Glosario de Ciberseguridad
Sandboxing (Aislamiento de Amenazas)
Ejecuta archivos sospechosos en un entorno seguro y aislado para detectar malware desconocido.
¿Qué es Sandboxing (Aislamiento de Amenazas)?
El sandboxing en ciberseguridad es una técnica que consiste en ejecutar archivos, programas o código sospechoso en un entorno virtual aislado y controlado (sandbox) para observar su comportamiento antes de permitir que llegue al usuario final. Si el archivo muestra comportamiento malicioso (modifica el registro, se conecta a servidores C2, cifra archivos), se bloquea y se genera una firma para proteger a toda la red.
El sandboxing es especialmente eficaz contra amenazas zero-day y malware avanzado que evade las detecciones basadas en firmas tradicionales. Los atacantes modernos utilizan técnicas de ofuscación, empaquetado personalizado y polimorfismo que hacen que los antivirus basados en firmas no detecten el malware. Al ejecutar el archivo en un sandbox, se observa lo que realmente hace, no lo que parece ser.
¿Cómo funciona?
- 1
El firewall o gateway de correo intercepta archivos adjuntos y descargas sospechosas que no son detectados por los motores antivirus tradicionales.
- 2
Envía el archivo al sandbox (local o en la nube) donde se ejecuta en múltiples sistemas operativos y entornos virtualizados.
- 3
Monitoriza el comportamiento del archivo: acceso al sistema de archivos, conexiones de red, modificaciones del registro, intentos de escalada de privilegios.
- 4
Aplica técnicas anti-evasión: detecta cuando el malware intenta identificar que está en un sandbox para no activarse.
- 5
Si se detecta comportamiento malicioso, genera automáticamente una firma y la distribuye a todos los dispositivos protegidos de la red.
- 6
El veredicto (limpio o malicioso) se devuelve al firewall, que permite o bloquea el archivo original.
Implementación en Fortinet
Fortinet ofrece FortiSandbox como solución de sandboxing, disponible como appliance físico, máquina virtual o servicio en la nube integrado con FortiGuard. Cuando se activa el servicio FortiGuard Inline Sandbox en un FortiGate, los archivos sospechosos se analizan en tiempo real sin necesidad de hardware adicional. FortiSandbox utiliza machine learning y análisis dinámico para detectar amenazas zero-day y APTs.
Preguntas frecuentes
¿Qué diferencia hay entre sandbox local y sandbox en la nube?
Un sandbox local (FortiSandbox appliance) procesa los archivos en tu propia infraestructura, ideal para organizaciones con requisitos de confidencialidad o cumplimiento. El sandbox en la nube (FortiGuard Cloud Sandbox) no requiere hardware adicional y se activa como servicio en la licencia Enterprise Protection del FortiGate. Ambos ofrecen el mismo nivel de detección.
¿El sandboxing ralentiza la entrega de archivos?
Depende de la configuración. En modo inline, el archivo se retiene hasta que el sandbox emite un veredicto (segundos a minutos). En modo detección, el archivo se entrega al usuario y se analiza en paralelo; si resulta malicioso, se alerta y se puede cuarentenar. FortiGate permite configurar ambos modos por tipo de archivo.
Términos relacionados
APT (Amenaza Persistente Avanzada)
Ataques dirigidos, sofisticados y prolongados contra organizaciones específicas, a menudo patrocinados por estados.
Leer más →Ransomware
Malware que cifra los archivos de la víctima y exige un rescate económico para recuperarlos.
Leer más →Next-Generation Firewall (NGFW)
Firewall de Nueva Generación: combina firewall tradicional con IPS, control de aplicaciones y más.
Leer más →FortiGuard (Inteligencia de Amenazas)
Laboratorio de inteligencia de amenazas de Fortinet que alimenta todos los servicios de seguridad.
Leer más →¿Necesitas protección Sandboxing?
Nuestros expertos en ciberseguridad pueden ayudarte a implementar la mejor solución Fortinet para proteger tu empresa. Consulta sin compromiso.