¿Joe Sandbox es gratuito?

Joe Sandbox Cloud Basic es gratuito con análisis públicos limitados. Los planes comerciales (Pro, Complete, Ultimate) ofrecen análisis privados, más profundidad, API completa y soporte para múltiples plataformas.

¿Qué diferencia a Joe Sandbox de ANY.RUN?

Joe Sandbox se centra en profundidad de análisis automatizado con behavior graphs, scoring detallado y soporte multi-plataforma (Windows, macOS, Linux, Android, iOS). ANY.RUN destaca en interactividad en tiempo real. Joe Sandbox es más adecuado para análisis batch; ANY.RUN para investigación manual.

¿Qué es el Behavior Graph de Joe Sandbox?

Es una visualización que conecta todos los comportamientos del malware: procesos, ficheros, registro, red y técnicas MITRE. Permite entender la cadena de infección completa de un vistazo, desde el dropper inicial hasta la comunicación C2.

¿Joe Sandbox detecta malware evasivo?

Sí. Joe Sandbox implementa tecnología HCA (Hybrid Code Analysis) que combina análisis estático y dinámico. Además, incluye técnicas anti-evasion como Cookiebot (simula actividad de usuario) y Hypervisor-based analysis para detectar malware que evade sandboxes convencionales.

IntermedioJoeSandboxsandboxanálisiscloudmalwaredetección

Guía Práctica de Joe Sandbox: Análisis Profundo de Malware

Guía completa de Joe Sandbox para análisis profundo de malware. Flujo de detonación, reportes, scoring, behavior graphs y comparativa con ANY.RUN y CAPE.

MalwareIntel Research·22 de mayo de 2026·6 min lectura

Serie: Guías de Herramientas — Parte 6

Qué es Joe Sandbox

Joe Sandbox es una plataforma de análisis de malware que combina análisis estático, dinámico y de comportamiento en un solo flujo automatizado. Soporta múltiples plataformas (Windows, macOS, Linux, Android, iOS) y genera reportes extremadamente detallados con behavior graphs, scoring granular y mapeo MITRE ATT&CK.

Se distingue por la profundidad: donde otros sandboxes muestran qué hizo el malware, Joe Sandbox explica por qué es malicioso con evidencia categorizada.

Flujo de análisis

1. Enviar muestra

Opciones de submit:

Método	Formatos	Notas
Archivo	PE, Office, PDF, scripts, APK, IPA, ELF, Mach-O	Arrastra o sube via web
URL	HTTP/S	Navega y captura todo
Email	.eml, .msg	Analiza adjuntos y enlaces
Cookiebot	Cualquiera	Simula interacción humana

2. Configurar análisis

Opciones de configuracion:
  Sistema operativo: Windows 10/11, macOS, Linux, Android
  Profundidad: Quick (60s), Normal (120s), Deep (300s), Extended (600s)
  Red: Simulated (INetSim), Real Internet, VPN
  Anti-evasion: Cookiebot ON/OFF, HCA ON/OFF
  Formato reporte: HTML, PDF, JSON, XML, MISP

3. Detonación y monitorización

Joe Sandbox ejecuta la muestra en una VM limpia. Durante la ejecución:

Captura todas las API calls a nivel de kernel
Registra cambios en ficheros, registro y procesos
Captura tráfico de red completo
Toma screenshots del escritorio
Aplica Hybrid Code Analysis (HCA) combinando estática y dinámica

4. Reporte

El reporte de Joe Sandbox es uno de los más detallados del mercado:

Secciones del reporte

Overview

Veredicto con score numérico (0-100), clasificación (clean/suspicious/malicious) y resumen ejecutivo. Incluye:

Hashes del fichero (MD5, SHA1, SHA256, ssdeep)
Tipo de fichero, tamaño, timestamps
Score desglosado por categoría
Tags de clasificación (ransomware, trojan, stealer, etc.)

Process Tree

Árbol jerárquico completo de todos los procesos creados:

sample.exe (PID 1234)
  └── cmd.exe /c powershell -enc [base64] (PID 1235)
       └── powershell.exe (PID 1236)
            ├── schtasks.exe /create /tn "Update" (PID 1237)
            └── certutil.exe -urlcache -f http://... (PID 1238)
                 └── payload.exe (PID 1239)
                      └── cmd.exe /c vssadmin delete shadows (PID 1240)

Behavior Graph

Visualización conectada de toda la actividad maliciosa. Nodos representan procesos, ficheros, claves de registro, conexiones de red y técnicas MITRE. Edges muestran relaciones (creó, modificó, conectó, inyectó).

El behavior graph permite entender la cadena de ataque completa en segundos.

Network

DNS queries con respuestas y clasificación de reputación
HTTP/S requests con headers y body completos
Conexiones TCP/UDP raw
Certificados TLS extraídos
Detección de C2 patterns (beaconing, DGA)
Reglas Suricata/Snort que matchean

Dropped Files

Cada fichero creado durante la ejecución, con:

Hashes y tipo de fichero
Análisis estático rápido (strings, imports, entropy)
Detecciones de AV (si disponible)
Opción de reanalizar como nueva tarea

Signatures

Joe Sandbox tiene 1000+ firmas de comportamiento que detectan técnicas específicas:

Ejemplos de signatures:
  MALWARE: Creates known ransomware mutex "Global\RansomLock"
  EVASION: Queries registry for VM artifacts
  PERSISTENCE: Creates scheduled task for autostart
  INJECTION: WriteProcessMemory to remote process
  LATERAL: Uses WMI for remote execution
  EXFIL: Large HTTP POST to external IP

MITRE ATT&CK Mapping

Tabla completa de técnicas detectadas con evidencia (proceso, API call, artefacto) para cada una.

Sistema de scoring

Joe Sandbox usa un scoring multidimensional:

Categoría	Peso	Qué evalúa
Malware	40%	Firmas específicas de familias conocidas
Evasion	15%	Técnicas anti-análisis y anti-sandbox
Spreading	10%	Capacidad de propagación (red, USB, email)
Phishing	10%	Indicadores de phishing/social engineering
Exploit	15%	Explotación de vulnerabilidades
Compliance	10%	Actividad no maliciosa pero no deseada (PUP)

Score total 0-100. Thresholds:

0-25: Clean
26-50: Suspicious
51-75: Likely malicious
76-100: Malicious

Consejos para mejores análisis

Usa profundidad "Deep" o "Extended" para malware evasivo. Mucho malware tiene delays de 2-5 minutos antes de activarse. El modo Quick (60s) no los captura.
Activa Cookiebot. Simula clicks, movimiento de ratón y typing. Malware que detecta falta de actividad humana se detonará.
Revisa el behavior graph primero. Es la vista más eficiente para entender la cadena de ataque antes de profundizar en secciones individuales.
Compara reportes de diferentes SOs. Un malware puede comportarse diferente en Windows 10 vs Windows 7. Envía la misma muestra a múltiples entornos.
Exporta a MISP. Joe Sandbox genera eventos MISP directamente. Alimenta tu plataforma CTI con un click.

Plan gratuito vs comercial

Característica	Cloud Basic (gratis)	Pro	Complete
Análisis/mes	Limitados (públicos)	100+ (privados)	Ilimitados
Profundidad	Quick/Normal	Deep/Extended	Todas
SOs	Windows 10	Win + macOS	Todos
API	Limitada	Completa	Completa + SOAR
Behavior Graph	Sí	Sí	Sí
HCA	No	Sí	Sí
On-premise	No	No	Sí

Integración con flujos de trabajo

Joe Sandbox API - integración con SOAR/SIEM:

  # Enviar muestra via API
  curl -F [email protected] \
       -F apikey=YOUR_KEY \
       https://jbxcloud.joesecurity.org/api/v2/submission/new

  # Consultar resultado
  curl -d apikey=YOUR_KEY \
       -d webid=ANALYSIS_ID \
       https://jbxcloud.joesecurity.org/api/v2/analysis/info

  # Descargar reporte JSON
  curl -d apikey=YOUR_KEY \
       -d webid=ANALYSIS_ID \
       -d type=json \
       https://jbxcloud.joesecurity.org/api/v2/analysis/download

Comparativa: Joe Sandbox vs ANY.RUN vs CAPE

Aspecto	Joe Sandbox	ANY.RUN	CAPE
Interactividad	Cookiebot (automatizado)	Manual (tiempo real)	No
Profundidad	Muy alta (HCA)	Alta	Alta
Multi-plataforma	Win/Mac/Linux/Android/iOS	Win/Linux	Win/Linux/Android
Coste	Caro (enterprise)	Medio (plans desde 109 USD/m)	Gratis (self-hosted)
On-premise	Sí (Ultimate)	No	Sí
Config extraction	Limitado	No	Extenso (100+ familias)
Behavior Graph	Sí (único)	No	No
API	Completa	Completa	Completa
Mejor para	Análisis profundo batch	Investigación interactiva	SOC con infra propia

Fuentes y referencias

Joe Security. "Joe Sandbox Documentation." https://www.joesecurity.org/resources
Joe Security. "Joe Sandbox Cloud." https://www.joesandbox.com/
MITRE ATT&CK. "Enterprise Matrix." https://attack.mitre.org/
Sikorski, M. & Honig, A. "Practical Malware Analysis." No Starch Press, 2012.

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis

Amazon (enlace afiliado)