Web Analytics
Conecta con nosotros

A Fondo

Sandboxie Plus: ejecuta aplicaciones poco confiables de forma aislada

Publicado el
Sandboxie Plus

El sandbox, que suele ser traducido al castellano como entorno aislado o aislamiento de procesos según el contexto que se esté tratando, es algo cada vez más utilizado como barrera de seguridad para mantener a salvo el sistema y/o los datos del usuario. Resumiendo mucho, puede definirse como un mecanismo de seguridad que se encarga de separar la ejecución de los programas con el fin de evitar o mitigar fallos de software o de seguridad.

Uno de los contextos en los que se usa el sandbox es la ejecución de aplicaciones poco confiables y que podrían terminar dañando el sistema o los ficheros de usuario. Gracias al uso del aislamiento, dichas aplicaciones poco confiables solo tienen acceso a unos recursos limitados y controlados por el programa y/o el usuario, los cuales pueden abarcar el almacenamiento, el acceso a la red, la capacidad de inspeccionar el sistema host y la lectura de los dispositivos de entrada, los cuales están restringidos o prohibidos según la configuración.

¿Está sonando todo difícil y áspero? Un ejemplo sencillo y socorrido de sandbox son las máquinas virtuales, que emulan una computadora anfitriona completa en la que un sistema operativo convencional se inicia y ejecuta como si estuviera en hardware real. El sistema operativo invitado, que es el usado por la máquina virtual, se ejecuta en un espacio aislado en el sentido que no funciona de forma nativa y solo tiene acceso a los recursos del anfitrión a través del emulador.

Pero las máquinas virtuales no son la única forma de sandbox que existe, ya que por ejemplo todos los grandes navegadores web tienen implementado algún mecanismo de este tipo, siendo Chrome/Chromium el pionero en este sentido. Viendo que el uso del sandbox se ha extendido durante el transcurso de la última década, vamos a aprovechar la ocasión para publicar sobre Sandboxie Plus, un programa para Windows que se encarga de crear un entorno operativo aislado en el que se pueden ejecutar aplicaciones sin modificar permanentemente el sistema local.

¿Qué es Sandboxie Plus?

Como ya hemos dicho, Sandboxie Plus es un programa exclusivo para Windows que se encarga de crear un entorno operativo aislado en el que se ejecutan o instalan aplicaciones o programas sin modificar permanentemente el sistema local. De esta manera genera un entorno virtual que permite realizar pruebas controladas de programas que no son de confianza. A todo esto se suman los hechos de que es gratuito y software libre al estar su código publicado bajo la licencia GPLv3 (dicho con otras palabras, es software libre de “línea dura”).

El programa original, Sandboxie, nació en 2004 como un mecanismo que permitía aislar Internet Explorer en los sistemas operativos Windows, si bien luego se fue expandiendo poco a poco para soportar otros navegadores web y programas/aplicaciones no confiables. A estas alturas no hace falta recordar la mala reputación que siempre ha arrastrado Internet Explorer en términos de seguridad, lo que se sumó a la peculiar interpretación que hizo Microsoft de los estándares web. Esto dio como un resultado un producto que fue repudiando por muchos usuarios finales y la mayoría de desarrolladores web, pero que, desgraciadamente, incluso hoy en día sigue siendo indispensable en algunas empresas y para la realización de algunos trámites administrativos.

Sandboxie fue adquirido por Invincea en el año 2013. Poco después de este movimiento llegó la retirada del desarrollador original del programa, Ronen Tzur, quien anunció que dejaría de estar implicado en el proyecto a todos los niveles. Cuatro año después, en 2017, la compañía de ciberseguridad Sophos anunció la adquisición de Invincea, por lo que Sandboxie pasaría a ser de su propiedad.

Sophos se comprometió en un principio a que el desarrollo de Sandboxie seguiría como siempre, pero en 2019 empezaron a surgir malas señales que apuntaban a la descontinuación. En 2020 el proyecto fue finalmente descontinuado y el programa acabó publicado como Open Source (y software libre) bajo la licencia GPLv3. La compañía pasó a recomendar a los interesados la iniciativa de desarrollo liderada por David Xanatos, que se hizo responsable de las dos versiones de la aplicación que surgieron: Classic y Plus.

Tanto la versión Classic como la Plus de Sandboxie siguen vivas, o al menos eso es lo que desprende la información ofrecida a través del repositorio oficial de GitHub. Ambas versiones tienen los mismos componentes base, por lo que ofrecen el mismo nivel de seguridad. Sin embargo, la Plus tiene una interfaz de usuario más moderna construida con Qt, la cual soporta estas nuevas características que han sido añadidas desde que el proyecto es Open Source:

  • Gestor de instantáneas para tomar una copia de cualquier caja de aislamiento y restaurarla cuando sea necesario.
  • Modo de mantenimiento para desinstalar, instalar, iniciar y detener el controlador y el servicio de Sandboxie cuando sea necesario.
  • Un modo portable que permite ejecutar el instalador y extraer todos los fichero a un directorio.
  • Opciones adicionales en la interfaz de usuario que permiten bloquear el acceso a componentes de Windows como el portapapeles y la cola de impresión.
  • Más opciones de personalización para las restricciones de acceso a Internet e Inicio > Ejecutar.
  • Una tecla de acceso rápido global para terminar todos los procesos ejecutados en la caja de aislamiento.
  • Un nuevo cortafuegos para cada sandbox que soporta la Plataforma de Filtra de Windows (WFP).

Primeros pasos con Sandboxie Plus

Exponer todas las posibilidades de Sandboxie Plus podría dar para escribir mucho, así que vamos a hacer un pequeño recorrido para utilizar algunas de sus características más esenciales, las más básicas para al menos ejecutar un programa dentro de un sandbox.

Lo primero que hay hacer, obviamente, es descargar Sandboxie Plus desde el sitio web oficial del proyecto, el cual tiene un diseño bastante básico. Aquí no hay nada que se salga del procedimiento habitual: dirigirse al sitio web, luego a la sección descargas (Downloads), hacer clic sobre el enlace correspondiente a la compilación de Windows que se esté usando (sí, aquí hay soporte para 32-bit), descargar el instalador ‘.exe’ y ejecutarlo para después hacer el procedimiento de “Siguiente, Siguiente” tan común en los asistentes de instalación (wizard) empleados por el sistema de Microsoft.

Descargar Sandboxie Plus

Tras instalar el programa, esta es la ventana que aparece en el primer inicio. Como vemos, la interfaz de Sandboxie Plus no es muy compleja, pero no está totalmente traducida, así que es necesario saber algo de inglés para entender todas las opciones y características que ofrece. Pese a ello, a golpe de clics es posible preparar un entorno aislado de forma fácil y sencilla.

Ventana inicial de Sandboxie Plus

Con el fin de facilitar al máximo su uso, Sandboxie Plus tiene preconfigurado un entorno de aislamiento que se apoya en la plantilla de restricciones predeterminada. El usuario puede modificar su configuración y comportamiento haciendo clic con el botón secundario del ratón sobre “DefaultBox” para luego pulsar sobre “Opciones de Sandbox” en el menú contextual que le aparece.

Pero lo interesante de este programa es la posibilidad de poder crear nuestros propios entornos de aislamiento, así que vamos a proceder a hacer eso mismo para al menos mostrar los primeros pasos para usarlo en serio. En primer lugar hay que dirigirse al menú “Sandbox” y hacer clic sobre “Crear Nueva Sandbox”.

Crear sandbox en Sandboxie Plus

Se introduce el nombre del entorno de aislamiento, se establece una configuración inicial (en este caso, hemos seleccionado “Endurecido” para tener más protección) y se pulsa sobre el botón Aceptar. Con esto, ya tenemos configurado de manera simple un sandbox para ejecutar programas de manera segura.

Ejecutar una aplicación o un programa dentro del sandbox es muy sencillo. Para el usuario solo tiene que hacer clic con el botón secundario del ratón sobre el entorno recientemente creado (en nuestro caso, “Sandbox MC”), colocar el curso del ratón sobre “Ejecutar” y después hacer clic sobre “Ejecutar un programa”.

Ejecutar una aplicacion con Sandboxie Plus

En la ventana que aparece se sugiere introducir la ruta en la que se ubica el programa o la aplicación a ejecutar, pero esta vía puede resultar un poco áspera para los usuarios menos experimentados. Como alternativa, el botón “Browse…” abre un diálogo para seleccionar el ejecutable que se quiere iniciar. Tras localizar el programa, hay que pulsar sobre el botón “OK” para iniciar el programar o la aplicación dentro del sandbox. En nuestro caso, hemos seleccionado el ejecutable que pone en funcionamiento el navegador web Brave.

Otra forma de iniciar una aplicación o un programa dentro del sandbox es con el menú de inicio que Sandboxie Plus pone a disposición. Para ello, el usuario hace clic con el botón secundario del ratón sobre un entorno de aislamiento, pone el cursor sobre “Ejecutar” y luego hace clic sobre “Ejecutar desde Menú de Inicio”.

Ejecutar una aplicación o programa dentro del sandbox en Sandboxie Plus

Al usuario le aparece, en formato de menú de contextual (o algo parecido), un menú de inicio de Windows en el que puede seleccionar el programa o la aplicación que quiere ejecutar. Con el fin de no repetir, a través de este medio hemos puesto en funcionamiento el navegador web Internet Explorer, una aplicación que siempre ha arrastrado una fama muy mala en términos de seguridad, tanto, que algunos le pusieron el mote de Internet Exploiter.

Se puede crear un acceso directo a una aplicación para ejecutarla directamente dentro del sandbox en lugar de tener que abrir previamente Sandboxie Plus. Para ello solo hay que hacer clic con el botón secundario del ratón sobre el programa o la aplicación en ejecución, pulsar sobre “Crear Atajo” en el menú contextual, seleccionar la ubicación del acceso directo con un nombre establecido por el usuario y pulsar sobre el botón “Guardar”. Tras realizar los pasos, el usuario podrá acceder a esa aplicación poco confiable de manera segura sin antes que iniciar Sandboxie Plus.

Instalando una aplicación dentro de un sandbox

Es posible instalar aplicaciones dentro de un entorno de aislamiento de Sandboxie Plus, pero es probable que el usuario se encuentre durante el proceso con algunos avisos de denegación de acceso por cuestiones de permisos. Pese a ello, hay aplicaciones como Google Chrome que permiten ser instaladas sin permisos de administrador, por lo que quedan confinadas dentro del sandbox.

Para instalar una aplicación dentro del sandbox, el usuario tiene que ejecutar el instalador siguiendo los mismos pasos que hemos mostrado para iniciar Brave, pero en lugar de dirigirse al fichero que permite poner en marcha la aplicación, tiene que localizar el instalador ‘.exe’ de Google Chrome dentro de su propio directorio (si es que lo ha colocado ahí).

Después el usuario verá un aviso relacionado con los permisos, pero si cierra dicha ventana, el instalador de Google Chrome notificará que la aplicación puede ser instalada sin privilegios de administrador, quedando de esta manera confinada en el entorno de aislamiento.

Tras terminar el proceso de instalación, Google Chrome debería de abrirse con normalidad. Es importante tener en cuenta que para iniciar la aplicación en estas condiciones hay que recurrir al menú del sandbox sobre la que ha sido instalada, ya que no aparecerá en el menú de Inicio del sistema.

Ejecutando una aplicación instalada dentro de un sandbox

Un poquito sobre las posibilidades de configuración

Sandboxie Plus ofrece muchas posibilidades a nivel de configuración para así delimitar de manera precisa los recursos a los que tiene acceso cada programa o aplicación, además de poder establecer parte de su comportamiento. Obviamente, esto no quiere decir que no ofrezca protección por defecto, más si la configuración predeterminada del entorno de aislamiento se establece en “Endurecida”.

Sandboxie Plus cuenta con las opciones que uno esperaría encontrarse en este tipo de programas. Sin embargo, probablemente merezca la pena mencionar las plantillas de aplicación, que se encargan de mejorar la compatibilidad del entorno de aislamiento.

Plantillas de aplicación, que se encargan de mejorar la compatibilidad del sandbox

Otro detalle a tener en cuenta es que, tras iniciar el sistema por primera vez después de instalar la aplicación, le usuario puede encontrar se con la siguiente ventana, que le indicará si concede a Sandboxie Plus el acceso a diversos programas de Windows con el objetivo de mejorar la compatibilidad.

Sandboxie Plus después de iniciar Windows

Conclusión

Como vemos, Sandboxie Plus es una forma sencilla de mejorar la seguridad a la hora de utilizar un sistema operativo Windows. A pesar de tener bastantes opciones, también ofrece configuraciones predeterminadas para esos usuarios que quieren ejecutar programas poco confiables pero que no tienen los suficientes conocimientos como para manejar con soltura este tipo de programas.

El uso de Sandboxie Plus debería ser recomendable para cualquier usuario de Windows que lidie con programas o aplicaciones poco confiables, y viendo el panorama, no hace falta irse a los “extraños” contenidos que uno puede encontrarse por Internet, sino que el moribundo Internet Explorer, que sigue siendo necesario en nuestros tiempos para ciertas cosas específicas, es excusa suficiente para emplear algún programa de entornos de aislamiento.

Sandboxie Plus no es la única solución dentro de su segmento y es más, el hecho de que Microsoft se haya empecinado en dotar a Windows de mecanismos propios de seguridad ha hecho que la compañía haya pisado mucho del terreno que hasta hace relativamente poco era exclusivo de las soluciones de terceros. Hace dos años fue introducido Windows Sandbox, pero por ahora esta característica solo está disponible para las ramas Pro y Enterprise del sistema operativo de Microsoft.

Lo más leído