¿Qué es un sandbox de malware?

Un sandbox de malware es un entorno aislado (generalmente una máquina virtual) donde se ejecuta una muestra sospechosa para observar su comportamiento: qué archivos crea, qué procesos ejecuta, a qué servidores se conecta, qué claves de registro modifica y cómo interactúa con el sistema. El objetivo es entender qué hace el malware sin poner en riesgo sistemas reales.

¿Cuál es la mejor sandbox de malware?

Depende de las necesidades. ANY.RUN es la mejor para interactividad (puedes hacer clic, escribir, navegar durante el análisis). CAPE es la mejor opción open source y gratuita. Joe Sandbox tiene la mejor detección automatizada. Hybrid Analysis es la mejor para triage rápido gratuito.

¿Los malware detectan que están en un sandbox?

Sí. Muchos malware implementan técnicas de evasión de sandbox: detectan artefactos de VM, verifican movimiento de ratón, comprueban la cantidad de RAM o CPUs, buscan procesos de herramientas de análisis, o simplemente esperan un tiempo antes de ejecutar la carga maliciosa. Las sandboxes modernas implementan contramedidas contra estas evasiones.

¿Es seguro subir archivos a sandboxes en la nube?

Las muestras subidas a sandboxes públicas (free tier) pueden ser accesibles para otros usuarios y empresas de seguridad. Si analizas malware dirigido a tu organización, la muestra y sus IOCs quedarán expuestos. Para muestras sensibles, usa la versión privada de pago o una sandbox local (CAPE self-hosted).

¿Puedo montar mi propia sandbox?

Sí. CAPE Sandbox es open source y puedes desplegarla en tu infraestructura. También puedes construir una sandbox manual con VMs, FakeNet-NG y herramientas de monitorización. La ventaja de las sandboxes cloud es la automatización y la inteligencia compartida; la de las locales es la privacidad.

IntermedioANY.RUNCAPE SandboxJoe SandboxHybrid Analysisanálisis dinámicosandboxes

Sandboxes Comparadas: ANY.RUN vs CAPE vs Joe Sandbox vs Hybrid Analysis

Comparativa exhaustiva de sandboxes de malware: ANY.RUN, CAPE Sandbox, Joe Sandbox y Hybrid Analysis. Funcionalidades, interactividad, detección, precios y cuándo usar cada una para análisis dinámico de malware.

MalwareIntel Research·6 de junio de 2026·11 min lectura

Serie: Distros y Frameworks de Análisis — Parte 11

El papel del sandbox en análisis de malware

El sandbox es el complemento dinámico del análisis estático. Mientras el desensamblador (Ghidra, IDA) muestra lo que el malware podría hacer, el sandbox muestra lo que realmente hace cuando se ejecuta. Esto incluye:

Actividad en el sistema de archivos: archivos creados, modificados o eliminados
Modificaciones del registro: persistencia, configuración, evasión
Procesos: árbol de procesos, inyección, elevación de privilegios
Red: conexiones C2, DNS queries, descargas de payloads
Memoria: inyección de código, hooks, shellcode
APIs: llamadas al sistema operativo que revelan la funcionalidad

Las sandboxes modernas van más allá: extraen configuraciones de malware conocido, identifican la familia, mapean TTPs a MITRE ATT&CK y generan IOCs automáticamente.

ANY.RUN

Qué es

ANY.RUN es una sandbox interactiva basada en la nube que permite al analista interactuar con la muestra durante la ejecución. A diferencia de las sandboxes automatizadas tradicionales, ANY.RUN permite hacer clic en enlaces, abrir archivos adjuntos, introducir credenciales y navegar por el sistema, simulando el comportamiento de un usuario real.

Características principales

Interactividad en tiempo real: la característica diferenciadora. El analista controla la VM vía navegador web, puede hacer clic en botones de "Habilitar macros" en documentos Office, seguir cadenas de redireccionamiento en phishing, y proporcionar inputs que el malware espera.

Visualización de procesos: árbol de procesos en tiempo real con código de colores por nivel de sospecha.

Detección de MITRE ATT&CK: cada comportamiento detectado se mapea automáticamente a técnicas ATT&CK.

Extracción de configuración: para familias conocidas (Emotet, Agent Tesla, RedLine, Formbook), extrae la configuración del malware incluyendo servidores C2, claves de cifrado y parámetros.

Red: captura de tráfico HTTP/HTTPS, DNS queries, conexiones TCP/UDP con geolocalización.

Pricing

Plan	Precio	Análisis/mes	Privacidad	API
Free	Gratis	Limitado	Público	No
Hunter	~109 USD/mes	100	Privado	Sí
Enterprise	Custom	Ilimitado	Privado	Sí

Cuándo usar ANY.RUN

Phishing analysis: seguir cadenas de redireccionamiento interactivamente
Documentos Office: habilitar macros y observar la cadena de infección
Malware que requiere input del usuario: credenciales, clicks, selecciones
Demostración: la interfaz visual es excelente para reportes y presentaciones
Triage rápido: resultados en 60 segundos

Limitaciones

La versión gratuita es pública (las muestras son visibles para todos)
Tiempo de ejecución limitado (60 segundos en free, más en planes de pago)
Solo Windows como entorno de análisis (Linux disponible en planes superiores)
Anti-evasion: algunos malware avanzados detectan la plataforma ANY.RUN

CAPE Sandbox

Qué es

CAPE (Config And Payload Extraction) es un fork de Cuckoo Sandbox centrado en la extracción automática de configuraciones y payloads de malware. Es completamente open source y puede desplegarse on-premise.

CAPE es el sucesor espiritual de Cuckoo, que fue durante años la sandbox open source de referencia pero cuyo desarrollo se detuvo. CAPE mantiene la base de Cuckoo y añade capacidades avanzadas de extracción.

Características principales

Extracción de configuración: CAPE extrae automáticamente la configuración de más de 100 familias de malware, incluyendo: servidores C2, claves de cifrado, tokens de bot, configuraciones de inyección y parámetros de persistencia.

Unpacking automático: desempaqueta binarios protegidos con packers comunes y extrae el payload real.

YARA rules: integración nativa con YARA para clasificación de muestras.

API completa: REST API para integración en pipelines de análisis automatizado.

Multi-máquina: soporta múltiples VMs de análisis con diferentes configuraciones (Windows 7, 10, 11, diferentes software instalado).

Instalación (self-hosted)

# CAPE requiere KVM como hipervisor (no VirtualBox)
# Host: Ubuntu 22.04 recomendado

# Instalar dependencias
sudo apt install -y python3 python3-pip qemu-kvm libvirt-daemon-system

# Clonar CAPE
git clone https://github.com/kevoreilly/CAPEv2.git
cd CAPEv2

# Instalar
sudo ./installer/cape2.sh all

# Configurar VM de análisis
# 1. Crear VM Windows con virt-manager
# 2. Instalar CAPE agent en la VM
# 3. Tomar snapshot
# 4. Configurar en conf/kvm.conf

# Iniciar servicios
sudo systemctl start cape-processor
sudo systemctl start cape-rooter
sudo systemctl start cape-web

Cuándo usar CAPE

Privacidad: cuando no puedes subir muestras a sandboxes cloud
Volumen alto: procesamiento masivo de muestras sin coste por análisis
Integración en pipelines: API REST para automatización
Extracción de configuración: la mejor capacidad de extracción automática
Presupuesto limitado: completamente gratuito (solo coste de infraestructura)

Limitaciones

Requiere administración de infraestructura (KVM, VMs, networking)
La instalación y configuración no es trivial
Sin interactividad (análisis automatizado, no manual)
Sin interfaz web tan pulida como ANY.RUN o Joe Sandbox
Necesita mantenimiento continuo de VMs y reglas YARA

Joe Sandbox

Qué es

Joe Sandbox es una plataforma comercial de análisis de malware que combina análisis dinámico, estático y de comportamiento con machine learning para clasificación y detección. Es conocida por producir los reportes más detallados y por su baja tasa de falsos positivos.

Características principales

Deep Malware Analysis: Joe Sandbox combina más de 250 técnicas de análisis para producir reportes exhaustivos que incluyen comportamiento, red, API calls, strings, similaridad con otras muestras y mapping ATT&CK.

Anti-evasion avanzada: implementa técnicas sofisticadas para evitar que el malware detecte el sandbox, incluyendo simulación de actividad de usuario, randomización de hardware/software y timing manipulation.

Multi-plataforma: analiza muestras para Windows, macOS, Linux, Android e iOS.

Cookbooks: scripts personalizados que definen cómo interactuar con la muestra durante el análisis.

Detection confidence: cada comportamiento detectado tiene un score de confianza, reduciendo falsos positivos.

Pricing

Plan	Precio	Características
Joe Sandbox Cloud Basic	Gratis (limitado)	Análisis públicos, funcionalidad básica
Joe Sandbox Cloud Pro	~600 EUR/mes	Análisis privados, API, reportes completos
Joe Sandbox Desktop	Licencia única	Instalación local, sin nube
Joe Sandbox Ultimate	Custom	On-premise, full features

Cuándo usar Joe Sandbox

Reportes para clientes: los reportes de Joe Sandbox son los más detallados y profesionales
Baja tolerancia a falsos positivos: la clasificación es muy precisa
Multi-plataforma: cuando necesitas analizar malware de macOS, Android o iOS
Enterprise: integración con SOAR, SIEM y plataformas de seguridad corporativas

Limitaciones

Precio alto para uso profesional completo
La versión gratuita es muy limitada
Menos interactivo que ANY.RUN
El análisis tarda más (thoroughness vs speed)

Hybrid Analysis

Qué es

Hybrid Analysis es una plataforma gratuita de análisis de malware operada por CrowdStrike (antes Payload Security). Combina análisis estático y dinámico con inteligencia de la comunidad. Su principal atractivo es que el servicio básico es completamente gratuito y los reportes son públicos, creando una base de conocimiento compartida.

Características principales

Falcon Sandbox: motor de análisis dinámico potente con anti-evasion.

Análisis estático integrado: además del dinámico, realiza análisis de headers, strings, imports y YARA antes de ejecutar.

Inteligencia de comunidad: al ser públicos los análisis, se crea una base de datos consultable de muestras analizadas por toda la comunidad.

API gratuita: permite consultas programáticas de hashes y búsqueda de muestras.

VxStream Sandbox: el motor backend, con capacidades de análisis de kernel-level.

Pricing

Plan	Precio	Análisis	API
Free	Gratis	Públicos	Sí (limitada)
Enterprise	Custom	Privados	Sí (completa)

Cuándo usar Hybrid Analysis

Triage rápido gratuito: primer análisis de una muestra sospechosa
Búsqueda de inteligencia: consultar si un hash ya fue analizado
Correlación: buscar muestras similares por comportamiento
SOC N1: punto de partida antes de análisis más profundo

Limitaciones

Los análisis gratuitos son públicos (no usar con muestras sensibles)
Menos interactivo que ANY.RUN
Sin extracción de configuración tan detallada como CAPE
Dependencia de CrowdStrike (puede cambiar terms of service)

Comparativa directa

Característica	ANY.RUN	CAPE	Joe Sandbox	Hybrid Analysis
Precio base	Gratis (limitado)	Gratis (self-hosted)	Gratis (limitado)	Gratis
Interactividad	Excelente	No	Cookbooks	No
Extracción config	Buena	Excelente	Buena	Básica
Anti-evasion	Buena	Media	Excelente	Buena
Multi-plataforma	Windows (+Linux)	Windows (+Linux)	Win/Mac/Lin/Android/iOS	Windows (+Linux)
Reportes	Buenos	Básicos	Excelentes	Buenos
API	Sí (pago)	Sí (gratis)	Sí (pago)	Sí (gratis)
Self-hosted	No	Sí	Sí (Desktop/Ultimate)	No
Privacidad (free)	Público	Privado	Público	Público
ATT&CK mapping	Sí	Sí	Sí	Sí
Velocidad	60s a 5min	Variable	5 a 15min	2 a 10min

Cuándo usar cada sandbox

Escenario	Sandbox recomendada
Triage rápido de phishing	ANY.RUN (free)
Documento Office con macros	ANY.RUN (interactividad para habilitar macros)
Pipeline automatizado de análisis	CAPE (self-hosted, API, gratis)
Muestra sensible (incidente corporativo)	CAPE (self-hosted) o Joe Desktop
Reporte para cliente/tribunal	Joe Sandbox (reportes detallados)
Primer análisis de hash desconocido	Hybrid Analysis (búsqueda en base de datos)
Extracción de config de malware conocido	CAPE
Análisis de malware macOS/Android	Joe Sandbox
Equipo SOC con presupuesto limitado	CAPE (self-hosted) + ANY.RUN (free)
Enterprise con SOAR	Joe Sandbox o ANY.RUN (enterprise)

Estrategia de uso combinado

La mejor práctica es combinar múltiples sandboxes:

Flujo recomendado:

1. TRIAGE INICIAL
   → Hybrid Analysis: buscar si el hash ya existe
   → Si existe: leer reporte existente, extraer IOCs
   → Si no existe: continuar

2. ANÁLISIS INTERACTIVO
   → ANY.RUN (free): ejecutar con interacción
   → Observar comportamiento en tiempo real
   → Capturar IOCs iniciales

3. ANÁLISIS PROFUNDO (si la muestra es interesante)
   → CAPE (self-hosted): extracción de configuración
   → Joe Sandbox (si hay licencia): reporte completo

4. CORRELACIÓN
   → Buscar IOCs extraídos en MalwareIntel, VirusTotal
   → Identificar familia, actor, campañas relacionadas

Anti-evasion: la guerra entre sandboxes y malware

Los malware implementan técnicas de evasión de sandbox cada vez más sofisticadas. Las sandboxes responden con contramedidas. Esta carrera armamentística es constante:

Técnicas de evasión comunes

Técnica	Descripción	Contramedida
VM detection	Buscar artefactos de VMware/VirtualBox	Hardware randomization
Timing	Esperar varios minutos antes de ejecutar	Acelerar reloj virtual
Mouse check	Verificar movimiento de ratón	Simular movimiento automático
Screen resolution	Verificar resolución estándar	Randomizar resolución
CPU count	Verificar que hay más de 1 CPU	Configurar VMs con 2+ CPUs
RAM check	Verificar que hay más de 2 GB	Configurar VMs con 4+ GB
Process check	Buscar procesos de análisis	Ocultar procesos del sandbox
User activity	Verificar historial de navegación, documentos	Generar actividad artificial
Red canary	Conectar a servicios que los sandboxes no redirigen	Simular servicios reales

Construir tu propia sandbox

Para organizaciones que necesitan privacidad total:

# CAPE es la mejor opción self-hosted
# Requisitos:
# - Servidor dedicado: 32 GB RAM, 8 cores, 500 GB SSD
# - Ubuntu 22.04 LTS
# - KVM habilitado
# - Red aislada para VMs de análisis

# Componentes:
# 1. Host con CAPE instalado (procesador de análisis)
# 2. VMs de análisis (Windows 10/11 con CAPE agent)
# 3. Red interna aislada (VMs no acceden a Internet real)
# 4. FakeNet o INetSim para simular servicios de red
# 5. Frontend web para enviar y consultar análisis

Las sandboxes son herramientas fundamentales para cualquier equipo de análisis de malware. La combinación de ANY.RUN para interactividad, CAPE para extracción de configuración y Hybrid Analysis para triage rápido cubre la gran mayoría de necesidades sin coste. Para entornos enterprise, Joe Sandbox añade la calidad de reporte y la cobertura multi-plataforma que justifican su precio.

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis

Amazon (enlace afiliado)

Malware Analysis Techniques

Amazon (enlace afiliado)

El papel del sandbox en análisis de malware

ANY.RUN

Qué es

Características principales

Pricing

Cuándo usar ANY.RUN

Limitaciones

CAPE Sandbox

Qué es

Características principales

Instalación (self-hosted)

Cuándo usar CAPE

Limitaciones

Joe Sandbox

Qué es

Características principales

Pricing

Cuándo usar Joe Sandbox

Limitaciones

Hybrid Analysis

Qué es

Características principales

Pricing

Cuándo usar Hybrid Analysis

Limitaciones

Comparativa directa

Cuándo usar cada sandbox

Estrategia de uso combinado

Anti-evasion: la guerra entre sandboxes y malware

Técnicas de evasión comunes

Construir tu propia sandbox

Preguntas frecuentes

Libros recomendados

Artículos relacionados