva. Es una buena forma de validar que las nuevas capacidades de sandboxing se comportan como esperas sin exponerte a cambios demasiado radicales.

Eso sí, ten en cuenta que usar builds Insider implica aceptar cierto grado de riesgo e inestabilidad. Es recomendable hacerlo en equipos de prueba o en entornos donde un fallo de sistema no suponga un problema serio de producción.

Sandboxing en macOS, Linux y Windows más allá de WSB

Aunque aquí el foco está en Windows Sandbox y en el sandboxing manual, merece la pena echar un vistazo a cómo se implementa el aislamiento en otros sistemas, porque muchas ideas son aplicables cuando piensas en diseñar tu propia estrategia de seguridad y pruebas.

En macOS, por ejemplo, existen varias opciones: App Sandbox (orientado a apps de la Mac App Store), contenedores, máquinas virtuales y un sistema de perfiles de sandbox llamado Seatbelt, accesible mediante sandbox-exec. Aunque Seatbelt se declaró obsoleto hace años, sigue siendo utilizado por aplicaciones de terceros críticas como Chrome, precisamente por la granularidad con la que permite definir permisos.

Con Seatbelt, puedes generar de forma dinámica un perfil de políticas que restringe llamadas al sistema y lecturas/escrituras en rutas concretas. Lo habitual es que la herramienta o el agente de código construya ese perfil en tiempo real en función de la configuración del usuario y de reglas similares a un .ignore, bloqueando de manera muy específica qué se puede tocar y qué no.

En Linux, el kernel ofrece primitivas poderosas como seccomp y Landlock, que permiten bloquear syscalls peligrosas y aplicar restricciones de acceso a sistemas de archivos. Muchas soluciones de sandbox combinan estas capacidades con un sistema de archivos superpuesto (overlay) para presentar al proceso una vista filtrada del disco, donde los archivos “ignorados” se sustituyen por copias protegidas que el proceso aislado no puede leer ni modificar.

En el mundo Windows, cuando se necesita ejecutar herramientas de desarrollo de propósito general con aislamiento tipo Linux, una estrategia es usar WSL2 y lanzar dentro un sandbox Linux (por ejemplo, con bubblewrap) en lugar de intentar recrear todas las primitivas sobre el propio Windows nativo, que históricamente ha estado más orientado al aislamiento por aplicación que a contenedores flexibles para desarrollo.

Agentes de código y sandboxing: menos interrupciones y más seguridad

Los agentes de código modernos sacan un enorme partido del sandboxing. Sin él, cada comando bash que quieren lanzar necesita tu aprobación manual. Esto supone una avalancha de diálogos de permiso y el riesgo de fatiga (al final terminas aceptando casi sin mirar).

Al colocar a estos agentes dentro de un entorno aislado bien definido, se les puede dejar que trabajen con mucha más autonomía siempre que no intenten salirse de los límites marcados. Sólo cuando necesitan algo fuera del sandbox se dispara la petición de permiso.

En la práctica, esto implica que los agentes se detienen alrededor de un 40 % menos de veces que cuando todo requiere aprobación uno a uno, con el consiguiente ahorro de tiempo y de interrupciones. Para que el modelo sepa cómo comportarse, hay que describir bien las restricciones del sandbox en la herramienta de shell.

Además, muchas implementaciones refinan la experiencia mostrando en los resultados de la herramienta de terminal una explicación explícita de qué restricción ha causado el fallo. Y, en algunos casos, una sugerencia para elevar permisos. De esta forma el agente aprende a decidir cuándo puede seguir reintentando por su cuenta y cuándo debe pedir una escalada.

Todos estos mecanismos se apoyan en primitivas del sistema operativo: Seatbelt en macOS, bubblewrap en Linux y WSL2, o combinaciones de seccomp, namespaces y proxies de red. El resultado es un entorno donde se reduce la superficie de ataque frente a inyecciones de prompt, dependencias maliciosas o scripts comprometidos, ya que incluso si el agente se equivoca, sus acciones quedan confinadas dentro del sandbox.

sandboxie plus

Sandboxie Plus: aislamiento granular de aplicaciones en Windows

Más allá del sandbox integrado de Microsoft, en Windows existe una solución muy conocida llamada Sandboxie Plus. Se trata de una evolución de Sandboxie clásico, que crea un entorno operativo aislado para ejecutar e instalar programas sin modificar de forma permanente el sistema local. A diferencia de WSB, no es una mini instalación de Windows completa, sino un capa de virtualización a nivel de procesos y sistema de archivos.

Sandboxie nació allá por 2004 como herramienta para encerrar Internet Explorer y minimizar el impacto de sus vulnerabilidades. Con el tiempo se amplió a otros navegadores y a cualquier aplicación poco confiable. Hoy, bajo licencia GPLv3, tanto la versión clásica como la Plus comparten base de seguridad. La diferencia es que esta última tiene una interfaz moderna basada en Qt y una serie de extras que la hacen más cómoda y potente.

Entre las características más interesantes de Sandboxie Plus está el gestor de instantáneas. Este nos permite tomar una foto de cualquier “caja” (sandbox) y restaurarla después, el modo de mantenimiento para instalar o desinstalar el servicio y controlador cuando haga falta, y un modo portable que extrae todos los archivos a un directorio para llevarlo donde quieras sin instalación tradicional.

También ofrece opciones adicionales de interfaz para bloquear el acceso a componentes concretos de Windows. Por ejemplo, el portapapeles o la cola de impresión. Y también más ajustes finos para restringir el acceso a Internet, controlar qué se puede lanzar desde Inicio > Ejecutar y una tecla global de acceso rápido para matar todos los procesos dentro de una caja aislada en caso de emergencia.

Además, incluye un cortafuegos por sandbox basado en la Plataforma de Filtro de Windows (WFP). Esto permite tratar cada caja como si tuviera sus propias reglas de red. Todo esto se apoya en plantillas de restricciones predeterminadas para que el usuario menos experto tenga un entorno razonablemente seguro desde el minuto cero, con la posibilidad de ir ajustando y endureciendo según sus necesidades.

Primeros pasos con Sandboxie Plus

Al instalar Sandboxie Plus, el programa crea por defecto un entorno de aislamiento llamado “DefaultBox”. Desde el menú contextual puedes entrar en las opciones de sandbox y modificar su comportamiento. Por ejemplo, decidir qué rutas puede escribir, qué aplicaciones se lanzan automáticamente dentro, qué restricciones de red aplicar, etc.

Lo verdaderamente interesante, no obstante, es crear tus propios entornos separados para diferentes casos de uso. Desde el menú Sandbox puedes elegir “Crear nueva Sandbox”. Después darle un nombre descriptivo y finalmente seleccionar una configuración inicial como “Endurecido” para aumentar la protección y aceptar.

Ejecutar una aplicación dentro de un sandbox es tan sencillo como hacer clic derecho sobre la caja, situar el cursor en “Ejecutar” y escoger “Ejecutar un programa”. Puedes introducir manualmente la ruta del ejecutable o usar el botón Browse para localizarlo. Una vez lo selecciones y confirmes, ese programa arrancará dentro del entorno aislado, heredando todas las restricciones definidas.

Otra forma cómoda de uso es recurrir al menú de inicio integrado de Sandboxie Plus. Desde el mismo menú de “Ejecutar” puedes elegir “Ejecutar desde Menú Inicio” y seleccionar aplicaciones instaladas en tu sistema que quieras ejecutar bajo la protección del sandbox, sin necesidad de buscar su ejecutable a mano.

En definitiva, el sandboxing manual sin software adicional y con herramientas integradas en el sistema, reforzado cuando hace falta con soluciones como Sandboxie Plus o entornos Linux/macOS bien configurados, te permite contar con capas de defensa muy claras frente a software dudoso, errores humanos y agentes de código cada vez más automatizados. Aprovechar estos entornos aislados para navegar, probar, depurar y ejecutar programas delicados es una forma práctica de reducir riesgos. Y sin renunciar a experimentar ni a trabajar con comodidad.

Windows Sandbox
Artículo relacionado:
Windows Sandbox: Qué es y cómo se activa