Windows 10 en VMware sobre Ubuntu para usar software de origen desconocido

Windows 10 en VMware sobre Ubuntu para usar software de origen desconocido 

Enfoque: se utiliza Windows 10 virtualizado en VMware sobre Ubuntu para ejecutar software cuyo contenido no se conoce, minimizando el riesgo para el equipo real y para la red.

馃幆 Objetivo de seguridad

Se configura un laboratorio dom茅stico en el que el software potencialmente malicioso se ejecuta dentro de una m谩quina virtual (VM) y queda contenido mediante: 

 (1) aislamiento de red, 

(2) reducci贸n de canales de “escape” hacia el host, y 

(3) reversi贸n r谩pida a un estado limpio mediante snapshots

La virtualizaci贸n aporta una capa de aislamiento 煤til, pero no se considera un aislamiento absoluto; se requiere configuraci贸n segura y disciplina operativa, tal y como se recoge en las recomendaciones de NIST sobre tecnolog铆as de virtualizaci贸n. (Scarfone & Souppaya, 2011).

馃З Arquitectura recomendada (capas)

  • Host (anfitri贸n): Ubuntu (equipo real y “limpio”).
  • Hipervisor: VMware Workstation Pro (sobre Ubuntu).
  • Guest (invitado): Windows 10 (solo para pruebas).
  • Red: Host-Only para evitar Internet y la LAN f铆sica.

El modo Host-Only crea una red contenida en el host (por ejemplo, VMnet1) y limita la conectividad de la VM al propio anfitri贸n, reduciendo la exposici贸n a amenazas externas y la comunicaci贸n con infraestructuras de mando y control. (Broadcom, 2025a, 2025b).

馃洝️ Por qu茅 se prioriza “Host-Only” para software de origen desconocido

Cuando no se conoce el contenido real de un instalador, crack, herramienta “gratuita” o ejecutable descargado, se asume riesgo de:

  • troyanos (control remoto),
  • descarga de cargas adicionales (dropper),
  • ransomware y destrucci贸n de datos,
  • robo de credenciales o cookies,
  • persistencia (arranque autom谩tico) y sabotaje.

Con Host-Only se reduce especialmente la capacidad de: (a) descargar m贸dulos adicionales, (b) comunicarse con servidores externos, y (c) exfiltrar datos. No obstante, se mantiene que el aislamiento de red no es una defensa directa frente a un hipot茅tico VM escape (escape de la VM), por lo que se a帽aden medidas de endurecimiento. (MITRE, 2019).

⚙️ Configuraci贸n segura en VMware (Ubuntu host)

1) Red Host-Only

  1. Se configura el adaptador de red de la VM en modo Host-Only.
  2. Se verifica que la VM no tiene salida a Internet y no ve la red f铆sica.
  3. Se evita NAT o Bridged durante la fase de prueba.

Referencia t茅cnica del modo Host-Only y su configuraci贸n en Workstation Pro: Broadcom (2025a, 2025b).

2) Se desactivan canales de integraci贸n host↔guest

  • Se desactiva portapapeles bidireccional (copiar/pegar entre host y VM).
  • Se desactiva arrastrar y soltar.
  • Se desactivan carpetas compartidas (si se usan, se hace solo de forma temporal y se elimina despu茅s).
  • Se evita la conexi贸n autom谩tica de USB al invitado.

3) Snapshots (punto de retorno)

  1. Se crea un snapshot llamado, por ejemplo, “Windows 10 limpio” (estado base).
  2. Antes de cada prueba, se crea un snapshot adicional: “Pre-prueba”.
  3. Tras la ejecuci贸n, se revierte la VM al snapshot limpio.

4) Usuario est谩ndar dentro de Windows 10

Se ejecuta el software dudoso con un usuario sin privilegios administrativos siempre que sea viable. Este enfoque reduce impacto y dificulta modificaciones profundas del sistema.

馃摝 C贸mo introducir el archivo “dudoso” con el menor riesgo

Se prioriza un flujo con m铆nima interacci贸n host↔guest:

  1. Opci贸n recomendada: se monta una ISO con el archivo en la VM y se evita compartir carpetas.
  2. Opci贸n alternativa (temporal): se habilita carpeta compartida solo para copiar, se deshabilita inmediatamente y se elimina el archivo del host.
  3. Se evita ejecutar el archivo directamente desde el host o mantenerlo accesible de forma permanente.

馃攷 Ejecuci贸n controlada: qu茅 se observa durante la prueba

Durante la ejecuci贸n se act煤a como si se tratara de un entorno potencialmente comprometido:

  • no se introducen credenciales reales (correo, bancos, cuentas personales),
  • no se accede a informaci贸n sensible,
  • no se reutilizan contrase帽as del entorno real,
  • no se conecta la VM a Internet “para ver si funciona”.

Se monitoriza (observaci贸n b谩sica):

  • Procesos y consumo: Administrador de tareas / Monitor de recursos.
  • Alertas: Seguridad de Windows (historial de protecci贸n).
  • Persistencia: revisi贸n de elementos de inicio.

Como apoyo, se pueden utilizar herramientas de diagn贸stico de Sysinternals (p. ej., Process Explorer y Autoruns) para revisar procesos y entradas de autoarranque. (Microsoft, 2024; Microsoft, 2025).

馃П Endurecimiento de Windows 10 dentro de la VM

1) Se mantiene Microsoft Defender activo

Se activa la protecci贸n en tiempo real y se evita deshabilitarla, ya que parte del malware intenta desactivar defensas locales. En entornos gestionados, la tamper protection se utiliza para proteger ciertos ajustes de seguridad frente a cambios maliciosos. (Microsoft, 2025b).

2) Se valora “Controlled Folder Access” para mitigar ransomware

El acceso controlado a carpetas ayuda a proteger carpetas importantes frente a aplicaciones no autorizadas, con un enfoque especialmente 煤til ante ransomware. (Microsoft, 2025a; Microsoft, 2025c).

3) Se reduce la superficie de ataque

  • Se desinstala software innecesario.
  • Se minimizan permisos y se evita “ejecutar como administrador” por defecto.
  • Se deshabilitan servicios no necesarios para la prueba.

馃Ж ¿Y si el malware intenta “salir” de la VM (VM escape)?

Se considera que un VM escape requiere, t铆picamente, una vulnerabilidad explotable del hipervisor y un malware dise帽ado espec铆ficamente para ello. Este tipo de t茅cnica se asocia a amenazas avanzadas y a escenarios dirigidos, no al malware masivo. En cualquier caso, la virtualizaci贸n no se presenta como garant铆a absoluta, sino como un control que se refuerza con: (1) actualizaci贸n del hipervisor, (2) desactivaci贸n de integraciones host↔guest, y (3) uso de un host dedicado o de bajo valor. (Scarfone & Souppaya, 2011).

Adem谩s, se tiene en cuenta que muchos adversarios aplican t茅cnicas de virtualization/sandbox evasion para detectar que se ejecuta en VM y alterar su comportamiento (por ejemplo, “no hacer nada” o retrasar acciones). (MITRE, 2019).

✅ Procedimiento operativo recomendado (resumen en 10 pasos)

  1. Se utiliza un Ubuntu host actualizado y con uso preferentemente “de laboratorio”.
  2. Se instala VMware y se mantiene actualizado.
  3. Se crea una VM Windows 10 solo para pruebas.
  4. Se configura red Host-Only.
  5. Se desactivan portapapeles bidireccional, drag&drop, carpetas compartidas permanentes y USB autom谩tico.
  6. Se actualiza Windows 10 (fase previa) y se crea snapshot “Windows 10 limpio”.
  7. Se introduce el archivo dudoso mediante ISO o m茅todo temporal.
  8. Se ejecuta con usuario est谩ndar y sin credenciales reales.
  9. Se observa actividad (procesos/alertas/persistencia) y se documenta.
  10. Se revierte al snapshot limpio y se descarta el estado de la prueba.

馃摎 Integraci贸n en el 铆ndice del libro CIBERMURO (d贸nde se ubica)

Este contenido se integra de forma natural en el bloque de construcci贸n del entorno y aislamiento de Windows para tareas de riesgo. Se propone incorporarlo como un post/subapartado dentro del cap铆tulo de entorno CIBERMURO, y enlazarlo tambi茅n desde el cap铆tulo dedicado a uso seguro de Windows.

  • CAP脥TULO 3 · CREAR EL ENTORNO CIBERMURO
    • Post nuevo (propuesta): 3.X · Windows 10 virtualizado (VMware en Ubuntu) para ejecutar software de origen desconocido
    • Se conecta con: arranque dual, compartimentaci贸n y estrategia “Windows para tareas controladas”.
  • Cap铆tulo de Windows seguro (en el 铆ndice oficial 0–16):
    • Enlace cruzado (propuesta): apartado “Ejecuci贸n segura de software no confiable” (remite a este Post 3.X).

cibermuro 2026 

馃敆 Referencias 

  • Broadcom. (2025a, 10 octubre). Configuring Host-Only Networking. Broadcom TechDocs. https://techdocs.broadcom.com/
  • Broadcom. (2025b, 10 octubre). Configure Host-Only Networking for an Existing Virtual Machine. Broadcom TechDocs. https://techdocs.broadcom.com/
  • MITRE. (2019). Virtualization/Sandbox Evasion (T1497). MITRE ATT&CK. https://attack.mitre.org/techniques/T1497/
  • Microsoft. (2024, 6 febrero). Autoruns. Sysinternals (Microsoft Learn). https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
  • Microsoft. (2025, 16 diciembre). Process Explorer. Sysinternals (Microsoft Learn). https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
  • Microsoft. (2025a, 20 octubre). Protect important folders with controlled folder access. Microsoft Learn. https://learn.microsoft.com/en-us/defender-endpoint/controlled-folders
  • Microsoft. (2025b, 20 octubre). Protect security settings with tamper protection. Microsoft Learn. https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection
  • Microsoft. (2026, 5 enero). Enable controlled folder access. Microsoft Learn. https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders
  • Scarfone, K., & Souppaya, M. (2011). Guide to Security for Full Virtualization Technologies (NIST SP 800-125). National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-125.pdf