¿Cuál es la mejor sandbox online para malware?

Depende del caso de uso. ANY.RUN es la mejor para interactividad (puedes hacer clic, escribir, interactuar con el malware en tiempo real). Joe Sandbox produce el análisis más profundo y detallado. Hybrid Analysis es la mejor opción gratuita sin limitaciones significativas.

¿Es seguro subir muestras a sandboxes online?

Las muestras subidas a servicios gratuitos/community se comparten con otros investigadores y vendors de AV. Si analizas malware de un incidente interno, los IOCs y la muestra quedan expuestos. Para muestras confidenciales, usar CAPE self-hosted o la versión privada de los sandboxes comerciales.

¿Las sandboxes detectan todo el malware?

No. El malware con anti-sandbox avanzado (timing checks, human interaction checks, VM detection) puede no ejecutar su payload. Las sandboxes modernas contrarrestan muchas técnicas, pero el malware APT sofisticado puede evadir análisis automatizado.

¿Puedo analizar documentos Office y PDFs en sandboxes?

Sí. Todas las sandboxes principales soportan documentos Office (Word, Excel, PowerPoint) y PDFs. ANY.RUN permite interactuar (habilitar macros manualmente). Joe Sandbox ejecuta macros automáticamente y extrae el payload.

¿Las sandboxes analizan malware Linux?

Parcialmente. Joe Sandbox y CAPE soportan análisis de ELF Linux. ANY.RUN añadió soporte Linux recientemente. Hybrid Analysis tiene capacidad limitada. Para análisis profundo de malware Linux, un laboratorio propio con REMnux + QEMU sigue siendo preferible.

PrincipiantesandboxANY.RUNJoe SandboxHybrid Analysisanálisis automatizadocomparativa

ANY.RUN, Joe Sandbox y Hybrid Analysis: Sandboxes Online Comparadas

Comparativa técnica de las principales sandboxes online para análisis de malware. ANY.RUN (interactivo), Joe Sandbox (profundidad), Hybrid Analysis (gratuito), Triage y CAPE. Capacidades, limitaciones, precios y cuándo usar cada uno.

MalwareIntel Research·21 de mayo de 2026·7 min lectura

Serie: Entornos de Análisis — Parte 6

Sandboxes online: análisis en minutos sin infraestructura

Las sandboxes online ejecutan malware en entornos controlados en la nube y producen informes detallados en minutos. No necesitas montar un laboratorio propio para obtener un análisis behavioral de una muestra. Son la herramienta de triage más eficiente para un analista SOC que necesita clasificar alertas rápidamente.

Pero no todas las sandboxes son iguales. Cada una tiene fortalezas y limitaciones.

Comparativa general

Sandbox	Interactivo	Profundidad	Linux	Free tier	API	Privacidad
ANY.RUN	Sí (tiempo real)	Alta	Sí	1/día (community)	Sí	Community = público
Joe Sandbox	No	Muy alta	Sí	5/mes (community)	Sí	Community = público
Hybrid Analysis	No	Alta	Parcial	Ilimitado	Sí	Público
Triage (Hatching)	Parcial	Alta	Sí	10/día	Sí	Community = público
VirusTotal	No	Media	No	Con cuenta	Sí	Público
Intezer Analyze	No	Alta (genoma)	Sí	Limitado	Sí	Privado (tier)
CAPE (self-hosted)	No	Muy alta	Sí	Ilimitado	Sí	Privado (tu infra)

ANY.RUN

Fortalezas

Interactividad: la característica definitoria. Puedes interactuar con el malware en tiempo real:

Hacer clic en "Habilitar contenido" en documentos Office
Navegar a URLs en el navegador de la sandbox
Ejecutar archivos adjuntos manualmente
Escribir texto, mover el ratón
Simular comportamiento humano para evadir anti-sandbox del malware

Visualización en tiempo real: ves el escritorio de Windows en tu navegador mientras el malware se ejecuta. Puedes ver ventanas emergentes, cambios de wallpaper (ransomware), y todo lo que un usuario vería.

Informes claros: procesos en árbol, red, archivos, registro, MITRE ATT&CK mapping, IOCs extraídos, capturas de pantalla.

Proceso de uso

1. Crear cuenta (free o paid)
2. Upload file o Submit URL
3. Seleccionar configuracion:
   - OS: Windows 7/10/11
   - Office version (si es documento)
   - Duracion: 60/120/300 segundos
   - Red: conectada o restringida
   - Bitness: 32 o 64 bits
4. Observar en tiempo real:
   - Arbol de procesos (ver hijos, inyecciones)
   - Red (DNS, HTTP, TCP en tiempo real)
   - Archivos creados/modificados
   - Registro modificado
5. Interactuar si necesario
6. Descargar:
   - PCAP (trafico de red)
   - IOCs (CSV)
   - Dropped files (payloads descargados)
   - MITRE ATT&CK mapping
   - Screenshots

Limitaciones

Free tier: 1 análisis público/día, 60 segundos máximo
Community: muestras quedan públicas (no usar para incidentes internos)
Windows principalmente (Linux reciente, limitado)
Anti-sandbox: malware sofisticado puede detectar ANY.RUN

Precios (2026)

Plan	Precio	Submits	Privado	Duracion
Community	Gratis	1/día	No	60s
Hunter	~100 USD/mes	Ilimitado	Sí	300s
Enterprise	Custom	Ilimitado	Sí	Custom

Joe Sandbox

Fortalezas

Profundidad de análisis: el análisis más detallado de todas las sandboxes. Produce informes de 50-100+ páginas con:

Behavioral analysis con scoring de riesgo
Clasificación de familia de malware
YARA matches
Sigma matches
Detección de evasión (anti-debug, anti-sandbox)
Extracción de configuraciones de malware
Análisis de TLS certificates
Screenshot de cada fase de ejecución

Multi-plataforma: Windows (7/10/11), Linux, macOS, Android, iOS. El más completo en cobertura de plataformas.

Hyper-V evasion: Joe Sandbox usa tecnología propia de virtualización que es más difícil de detectar que VMware/VirtualBox.

Proceso de uso

1. Subir muestra a joesandbox.com/analysis
2. Seleccionar plataforma (Windows/Linux/macOS/Android)
3. Configurar opciones:
   - Duracion: 120-600 segundos
   - Simular Internet / red real
   - Office interaction automatica
   - VBA instrumentation
4. Esperar 3-10 minutos (analisis mas largo = mas profundo)
5. Informe disponible con:
   - Puntuacion de riesgo (0-100)
   - Clasificacion (malicious/suspicious/benign)
   - MITRE ATT&CK mapping completo
   - Detalles por cada tecnica detectada
   - IOCs, dropped files, PCAP

Limitaciones

Free tier muy limitado (5/mes, community, colas de espera)
Análisis no interactivo (automatizado)
Precios enterprise elevados
Muestras community quedan públicas

Hybrid Analysis (Falcon Sandbox)

Fortalezas

Gratuito e ilimitado: es la sandbox gratuita más generosa. Sin límite de submissions (con cuenta). Powered by CrowdStrike Falcon Sandbox.

Integración con VirusTotal: los resultados se comparten con VT y viceversa.

Buena extracción de IOCs: IPs, dominios, URLs, hashes de dropped files, registry changes.

API robusta: permite integración en workflows automatizados.

Limitaciones

No interactivo
Menos profundo que Joe Sandbox
Linux limitado
Todo es público (no hay opción privada en el free tier)
No siempre ejecuta correctamente malware que requiere interacción

Uso

1. Ir a hybrid-analysis.com
2. Upload file (o paste URL/hash)
3. Seleccionar entorno:
   - Windows 7/10 (32/64 bit)
   - Duracion automatica
4. Esperar 5-15 minutos
5. Informe:
   - Threat score
   - Procesos, red, archivos, registro
   - Screenshots
   - Extracted strings
   - MITRE ATT&CK
   - IOCs

Triage (Hatching)

Fortalezas

Rápido: resultados en 1-3 minutos
Buen análisis de red: extracción detallada de tráfico
Reglas Suricata/YARA: matching automático
Family detection: buena detección de familias conocidas
Linux support: mejor que Hybrid Analysis
10 submits/día gratis

Mejor para

Triage rápido cuando necesitas clasificar muchas muestras. Menos profundo que Joe Sandbox pero más rápido.

VirusTotal (behavioral)

Fortalezas

La base de datos más grande: 70+ engines AV
Behavioral report: ejecuta en sandbox y muestra actividad
Retrohunt: buscar muestras históricas por YARA rules
Graph: visualización de relaciones entre muestras

Limitaciones como sandbox

No interactivo
Behavioral report menos detallado que ANY.RUN/Joe
No pensado como sandbox primario sino como complemento

Mejor para

Primera consulta (buscar hash antes de analizar) y correlación con la base de datos más grande del mundo.

Cuándo usar cada sandbox

Escenario	Sandbox recomendado
Triage rápido de alerta SOC	ANY.RUN (interactivo) o Triage (rápido)
Documento Office sospechoso	ANY.RUN (puedes habilitar macros manualmente)
Análisis profundo de muestra desconocida	Joe Sandbox (máximo detalle)
Muchas muestras que clasificar	Hybrid Analysis (ilimitado) + Triage
Buscar si una muestra es conocida	VirusTotal (hash lookup primero)
Análisis de malware Linux	Joe Sandbox o CAPE self-hosted
Muestra de incidente interno (confidencial)	CAPE self-hosted (privado)
Integración con SOAR/SIEM	Cualquiera via API
Presupuesto cero	Hybrid Analysis + VT

Privacidad: consideraciones

Aspecto	Impacto
Muestras community son públicas	Cualquier investigador puede ver tu muestra
IOCs quedan indexados	Los IOCs del incidente quedan buscables
Adversarios monitorizan sandboxes	Algunos atacantes chequean VT para saber si su malware fue detectado
Datos sensibles en la muestra	Si el malware contiene datos de la víctima, quedan expuestos

Regla: muestras de incidentes internos con datos sensibles solo en sandboxes privados (CAPE, Joe Sandbox private, ANY.RUN private).

Automatización via API

ANY.RUN API

import requests

# Subir muestra
response = requests.post(
    "https://api.any.run/v1/analysis",
    headers={"Authorization": "API-Key YOUR_KEY"},
    files={"file": open("sample.exe", "rb")},
    data={"env_os": "windows", "env_version": "10"}
)
task_id = response.json()["data"]["taskid"]

# Obtener resultados
result = requests.get(
    f"https://api.any.run/v1/analysis/{task_id}",
    headers={"Authorization": "API-Key YOUR_KEY"}
)

Joe Sandbox API

import jbxapi

joe = jbxapi.JoeSandbox(apikey="YOUR_KEY")
submission = joe.submit_sample(open("sample.exe", "rb"))
analysis_id = submission["submission_id"]

# Esperar y obtener resultados
joe.analysis_download(analysis_id, type="html", path="report.html")

Mapeo MITRE ATT&CK

Los sandboxes mapean automáticamente el comportamiento del malware a ATT&CK. Ejemplo de output de ANY.RUN:

Comportamiento detectado	Técnica ATT&CK	Táctica
Macro ejecuta PowerShell	T1059.001	Execution
Crea Run key en registro	T1547.001	Persistence
Conecta a IP externa HTTPS	T1071.001	C2
Inyecta en svchost.exe	T1055.001	Defense Evasion
Elimina shadow copies	T1490	Impact

Fuentes y referencias

ANY.RUN. "Interactive Malware Analysis." https://any.run/
Joe Sandbox. "Automated Malware Analysis." https://www.joesandbox.com/
Hybrid Analysis. "Free Automated Malware Analysis." https://www.hybrid-analysis.com/
Hatching. "Triage: Malware Sandbox." https://tria.ge/
VirusTotal. https://www.virustotal.com/
CrowdStrike. "Falcon Sandbox." CrowdStrike.
kevoreilly. "CAPEv2." https://github.com/kevoreilly/CAPEv2

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Learning Malware Analysis (Monnappa)

Amazon (enlace afiliado)

Sandboxes online: análisis en minutos sin infraestructura

Comparativa general

ANY.RUN

Fortalezas

Proceso de uso

Limitaciones

Precios (2026)

Joe Sandbox

Fortalezas

Proceso de uso

Limitaciones

Hybrid Analysis (Falcon Sandbox)

Fortalezas

Limitaciones

Uso

Triage (Hatching)

Fortalezas

Mejor para

VirusTotal (behavioral)

Fortalezas

Limitaciones como sandbox

Mejor para

Cuándo usar cada sandbox

Privacidad: consideraciones

Automatización via API

ANY.RUN API

Joe Sandbox API

Mapeo MITRE ATT&CK

Fuentes y referencias

Preguntas frecuentes

Libros recomendados

Artículos relacionados