¿Puedo usar VMware en lugar de VirtualBox?

Sí. VMware Workstation Pro (ahora gratuito para uso personal) ofrece mejor rendimiento y snapshots más rápidos. La configuración de red aislada es equivalente.

¿Cuánta RAM necesito para el laboratorio?

Mínimo 16 GB para correr dos VMs simultáneamente (FlareVM Windows + REMnux Linux). Recomendado 32 GB para análisis fluido.

¿Es seguro analizar malware real en mi PC?

Sí, si sigues las reglas de aislamiento: red host-only o interna, snapshots antes de cada análisis, y nunca compartir carpetas entre host y VM de análisis.

¿FlareVM funciona en Windows 11?

Sí. FlareVM soporta Windows 10 y 11. Para análisis de malware legacy, mantén también una VM con Windows 7 sin actualizaciones.

Principiantelaboratoriovirtualboxflarevmremnuxprincipiante

Tu Primer Laboratorio: VirtualBox + FlareVM + REMnux

Configura tu primer laboratorio de análisis de malware con VirtualBox, FlareVM y REMnux. Guía paso a paso con configuración de red aislada y snapshots.

MalwareIntel Research·20 de mayo de 2026·4 min lectura

Serie: Entornos de Análisis — Parte 1

Por qué necesitas un laboratorio aislado

Analizar malware en tu sistema operativo principal es una receta para el desastre. Un laboratorio aislado te permite ejecutar muestras maliciosas sin riesgo para tus datos ni tu red.

Los tres pilares de un laboratorio seguro:

Aislamiento de red: las VMs no deben tener acceso a Internet ni a tu red local
Snapshots: poder volver al estado limpio en segundos
Separación de roles: una VM para análisis Windows (FlareVM), otra para análisis Linux (REMnux)

Requisitos de hardware

Componente	Mínimo	Recomendado
RAM	16 GB	32 GB
CPU	4 cores	8+ cores
Disco	100 GB libres	256 GB SSD
Virtualización	VT-x/AMD-V habilitado	Igual

Paso 1: Instalar VirtualBox

Descarga VirtualBox desde la página oficial. Instala también el Extension Pack para soporte USB y cifrado de disco virtual.

# Linux (Ubuntu/Debian)
sudo apt install virtualbox virtualbox-ext-pack

# macOS (Homebrew)
brew install --cask virtualbox virtualbox-extension-pack

Paso 2: Crear la red aislada

Configura una red interna (Internal Network) en VirtualBox. Esto permite comunicación entre VMs pero sin acceso al host ni a Internet.

VirtualBox → Archivo → Herramientas → Network Manager
Crear nueva red Host-Only: vboxnet0 (192.168.56.0/24)
Para las VMs de análisis, usar red Interna (no Host-Only)

La diferencia clave:

Host-Only: VMs se comunican con el host (útil para transferir archivos)
Internal Network: VMs solo se comunican entre sí (máximo aislamiento)

Para análisis real, usa Internal Network y transfiere muestras vía carpeta compartida temporal (desconectar después).

Paso 3: Instalar Windows + FlareVM

FlareVM es una colección de scripts que convierte un Windows limpio en una estación de análisis de malware con 140+ herramientas preinstaladas.

Instala Windows 10/11 en una VM (4 GB RAM, 80 GB disco)
Desactiva Windows Update y Windows Defender
Toma un snapshot (estado: "Windows limpio")
Abre PowerShell como administrador:

# Permitir ejecución de scripts
Set-ExecutionPolicy Unrestricted -Force

# Descargar e instalar FlareVM
(New-Object net.webclient).DownloadFile(
  'https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',
  "$env:TEMP\install.ps1"
)
Unblock-File "$env:TEMP\install.ps1"
& "$env:TEMP\install.ps1"

La instalación tarda 30-60 minutos. Al finalizar, toma otro snapshot (estado: "FlareVM limpio").

Herramientas incluidas en FlareVM

Debuggers: x64dbg, WinDbg, OllyDbg
Disassemblers: Ghidra, IDA Free, Binary Ninja (eval)
PE Analysis: PEStudio, PEBear, CFF Explorer
Monitoring: Process Monitor, Process Hacker, API Monitor
Network: Wireshark, FakeNet-NG, NetworkMiner
Utilities: HxD, 7-Zip, Notepad++, Python 3

Paso 4: Instalar REMnux

REMnux es una distribución Linux diseñada específicamente para reverse engineering y análisis de malware.

Descarga la OVA oficial de REMnux
Importa en VirtualBox (Archivo → Importar)
Configura la misma Internal Network que FlareVM
Asigna IP estática: 192.168.100.2/24

REMnux incluye:

Análisis estático: YARA, ssdeep, PEframe, pyew
Análisis de documentos: olevba, pdfid, pdf-parser
Red: INetSim (simulador de servicios), Wireshark, mitmproxy
Scripting: Python 3 con todas las librerías de análisis

Paso 5: Configurar INetSim en REMnux

INetSim simula servicios de Internet (HTTP, DNS, SMTP, FTP) para que el malware "crea" que tiene conectividad sin salir a la red real.

# En REMnux, editar configuración
sudo nano /etc/inetsim/inetsim.conf

# Cambiar bind_address a la IP de REMnux
service_bind_address 192.168.100.2

# Iniciar INetSim
sudo inetsim

En la VM Windows (FlareVM), configura:

DNS: apuntar a 192.168.100.2
Gateway: 192.168.100.2

Ahora todo el tráfico de red del malware será capturado por REMnux.

Paso 6: Workflow de análisis

1. Restaurar snapshot "FlareVM limpio"
2. Iniciar REMnux + INetSim
3. Transferir muestra a FlareVM (carpeta compartida temporal)
4. Desconectar carpeta compartida
5. Análisis estático (sin ejecutar la muestra)
6. Tomar snapshot pre-ejecución
7. Ejecutar muestra con monitoring activo
8. Capturar tráfico en REMnux
9. Documentar hallazgos
10. Restaurar snapshot limpio

Reglas de seguridad del laboratorio

NUNCA conectes la VM de análisis a Internet real
NUNCA compartas el portapapeles entre host y VM de análisis
SIEMPRE toma snapshot antes de ejecutar una muestra
SIEMPRE restaura al estado limpio entre análisis
NUNCA transfieras archivos del lab al host sin verificar
Mantén el host actualizado (las VMs son el sandbox, no el host)

Siguiente paso

Con el laboratorio configurado, el siguiente artículo cubre las herramientas y metodología de análisis estático: cómo examinar un binario sospechoso sin ejecutarlo.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.