Microsoft Defender Application Guard se está eliminando gradualmente, lo que deja a muchos con la duda de qué hacer con esas aplicaciones no confiables. Si dependías de MDAG para ejecutar archivos sospechosos de forma segura, es un poco molesto, pero no es el final. Por suerte, existen algunas alternativas decentes, pero cada una tiene sus propias peculiaridades y requisitos. El objetivo es encontrar una que se adapte a tu configuración y evite que el malware dañe tu sistema.
Cómo reemplazar Microsoft Defender Application Guard con otras trampas de seguridad
Windows Sandbox: La máquina virtual desechable, rápida y sucia
Windows Sandbox es una función integrada que abre una sesión de Windows limpia y nueva cada vez que la inicias. Ideal para analizar rápidamente un archivo sospechoso sin poner en riesgo tu PC principal. Aísla las aplicaciones creando una máquina virtual ligera, por lo que cualquier malware permanece en ese sandbox.¿El truco? Necesitas Windows 10 Pro o Enterprise, y la virtualización de hardware debe estar habilitada en la BIOS, porque, por supuesto, Windows tiene que complicarlo más de lo necesario.
Aquí te explicamos cómo activarlo si aún no lo está:
- Abra el Panel de control, luego vaya a Programas > Activar o desactivar características de Windows.
- Desplácese hacia abajo para encontrar Windows Sandbox y marque la casilla.
- Haga clic en Aceptar y reinicie su PC.
Una vez reiniciado, simplemente busque Windows Sandbox en el menú de inicio e inícielo. Verá un escritorio de Windows en blanco: un entorno limpio y perfecto para analizar archivos sospechosos. No espere acceder a sus archivos personales desde allí, ya que está completamente aislado.
Microsoft Defender SmartScreen: la protección integrada del navegador
SmartScreen lleva tiempo disponible. Es un filtro en segundo plano que compara URLs y descargas con una enorme base de datos de archivos conocidos, tanto malos como buenos. Al visitar un sitio web sospechoso o intentar ejecutar una aplicación marcada como peligrosa, SmartScreen muestra una advertencia. El problema es que está integrado en Microsoft Edge, así que si ya usas Edge, estás prácticamente protegido sin problemas. En algunas configuraciones, parece estar activado y automático, pero a veces es necesario asegurarse de que esté habilitado en Configuración > Privacidad y seguridad > Seguridad de Windows.
Azure Virtual Desktop (AVD): una fortaleza basada en la nube
Ahora bien, si busca un entorno aislado con seguridad empresarial, AVD es una opción sólida, aunque un poco excesivo para la mayoría. Es un servicio de escritorio remoto alojado en Azure, por lo que ejecuta aplicaciones en una máquina virtual en la nube, no en su equipo local. Se conecta mediante el Protocolo de Escritorio Remoto (RPP RDP) y trabaja dentro de un entorno virtual de Windows. Esto aísla totalmente los archivos de riesgo, pero no es económico y suele requerir conocimientos de TI para su configuración. No es precisamente intuitivo para tareas cotidianas.
Más información aquí: Azure Virtual Desktop.
Sandboxie-Plus: El campeón de la contención de código abierto
Sandboxie-Plus es una leyenda en la comunidad: una evolución del Sandboxie original. Crea una «zona de contención» donde puedes ejecutar navegadores, descargar e incluso instalar aplicaciones sin poner en riesgo tu sistema. Al cerrar la aplicación protegida, se borra todo su contenido. Es muy útil para probar archivos o navegar si eres un poco paranoico. Puedes descargarlo aquí: https://sandboxie-plus.com/.
Kasm Workspaces: Transmite aplicaciones desde la nube
Si no te importa la complejidad (y pagar un poco), Kasm es bastante práctico. Transmite un entorno completo de escritorio o navegador Linux desde un servidor, ya sea el tuyo o el de ellos. Esto significa que las aplicaciones se ejecutan en un contenedor remoto que se destruye al cerrar sesión, impidiendo así que el malware se instale. No requiere instalación; solo acceso a través de tu navegador. Ten en cuenta que es costoso y requiere cierta configuración, pero es muy flexible. Más información: https://kasm.com/.
Otras herramientas y trucos que podrías considerar
- Modo de seguridad mejorado en Microsoft Edge (para una navegación más segura)
- Vista protegida de Office (para archivos en aplicaciones de Office)
- Seguridad basada en virtualización (VBS) y aislamiento de Hyper-V (más avanzado, depende del hardware)
- Configuraciones de VMware Workstation o VirtualBox
- Reglas de reducción de la superficie de ataque de Microsoft Defender for Endpoint
- Herramienta de bloqueo FrontFace (más antigua, pero aún útil para bloqueos)
- Control de aplicaciones de Windows Defender (para una revisión estricta de las aplicaciones)
Si busca una solución alternativa semipermanente, gratuita y bastante efectiva, Windows Sandbox suele ser la más fácil de configurar. Para mayor seguridad y control, Sandboxie-Plus es una buena segunda opción. Depende de cuánto trabajo quiera gestionar y de la capacidad de su hardware.
¿Pueden todos estos ejecutarse en Windows Home?
No del todo. Windows Sandbox y algunas otras opciones como VBS o Hyper-V requieren las ediciones Windows Pro, Enterprise o Education. Los usuarios de Windows Home no tienen mucha suerte a menos que actualicen. Las opciones en la nube como Kasm o AVD no dependen mucho del sistema operativo local (ya que todo el entorno se ejecuta de forma remota), pero podrían requerir suscripciones o configuración adicional. Por lo tanto, es recomendable planificar con antelación el sistema operativo.
¿Qué alternativa ofrece la mejor seguridad para archivos dudosos?
Sinceramente, las soluciones remotas como Azure Virtual Desktop o Kasm son las más seguras, ya que nada arriesgado llega a tu hardware. Si buscas algo local y desechable, Windows Sandbox es bastante bueno, aunque es más bien para pruebas informales. Sandboxie-Plus ofrece una contención ligera, pero no es tan robusto. SmartScreen solo marca los archivos maliciosos; no aplica ningún tipo de aislamiento, por lo que no es tan seguro para la gestión activa de malware.
En definitiva, elegir la alternativa adecuada depende de lo que te resulte cómodo gestionar y del nivel de seguridad que necesites.¿La buena noticia? Hay opciones viables y mucha más flexibilidad de la esperada.