Estamos a punto de conectar una memoria USB de cuyo origen no estamos seguros o vamos a descargar un programa de una página dudosa. ¿Podemos hacerlo sin arriesgarnos a estropear nuestro ordenador?
La respuesta está en los programas sandbox, diseñados para mantener la seguridad y la estabilidad de los sistemas operativos mientras se ponen a prueba todo tipo de cambios. Una instalación de un programa desconocido, un cambio de código en un programa en desarrollo o, incluso, un archivo de malware cuyo comportamiento queremos estudiar (no recomendable para novatos).
Qué es un sandbox
Los sistemas informáticos, formados por hardware interno y periféricos, sistema operativo y otro software, y conectados a internet y a otros dispositivos, son un entorno tremendamente complejo. En él, los datos fluyen de forma constante convertidos en ceros y unos. Sin embargo, en determinadas circunstancias se hace necesario disponer de un entorno controlado en el que trabajar con un programa o una serie de archivos sin comprometer la seguridad ni la estabilidad de todo el sistema. Es ahí cuando hablamos de sandbox.
Así, un programa sandbox no es más que un entorno de prueba aislado dentro de un sistema informático. Este programa nos permite ejecutar otras aplicaciones o abrir archivos sin poner en riesgo la aplicación, el sistema o la plataforma en la que se ejecutan. Es decir, se trata de un entorno controlado del que nada puede escapar, un entorno con recursos limitados separado del resto.
Aunque la traducción literal de sandbox es ‘cajón de arena’, en español esta palabra se transforma en dos términos distintos, en función de su objetivo. En ciberseguridad, sandbox significa aislamiento de procesos. Es decir, un entorno en el que aislar un programa o archivo infectado (o sospechoso de serlo) para evitar que el virus se extienda o para estudiar su comportamiento y desarrollar soluciones en consecuencia.
Mientras, en el contexto de la programación, se traduce como un entorno de pruebas. Aquí, un sandbox es un entorno cerrado en el que probar los cambios de código de forma aislada, sin comprometer la producción ni la edición del programa en desarrollo. Así, el sandbox protege los servidores de datos y controla de forma preventiva y en tiempo real la ejecución del código, evitando cambios que podrían comprometer la estabilidad del programa.
Para qué sirve: ciberseguridad y programación
A pesar de que, como hemos visto, el concepto de sandbox es ligeramente diferente en ciberseguridad y en programación, no deja de ser lo mismo. Es una técnica segura para ejecutar programas o códigos de forma aislada del resto del sistema que también puede ser aprovechada por cualquier usuario. Así, por lo general, un programa sandbox nos permite hacer lo siguiente para mantener un entorno aislado:
- Crear un entorno virtual completamente controlado en el que ejecutar los programas, archivos o códigos.
- Ejecutar programas siempre como si fuesen archivos temporales.
- Asignar un espacio de disco restringido e impedir el acceso al resto de la memoria.
- Bloquear el acceso del archivo o el programa a cualquier otro dispositivo, componente o programa del sistema.
- Limitar la capacidad de inspección del sistema o de la máquina en la que se ejecuta el programa.
- Bloquear por completo el acceso a la red o a determinados servidores, así como limitar el ancho de banda disponible.
En definitiva, un sandbox nos permite contar con un entorno en el que probar cambios o aislar software malicioso sin comprometer la seguridad del sistema.
Programas para crear nuestro sandbox
El software de sandbox es similar a una máquina virtual, pero habitualmente mejor integrado en el sistema operativo, por lo que permite crear entornos limitados y controlados sin afectar al funcionamiento del SO. Existen multitud de programas y aplicaciones para ejecutar un entorno sandbox y estos son algunos de los más populares.
Windows Sandbox
El gran punto fuerte de Windows Sandbox es que viene integrado en Windows, aunque solo en las versiones 10 Pro o Enterprise. Esta aplicación está perfectamente optimizada para el entorno Microsoft y nos permite crear un ‘nuevo Windows’ dentro del sistema operativo. En él podremos probar todo tipo de cambios sin miedo a desestabilizar el sistema operativo principal. Eso sí, para trabajar con Windows Sandbox necesitaremos un procesador de dos núcleos, arquitectura de 64 bits y al menos 4 GB de RAM.
Sandboxie
Sandboxie es, probablemente, la herramienta de sandbox más conocida entre los usuarios de Windows. Esta crea un sistema aislado dentro del sistema operativo e impide que cualquier programa que se ejecute allí tenga acceso al registro de Windows. Su última versión solo está disponible para Windows 7, 8.1 y 10, tanto para arquitecturas de 32 como de 64 bits. Aunque originalmente era de pago, la compañía desarrolladora, Sophos ha decidido lanzarla de forma gratuita y hacer su código disponible para la comunidad open source.
BufferZone
Bufferzone es una solución diseñada específicamente para la ciberseguridad. Está creada con el objetivo de permitir una navegación segura en la web o la ejecución de unidades periféricas, como memorias USB, sin riesgos. Una vez instalada, este programa permite añadir aplicaciones de forma sencilla, aplicaciones que se ejecutarán siempre que queramos en un entorno aislado para proteger el resto del sistema de ciberataques.
Shadow Defender
El enfoque de Shadow Defender es ligeramente diferente al resto. Este programa permite activar un modo específico, shadow mode, bajo el cual el sistema pasa a funcionar en un entorno virtual y aislado y en el que ningún programa podrá hacer cambios reales en Windows. También permite seleccionar una serie de programas o archivos para tenerlos protegidos de forma permanente.
Existen muchas soluciones similares a estas en el mercado, también para Linux, Chrome OS y Mac OS. Todas funcionan bajo los mismos principios de sandbox: crear un entorno aislado en el que ningún cambio (intencionado o malicioso) pueda poner en jaque la seguridad del dispositivo o la estabilidad del sistema.
Por Juan F. Samaniego
Imágenes | Unsplash/Markus Spiske, Ostap Senyuk, Sandboxie, Shadow Defender
