¿Qué es un Sandbox o entorno de pruebas?

En el mundo de la ciberseguridad, un sandbox o entorno de pruebas es una máquina virtual aislada en la que se puede ejecutar código de software potencialmente inseguro sin afectar a los recursos de red o a las aplicaciones locales. Piense en un entorno de pruebas como un “patio de recreo” controlado en el que se pueden probar o ejecutar aplicaciones, código y archivos para ver cómo se comportan. Si el software se comporta de forma malintencionada o inesperada, no tiene capacidad para afectar a nada fuera de ese entorno contenido.

El término sandbox en informática, deriva acertadamente del concepto de las cajas de arena para niños, una zona de juegos donde los niños pueden construir, destruir y experimentar sin causar ningún daño en el mundo real. Del mismo modo, una caja de arena digital permite experimentar y probar sin repercusiones fuera de su espacio confinado.

Los investigadores en ciberseguridad emplean los entornos de pruebas para ejecutar códigos sospechosos provenientes de archivos adjuntos y URL desconocidos, y observar su comportamiento. Algunos indicadores muy reveladores son: si el código se autorreplica, si intenta contactar a un servidor de comando y control, si descarga software adicional, si cifra datos delicados, etc. Como el entorno de pruebas es un entorno emulado sin acceso a la red, datos u otras aplicaciones, los equipos de seguridad pueden “detonar” el código con seguridad para determinar cómo funciona y si es malintencionado.

Los desarrolladores también usan los entornos de pruebas para ejecutar el código antes de su implementación a gran escala.

En un entorno de producción comercial estándar, es posible que se considere que un entorno de pruebas se malinterprete o se considere un gasto innecesario. Pero los entornos de pruebas son fundamentales para diversos casos de desarrollo de software, ciberseguridad e investigación. Asegurarse de que el entorno de pruebas esté verdaderamente aislado y sea seguro es más importante para la investigación de ciberseguridad que para el desarrollo de software, porque el malware escanea la red de manera activa y agresiva para hallar vulnerabilidades aprovechables.

Sandbox en el desarrollo

En el desarrollo, un entorno de pruebas suele incluir un servidor de desarrollo y un servidor de ensayo. El servidor de desarrollo está separado del entorno de producción, pero podría precisar de acceso básico a la red. Los desarrolladores utilizan los entornos de pruebas para probar nuevo software o actualizaciones. Garantiza que cualquier posible fallo, error o problema en el software más reciente no afecte a las versiones estables en ejecución. También evita que se exploten vulnerabilidades de seguridad no intencionadas.

Es en este servidor donde el equipo de aseguramiento de calidad (QA, del inglés “Quality Assurance”) prueba el código antes de implementarlo en el entorno de producción. Como el entorno de ensayo es el mismo que el de producción, cualquier código que se ejecute sin problemas en el entorno de ensayo debería funcionar también en el entorno de producción sin problemas. Después de probar el código, se implementa en producción.

Sandbox en investigaciones de ciberseguridad

Los investigadores y analistas de ciberseguridad usan su entorno de pruebas de manera similar. Pero en este caso, garantizar que los recursos de la red no sean susceptibles al malware es mucho más crítico. El entorno de pruebas tiene su propia red y suele no tener conexión física con los recursos de producción. El propósito del entorno de pruebas es ejecutar el código malintencionado y analizarlo. A veces, este código podría ser un exploit de día cero, en el que el efecto y contenido del malware son desconocidos. A causa de esto, el entorno de pruebas no debe tener acceso a infraestructuras críticas.

Con un entorno de pruebas, los investigadores y analistas de ciberseguridad pueden comprender cómo funciona el malware y qué se puede hacer para detenerlo. El primerísimo paso en el diseño del software antivirus es evitar que el malware se propague a otros sistemas y procurar eliminarlo de los sistemas infectados. El objetivo general es proporcionar un entorno seguro para ejecutar software potencialmente dañino o que no sea de confianza. Otros objetivos incluyen:

• Protección de la red: Un sandbox suele integrarse con herramientas de protección de la red. Los correos electrónicos, las descargas y otros archivos entrantes pueden enrutarse automáticamente a través del sandbox para comprobar la existencia de comportamientos malintencionados antes de que lleguen al usuario final.
• Análisis forense: Después de una ciberincidencia, los expertos en ciberseguridad utilizan el sandbox para comprender la profundidad y el impacto del ataque. Esto les permite “diseccionar” las cargas útiles malintencionadas para analizar sus orígenes, comportamientos y propagación potencial con el fin de informar sobre la respuesta a las incidencias y la recuperación.
• Compatibilidad de aplicaciones: Las organizaciones que migran a nuevos sistemas o plataformas pueden utilizar un entorno de pruebas para probar el rendimiento de las aplicaciones o datos heredados, garantizando que no haya problemas de compatibilidad.
• Cumplimiento de normativas y políticas: Determinados sectores tienen normativas estrictas sobre la seguridad, la integridad y el acceso a los datos. Los entornos de pruebas ayudan a validar y garantizar que el software y los procesos cumplen dichas normativas sin arriesgarse a que se produzcan filtraciones de datos.
• Aprendizaje y experimentación: Las instituciones educativas y las personas en procesos de formación en ciberseguridad suelen utilizar los entornos aislados como campo de entrenamiento. Un sandbox ofrece un entorno seguro para que los estudiantes comprendan las técnicas de ciberataque, las vulnerabilidades y los mecanismos de defensa sin poner en riesgo los sistemas reales.

Para ataques complejos, los entornos de pruebas están ampliamente disponibles para analizar rápidamente el malware y detenerlo antes de que se convierta en un problema global. El ransomware, por ejemplo, se puede diseminar a nivel mundial y causar fallos generales en los sistemas clave del gobierno. Por eso los investigadores deben tener acceso inmediato a los entornos de pruebas para ayudar a detenerlo.

Lo que se está probando determina cómo funciona el sandboxing. Por ejemplo, un entorno de pruebas cuyo fin sea hacer pruebas de malware se configura y funciona de manera diferente que un entorno de pruebas para probar códigos para actualizar aplicaciones. Para investigar acerca de potenciales malware y ejecución de códigos malintencionados, el entorno de pruebas debe estar aislado del software de producción.

Sin importar cómo se use un entorno de pruebas, todos los entornos tienen algunas funcionalidades básicas:

• Emulación de dispositivos: Los entornos de pruebas emulan dispositivos del mundo real, ya sean de sobremesa, móviles u otros dispositivos informáticos. El objetivo es hacer creer al software de prueba que está interactuando con hardware real, incluyendo recursos simulados como la CPU, la memoria y el almacenamiento.
• Emulación del sistema operativo: El sandbox emula el sistema operativo de destino. A través de máquinas virtuales, este entorno emulado imita el sistema operativo específico con el que el software espera interactuar, garantizando unas condiciones de prueba precisas.
• Entorno virtualizado: Alojado normalmente en una máquina virtual, un entorno de pruebas está protegido de la interacción directa con el hardware físico. Este entorno virtual, a menudo denominado “cárcel”, restringe el acceso del software a recursos específicos, asegurando su confinamiento.
• Supervisión detallada: Se realiza un seguimiento de todas sus actividades e interacciones cuando los probadores ejecutan el software dentro del sandbox. Esto incluye las modificaciones del sistema de archivos, la comunicación de red y las llamadas al sistema, que proporcionan una lente para su verdadero comportamiento.
• Detección de malware evasivo: Algunos programas malintencionados avanzados están diseñados para reconocer cuándo se encuentran en un entorno de pruebas y alterar su comportamiento en consecuencia. Puede buscar señales de entornos virtuales o interacciones de usuario poco comunes para pasar desapercibido. Si detecta que se encuentra en un entorno de pruebas, el malware puede permanecer latente y revelar su verdadera naturaleza sólo en un entorno real. Los investigadores optimizan continuamente los entornos de pruebas para contrarrestar estas tácticas evasivas.
• Posibles exploits: Los creadores de programas malintencionados a veces elaboran exploits dirigidos a vulnerabilidades en entornos de pruebas mal protegidos. Esto resalta la necesidad de un diseño robusto de los entornos de pruebas y de actualizaciones periódicas.
• Acceso restringido: En muchos escenarios, los entornos de pruebas limitan el acceso a la red, asegurando que el software no pueda comunicarse libremente con servidores o sistemas externos. Además, al controlar los espacios de nombres del sistema de archivos, los cajones de arena impiden modificaciones o accesos no autorizados a los archivos. El acceso restringido también es frecuente en los hosts en la nube y en aplicaciones específicas, donde se emplea el sandbox para garantizar que el software contenido no pueda vulnerar o comprometer la máquina anfitriona.

Se puede pensar en el sandbox como un observatorio en el que el software se coloca bajo un microscopio. Mientras cree que está operando en un entorno informático natural, está confinado en un espacio controlado, con todos sus movimientos escrutados en busca de amenazas potenciales. Esta dinámica permite comprender y contrarrestar las amenazas potenciales antes de que puedan infligir daños en el mundo real.

El sandboxing ofrece un sinfín de ventajas, desde la salvaguarda de los datos hasta la promoción de pruebas de software eficientes. Algunos de los beneficios más notables de la utilización de un entorno sandbox incluyen: Mayor seguridad: En esencia, un entorno de pruebas proporciona una capa de seguridad mejorada.

• Mayor seguridad: En esencia, un entorno de pruebas proporciona una capa de seguridad mejorada. Al mantener el software potencialmente dañino dentro de un entorno controlado, el sandboxing garantiza que los sistemas más amplios y los datos críticos permanezcan intactos y sin compromisos.
• Terreno de pruebas seguro: Un sandbox sirve como entorno para pruebas de desarrollo, permitiendo a las organizaciones ejecutar aplicaciones en un espacio seguro antes de introducirlas en la fase de producción. Este espacio seguro garantiza que cualquier problema perjudicial se solucione sin comprometer ni ralentizar los recursos críticos.
• Cuarentena de correos electrónicos: Un sandbox se utiliza habitualmente como zona de cuarentena para los correos electrónicos sospechosos y sus archivos adjuntos. Los filtros de correo electrónico pueden señalar amenazas potenciales, pero los administradores necesitan un lugar seguro para verificarlas sin riesgo de activación. En un sandbox, los archivos adjuntos o macros malintencionados, especialmente los dirigidos a aplicaciones como Microsoft Office, pueden ser examinados para garantizar su seguridad.
• Análisis proactivo de amenazas: Los entornos de pruebas permiten evaluar y comprender las amenazas de forma proactiva, garantizando que las organizaciones puedan detectar y contrarrestar los riesgos potenciales antes de que se infiltren en los sistemas reales.
• Facilita las pruebas de software: Más allá de actuar como un escudo contra las amenazas, el sandboxing tiene un valor incalculable para los desarrolladores. Pueden probar código nuevo, actualizaciones o aplicaciones enteras para identificar y rectificar problemas sin afectar al entorno en vivo.
• Fácil de usar para los empleados: Aunque un sandbox es una herramienta inestimable para el personal especializado en ciberseguridad, su diseño intuitivo garantiza que incluso los empleados sin conocimientos técnicos puedan utilizarlos. A su vez, el aislamiento y el examen de programas sospechosos garantizan que los individuos puedan ejecutar códigos desconocidos sin poner en peligro los sistemas primarios.
• Rentable: Mitigar las filtraciones de seguridad o solucionar los fallos del software después de su despliegue puede resultar costoso. El sandboxing proporciona un enfoque preventivo, que mitiga los gastos financieros y de reputación que las organizaciones podrían afrontar de otro modo.
• Aprendizaje y adaptación continuos: El entorno de pruebas proporciona un bucle de retroalimentación continua. A medida que encuentra amenazas y comportamientos del software, ayuda a actualizar los protocolos de seguridad según sea necesario.

En resumen, el entorno de pruebas permite a las organizaciones garantizar un rendimiento óptimo del software, al tiempo que mantiene una seguridad sólida y una innovación continua.

Un entorno de pruebas puede tener componentes tanto de software como de hardware. Con las restricciones de hardware, un entorno de pruebas podría estar dentro de su propia red aislada. Para lograr un aislamiento muy restringido, el entorno de pruebas podría incluso tener sus propios router wifi y conexión al ISP. Esta configuración haría físicamente imposible para una aplicación malintencionada el acceder a la red principal.

Diversas aplicaciones usan entornos de pruebas de manera predeterminada para proteger al sistema operativo local. Los navegadores tienen sus propios entornos de pruebas para evitar que las aplicaciones malintencionadas que se ejecutan desde la web puedan acceder a los recursos de los equipos locales. Lenguajes de programación como el Java tienen su propio entorno de pruebas para proteger los recursos locales de códigos no fiables, como un applet de Java ejecutándose en una página web.

El sistema operativo Windows 10 tiene un entorno de pruebas integrado para proteger al escritorio de código no confiable. Si bien esta característica no debería usarse como reemplazo para programas antivirus, cortafuegos o antimalware, sí añade una capa adicional de seguridad que los sistemas operativos Windows anteriores simplemente no tienen.

HTML5 tiene un entorno de pruebas para protegerse contra el uso inadecuado de su característico marco o iframe. Y el sistema operativo Linux tiene diversos entornos de pruebas para aplicaciones integrados en Seccomp y cgroup. La API de Google Sandbox está disponible para los desarrolladores que escriben código en C++ y precisan de un entorno de pruebas para su código antes de implementarlo en el entorno de producción.

Los entornos de prueba basados en la nube son entornos virtuales alojados en la nube. Permiten la ejecución y el análisis seguros del código y proporcionan escalabilidad y flexibilidad para ejecutar múltiples instancias de sandbox simultáneamente.

Por último, los entornos de desarrollo se construyen comúnmente como un sandbox. Plataformas como Docker y Kubernetes utilizan la contenedorización, un tipo de sandbox ligero que permite a los desarrolladores empaquetar una aplicación con todas sus dependencias en un contenedor. Esto garantiza que la aplicación se ejecutará de forma coherente en diferentes entornos.

El propósito de un entorno de pruebas depende de la manera en que esté configurado. Muchas plataformas basadas en la nube tienen su propio entorno de pruebas para trabajar con nuevos programas y actualizaciones. Por ejemplo, si decide usar PayPal como procesador de pagos, la plataforma cuenta con un entorno de pruebas integral en el que puede emular el entorno de producción. Cualquier código que use el entorno de pruebas estará aislado de producción, así que los errores y fallos no afectarán a la plataforma principal.

Si usted necesita un entorno de pruebas para probar códigos o potenciales malwares, puede crear su propio entorno de pruebas instalando una máquina virtual. A menudo se utiliza VirtualBox para alojar el entorno virtual, también llamado máquina virtual. Entonces, sólo necesita un archivo de instalación para ejecutar el sistema operativo dentro de la máquina virtual.

Antes de instalar el sistema operativo en la máquina virtual, hay que configurar los recursos de hardware que estarán disponibles para el entorno, tales como la memoria, CPU, capacidad de almacenamiento y adaptador de red. Estos recursos se virtualizan y no estarán disponibles fuera de la máquina virtual. Y al contrario, los programas que se ejecuten en su nuevo entorno no podrán compartir recursos de memoria con el sistema operativo principal o cualquier otra acción fuera de la máquina virtual.

Si bien un entorno de pruebas debería ser un espacio seguro, los atacantes siempre procuran vulnerar la seguridad del entorno de pruebas. Las empresas de tecnología suelen ofrecer generosas recompensas a aquellos que sean capaces de detectar un punto débil en el entorno de pruebas que pueda ser aprovechado. Los desarrolladores de Microsoft Edge pagan hasta 30.000 USD a cualquiera que sea capaz de hallar una manera de evadir la seguridad del entorno de pruebas del navegador. Los desarrolladores de Google Chrome pagaron 60.000 USD a una persona que fue capaz de ejecutar código no aprobado en un equipo completamente corregido y revisado en 2012.

Un sandbox es imprescindible para la investigación de seguridad o el análisis de malware. Este garantiza que todos los recursos estén fuera del alcance de la máquina virtual, incluyendo el almacenamiento en la red. Con un entorno de pruebas, es posible analizar el código sin arriesgarse a destruir el entorno de producción.

La solución Targeted Attack Protection (TAP) (en español: “Protección contra Ataques Dirigidos”) de Proofpoint utiliza sandbox como parte de su enfoque de ciberseguridad. La función de sandboxing en TAP permite el estudio y análisis de una amplia variedad de ataques, incluyendo aquellos que involucran archivos adjuntos malintencionados y URL que pueden instalar malware o engañar a los usuarios para que compartan información delicada.

Al aprovechar el sandboxing, TAP crea un entorno seguro y aislado en el que se pueden ejecutar y observar programas potencialmente malintencionados o código inseguro sin poner en peligro los dispositivos o sistemas operativos anfitriones. Esto permite la detección proactiva y la mitigación de amenazas avanzadas mediante el análisis del comportamiento del código y la actividad de salida dentro del sandbox.

La solución TAP de Proofpoint utiliza el aislamiento de procesos como parte de su capacidad general de protección de día cero, que ayuda a evitar que las amenazas potenciales se infiltren en la red y causen daños. Esta función desempeña un papel crucial en la identificación y eliminación de amenazas de forma proactiva, mejorando la postura de seguridad informática de la organización.

Además del sandboxing, la solución TAP de Proofpoint incorpora otras medidas de seguridad como el escaneado, el filtrado y el análisis predictivo para identificar y mitigar las amenazas avanzadas. La solución mantiene un programa integral de seguridad de la información alineado con los estándares del sector, que incluye el cifrado de datos en tránsito y en reposo, mecanismos de control de acceso y gestión de vulnerabilidades.

Para obtener más información, póngase en contacto con Proofpoint.