¿Qué diferencia hay entre análisis estático y dinámico de malware?

El análisis estático examina el código del malware sin ejecutarlo (strings, firmas, desempaquetado), mientras que el análisis dinámico lo ejecuta en un sandbox para observar su comportamiento real: conexiones de red, modificaciones del sistema de archivos, cambios en el registro y procesos creados. Ambos son complementarios en una investigación forense.

¿Puede el malware detectar que está en un sandbox?

Sí, muchas variantes modernas incluyen técnicas anti-sandbox: detectan máquinas virtuales por el hardware emulado, verifican la interacción del usuario (movimiento de ratón), comprueban nombres de procesos típicos de análisis o miden tiempos de ejecución. Si detectan un sandbox, permanecen inactivas o ejecutan comportamiento benigno.

¿Son válidos los informes de sandbox como prueba judicial en España?

Sí, los informes de sandbox son admisibles como prueba pericial bajo la LECrim art. 478-479, siempre que el perito documente la herramienta utilizada, la configuración del entorno, la cadena de custodia de la muestra analizada y la metodología seguida. El informe debe ser reproducible por otro perito.

Sandbox Análisis de Malware - Herramienta Forense | Glosario Forense

¿Qué es un sandbox de análisis de malware?

INCIBE gestionó 55.411 incidentes de malware en España durante 2025, representando el 45% de todos los ciberincidentes registrados. Ante esta avalancha de amenazas, el análisis en sandbox se ha convertido en una herramienta imprescindible tanto para la respuesta a incidentes como para la generación de evidencia forense en investigaciones judiciales.

Un sandbox (caja de arena) es un entorno virtualizado y completamente aislado donde se ejecuta software sospechoso para observar su comportamiento en tiempo real. Al funcionar en un sistema controlado, el malware revela sus acciones — conexiones de red, modificaciones de archivos, cambios en el registro, creación de procesos — sin poner en riesgo los sistemas reales de la organización.

Análisis estático vs. dinámico

El análisis estático examina el código del malware sin ejecutarlo (firmas, strings, desensamblado). El análisis dinámico en sandbox lo ejecuta para observar su comportamiento real. Son técnicas complementarias: el estático identifica qué es; el dinámico revela qué hace.

Cómo funciona un sandbox

Arquitectura básica

El sandbox crea una máquina virtual (VM) limpia con un sistema operativo estándar y aplicaciones comunes instaladas. El proceso de análisis sigue esta secuencia:

Muestra sospechosa
       ↓
┌──────────────────────────────────┐
│  SANDBOX (VM aislada)            │
│                                  │
│  ┌─────────┐  ┌───────────────┐  │
│  │ Muestra │→ │ Monitor de    │  │
│  │ejecutada│  │ comportamiento│  │
│  └─────────┘  └───────────────┘  │
│       ↓              ↓           │
│  ┌─────────┐  ┌───────────────┐  │
│  │ Sistema │  │ Captura red   │  │
│  │ archivos│  │ (PCAP)        │  │
│  └─────────┘  └───────────────┘  │
│       ↓              ↓           │
│  ┌──────────────────────────────┐│
│  │  Informe de comportamiento  ││
│  └──────────────────────────────┘│
└──────────────────────────────────┘
       ↓
Informe forense automatizado

Componentes monitorizados

Componente	Qué se registra	Valor forense
Procesos	Creación, inyección, terminación de procesos	Identifica payload final y persistencia
Sistema de archivos	Archivos creados, modificados, eliminados	Detecta droppers, ransomware, exfiltración
Registro (Windows)	Claves creadas/modificadas	Revela mecanismos de persistencia
Red	DNS, HTTP/S, SMTP, conexiones raw	Identifica servidores C2 y exfiltración
Memoria	Inyecciones, strings en memoria	Descifra payloads ofuscados
API calls	Llamadas al sistema operativo	Traza comportamiento a nivel granular
Screenshots	Capturas periódicas de pantalla	Documenta ransomware notes, GUI del malware

Tipos de sandbox

Por modalidad de despliegue

Tipo	Ventajas	Desventajas	Ejemplo
Cloud (SaaS)	Sin infraestructura propia, siempre actualizado	Muestra sale de tu red, posible riesgo de confidencialidad	ANY.RUN, Hybrid Analysis, Joe Sandbox Cloud
On-premise	Control total, datos no salen de la organización	Requiere infraestructura y mantenimiento	Cuckoo Sandbox, Joe Sandbox Desktop
Híbrido	Flexibilidad según sensibilidad de la muestra	Mayor complejidad de gestión	VMRay, FireEye AX

Por nivel de interacción

Automatizado: La muestra se ejecuta sin intervención humana. Ideal para análisis masivo de muestras
Interactivo: El analista puede interactuar con la VM en tiempo real (hacer clic, navegar, abrir archivos). Esencial para malware que requiere interacción del usuario para activarse

Comparativa de herramientas sandbox

Plataformas principales (2025-2026)

Herramienta	SO soportados	Interacción	Precio	Fortaleza principal
Joe Sandbox	Windows, Linux, macOS, Android, iOS	Automatizado + interactivo	Desde 480 USD/mes	Multiplataforma, evasion-resistant, análisis físico
ANY.RUN	Windows, Linux	Interactivo en tiempo real	Desde 192 USD/mes (plan libre disponible)	Interacción real con malware durante ejecución
Hybrid Analysis	Windows	Automatizado	Gratuito (básico)	Accesible, scoring con IA, ideal para triaje rápido
Cuckoo Sandbox	Windows, Linux, macOS, Android	Automatizado	Gratuito (open source)	Personalizable, sin coste de licencia
VMRay	Windows, Linux	Automatizado	Enterprise (consultar)	Hipervisor propio (no detectable por malware)
CAPE Sandbox	Windows	Automatizado	Gratuito (open source)	Fork de Cuckoo con extracción avanzada de payloads

Herramienta destacada

Joe Sandbox es la única plataforma que permite análisis en dispositivos físicos reales (bare-metal analysis), no solo VMs. Esto es clave para malware que detecta virtualización y se niega a ejecutarse en entornos virtuales.

Herramientas complementarias

Herramienta	Función	Integración con sandbox
YARA Rules	Detección por firmas y patrones	Pre-filtrado de muestras antes del sandbox
VirusTotal	Análisis multi-motor antivirus	Comparar hashes antes de ejecutar en sandbox
Ghidra/IDA Pro	Análisis estático / ingeniería inversa	Complementa hallazgos del análisis dinámico
Wireshark	Análisis de capturas de red	Analizar PCAPs generados por el sandbox
Process Monitor	Monitorización de sistema Windows	Análisis manual complementario

Técnicas de evasión de sandbox

El malware moderno incorpora múltiples técnicas para detectar entornos de análisis y evitar revelar su comportamiento real:

Detección del entorno

Técnica de evasión	Qué comprueba el malware	Contramedida
VM detection	Claves de registro de VMware/VirtualBox, MAC address virtual	Hardware spoofing, bare-metal analysis
Timing attacks	Diferencias de tiempo entre instrucciones (VM es más lenta)	Tick count manipulation, aceleración de reloj
User interaction	Movimiento de ratón, clics, teclado (sandbox automatizado no tiene)	Simulación de actividad humana, sandbox interactivo
Process check	Procesos de monitorización (Procmon, Wireshark, agent.exe)	Ocultar procesos de análisis
Resource check	RAM menor a 4 GB, disco menor a 60 GB, menos de 2 CPUs	Asignar recursos realistas a la VM
Sleep/delay	Esperar 10-30 minutos antes de ejecutar payload	Aceleración de reloj, skip sleep
Environment artifacts	Escritorio vacío, pocos archivos, sin historial de navegación	VMs con “vida real” simulada (archivos, historial, apps)

Ejemplo de detección de VM en malware

# Técnica común: comprobación de fabricante de hardware
import subprocess

def check_vm():
    # Buscar indicadores de máquina virtual
    vm_indicators = [
        'VMware', 'VirtualBox', 'QEMU',
        'Xen', 'Hyper-V', 'Parallels'
    ]

    # Comprobar modelo de BIOS
    try:
        output = subprocess.check_output(
            'wmic bios get serialnumber',
            shell=True
        ).decode()
        for indicator in vm_indicators:
            if indicator.lower() in output.lower():
                return True  # Estamos en una VM
    except:
        pass

    # Comprobar número de CPUs (sandbox suele tener 1-2)
    import os
    if os.cpu_count() < 2:
        return True

    return False

# Si detecta VM, no ejecuta payload malicioso
if check_vm():
    exit()  # Termina sin hacer nada

Evolución constante

Las técnicas de evasión evolucionan continuamente. En 2025, investigadores documentaron malware que utilizaba técnicas de timing basadas en instrucciones CPUID y RDTSC para detectar hipervisores con una precisión del 95%. Los sandbox modernos responden con contramedidas a nivel de hipervisor.

Proceso de análisis forense con sandbox

Preservación de la muestra
Antes de analizar, preservar la evidencia digital:
- Calcular hash SHA-256 de la muestra original
- Almacenar copia en repositorio de evidencias con cadena de custodia
- No ejecutar la muestra en ningún sistema fuera del sandbox

Análisis estático previo

Obtener información sin ejecutar:

# Hash de la muestra
sha256sum muestra_sospechosa.exe

# Strings visibles
strings muestra_sospechosa.exe | grep -i "http\|cmd\|powershell"

# Detección YARA
yara malware_rules.yar muestra_sospechosa.exe

# Consulta VirusTotal
vt file muestra_sospechosa.exe

Configuración del sandbox
Preparar el entorno de análisis:
- SO compatible con la muestra (Windows 10/11 para .exe, Android para .apk)
- Aplicaciones objetivo instaladas (Office, navegadores, Adobe)
- Red configurada para capturar tráfico (simular DNS, permitir conexiones C2)
- Snapshot limpio para poder restaurar después del análisis
Ejecución y monitorización
Ejecutar la muestra y observar durante 5-15 minutos mínimo:
- Monitorizar procesos creados y conexiones de red
- Si es interactivo, simular interacción del usuario (abrir documentos, hacer clic)
- Capturar screenshots periódicos
- Registrar todas las API calls y cambios en el sistema
Análisis del informe
Revisar el informe automatizado del sandbox:
- Veredicto: Puntuación de maliciosidad (scoring)
- IOCs extraídos: IPs, dominios, URLs, hashes de archivos secundarios
- Comportamiento: Árbol de procesos, timeline de acciones
- Red: Conexiones C2, DNS queries, datos exfiltrados
- Persistencia: Mecanismos de arranque automático
Correlación y documentación
Integrar hallazgos en la investigación forense:
- Correlacionar IOCs con logs del sistema afectado
- Mapear comportamiento a framework MITRE ATT&CK
- Documentar metodología completa para el informe pericial
- Preservar informe del sandbox como evidencia complementaria

Caso práctico: Análisis de ransomware en investigación judicial

Contexto: Una PYME sufre un ataque de ransomware que cifra todos sus servidores de archivos. La empresa presenta denuncia y el juzgado solicita un informe pericial que determine el origen, mecanismo y alcance del ataque.

Caso ilustrativo

Este caso se basa en patrones documentados en investigaciones de ransomware. Los detalles se han adaptado con fines educativos.

Obtención de la muestra
Se recuperó el binario del ransomware del servidor afectado mediante imagen forense:
```
Archivo: svchost_update.exe
SHA-256: a1b2c3d4...
Tamaño: 847 KB
Ubicación original: C:\Windows\Temp\
```
Análisis estático inicial
- VirusTotal: 58/72 detecciones — familia LockBit 3.0
- Strings revelan URLs de servidores C2 y clave pública RSA-2048
- YARA: coincidencia con regla lockbit3_ransom_note

Ejecución en Joe Sandbox

Se configuró un entorno Windows 10 Pro con archivos de oficina señuelo.

Resultados del análisis dinámico (5 minutos de ejecución):

[00:02] Crea proceso hijo: cmd.exe /c vssadmin delete shadows /all
[00:03] Modifica 847 claves de registro (desactiva Windows Defender)
[00:05] Enumera unidades de red mapeadas (Z:\, Y:\)
[00:07] Inicia cifrado AES-256 de archivos (.docx, .xlsx, .pdf, .sql)
[00:08] Conexión HTTPS a 185.220.101.XX:443 (servidor C2 — Rusia)
[00:10] Envía ID de víctima y clave simétrica cifrada con RSA
[00:12] Crea nota de rescate: README_RESTORE.txt (2 BTC)
[00:15] Intenta propagarse vía SMB (EternalBlue) a red local

IOCs extraídos

Tipo	Valor	Uso
IP C2	185.220.101.XX	Bloqueo en firewall + correlación
Dominio	update-service[.]xyz	DNS sinkhole
Hash dropper	SHA-256: e5f6g7h8…	Detección en otros equipos
Mutex	Global\LB3_MUTEX_xxx	Identificación de infección
Ruta persistencia	HKCU\Software\Microsoft\Windows\CurrentVersion\Run	Verificación en equipos

Conclusiones del informe pericial
El análisis en sandbox permitió documentar:
- Vector de entrada: email de phishing con documento macro
- Mecanismo de cifrado: AES-256 + RSA-2048 (irrecuperable sin clave)
- Comunicación con infraestructura criminal en Rusia
- Intento de propagación lateral a toda la red
- Timeline completo del ataque con timestamps exactos

Marco legal en España

Validez probatoria del análisis en sandbox

Aspecto	Requisito legal	Aplicación
Cadena de custodia	LECrim Art. 338	Hash SHA-256 de la muestra antes y después del análisis
Prueba pericial	LECrim Art. 478-479	El perito documenta herramienta, configuración y metodología
Reproducibilidad	Principio de contradicción	Otro perito debe poder repetir el análisis y obtener resultados consistentes
Proporcionalidad	Art. 588 bis a LECrim	La obtención de la muestra debe ser proporcionada y autorizada
Integridad	Art. 588 sexies LECrim	El análisis no debe alterar la muestra original (se trabaja con copias)

Requisitos del informe pericial

El informe de análisis en sandbox debe incluir:

Identificación de la muestra: Hash, tamaño, nombre original, origen
Herramienta utilizada: Nombre, versión, configuración del sandbox
Entorno de ejecución: SO, versión, software instalado, configuración de red
Resultados del análisis: Comportamiento observado con capturas de evidencia
IOCs identificados: Lista completa para verificación por terceros
Conclusiones técnicas: Valoración del impacto y atribución cuando sea posible

Sobre la muestra original

El análisis en sandbox debe realizarse siempre sobre una copia de la muestra, nunca sobre la evidencia original. La muestra original debe preservarse intacta con su hash documentado para garantizar la integridad probatoria ante el tribunal.

Preguntas relacionadas

¿Cuánto tiempo tarda un análisis en sandbox? Un análisis automatizado básico tarda entre 3 y 10 minutos. Sin embargo, malware con técnicas de retardo (sleep evasion) puede requerir 15-30 minutos o más. Los análisis interactivos, donde el analista interactúa manualmente con la muestra, pueden durar de 30 minutos a varias horas dependiendo de la complejidad.

¿Se puede analizar malware de móvil en sandbox? Sí. Joe Sandbox soporta análisis de Android e iOS. Para Android, también existen sandbox especializados como Droidy y DroidBox. El malware móvil requiere emuladores específicos que simulen las API del sistema operativo móvil, sensores GPS, cámara y permisos de aplicación.

¿Qué hago si el malware detecta el sandbox y no se ejecuta? Varias estrategias: usar sandbox con tecnología bare-metal (ejecución en hardware real), modificar la VM para eliminar artefactos de virtualización, utilizar sandbox interactivo para simular actividad humana, o recurrir al análisis estático avanzado con ingeniería inversa para entender el comportamiento sin ejecutarlo.

Conclusión

El análisis en sandbox es una pieza fundamental del arsenal forense digital moderno. Permite observar el comportamiento real del malware en un entorno controlado, generando informes automatizados con IOCs, timelines de ejecución y evidencia visual que fortalecen cualquier investigación judicial.

La elección de herramienta depende del caso: ANY.RUN para análisis interactivo rápido, Joe Sandbox para cobertura multiplataforma y máxima resistencia a evasión, y Cuckoo/CAPE para organizaciones que necesitan control total con presupuesto limitado.

¿Necesitas un análisis forense de malware para una investigación judicial o corporativa? En Digital Perito realizamos análisis dinámico profesional con herramientas de sandbox de nivel enterprise y generamos informes periciales admisibles ante tribunales. Contacta con nosotros para evaluar tu caso.

Última actualización: Febrero 2026 Categoría: Herramientas Forenses Código: TOOL-002

Sandbox (Análisis de Malware)