secure-os.org
ENFRESDEITPT
Todas las guíasQubes OSTailsWhonixLinux endurecidoCifrado de discoModelo de amenaza
linux

¿Qué es el sandboxing en Linux? Aísla apps para mantenerte seguro (2026)

secure-os· Actualizado 22 de junio de 2026· 5 min de lectura #linux#sandboxing#security#isolation#hardening
Filas de contenedores de carga apilados en un buque de carga por la noche

El sandboxing en Linux es una de las ideas de seguridad más prácticas que puedes aplicar en un escritorio. La idea es simple: ejecuta cada app en un espacio confinado, para que si alguna vez se ve comprometida, el atacante quede atrapado dentro y no pueda llegar al resto de tu sistema. Esta guía explica qué es el sandboxing, las principales herramientas que lo hacen en Linux, y dónde encaja en una configuración de seguridad real.

La respuesta corta

  • El sandboxing confina una aplicación — limitando los archivos, dispositivos y la red a los que puede acceder — para que un fallo o una app maliciosa no pueda propagarse.
  • El objetivo es la contención. Asumes que algo puede salir mal y te aseguras de que el radio del daño sea pequeño.
  • En Linux ya lo usas más de lo que crees: las apps de Flatpak, los navegadores y los contenedores dependen del sandboxing por debajo.

Qué hace realmente un sandbox

Un programa normal se ejecuta con todos los permisos del usuario que lo inició. Si se explota, el atacante hereda esos permisos: tus archivos, tu carpeta personal, tu red. Un sandbox rompe esa suposición. Envuelve la app en un entorno restringido y solo le entrega lo que realmente necesita: quizá una carpeta, sin webcam, sin acceso al resto de tus archivos.

Código fuente mostrado en una pantalla oscura
El sandboxing envuelve un programa en un espacio confinado: si la app se explota, el atacante queda atrapado dentro en lugar de llegar al resto de tu sistema.

Las principales herramientas de sandboxing en Linux

No tienes que construir esto tú mismo. Varias herramientas maduras lo ofrecen:

  • Flatpak — empaqueta apps de escritorio con un sandbox incorporado, así cada app recibe acceso limitado por defecto. Puedes ajustar los permisos con una herramienta como Flatseal.
  • Firejail — un envoltorio ligero que aísla casi cualquier programa existente con un solo comando, usando perfiles por defecto sensatos.
  • bubblewrap — la herramienta de bajo nivel sobre la que se construyen muchos sandboxes (incluido Flatpak); crea el entorno restringido.
  • Contenedores (Docker, Podman) — aíslan servicios completos, muy usados para servidores y desarrollo.

El sandboxing no es una solución mágica

Aquí está la parte honesta. Un sandbox reduce el riesgo; no lo elimina. Un atacante decidido puede encontrar la forma de “escapar” de un sandbox débil, y una herramienta a la que concedes permisos amplios apenas está aislada. El sandboxing tampoco protege contra todo: limita lo que una app comprometida puede alcanzar, pero no evitará que caigas en un phishing o que ejecutes malware en el que confías de forma explícita. Es una capa fuerte, no el muro entero.

Dónde encaja: defensa en profundidad

La forma correcta de pensar en el sandboxing es como una capa entre varias. Mantienes tu sistema actualizado, usas un modelo de amenazas para decidir qué importa, aíslas las apps de riesgo con un sandbox, y también proteges la capa de red, ya que aislar una app no hace nada por ocultar lo que revela tu conexión.

En resumen

El sandboxing en Linux es la práctica de confinar apps para que un compromiso quede contenido. Ya te beneficias de él a través de Flatpak, los navegadores y los contenedores, y puedes extenderlo a casi cualquier programa con Firejail. No es un escudo mágico — se puede escapar de los sandboxes y los demasiado permisivos apenas ayudan — pero como una capa en una defensa en profundidad, reduce drásticamente lo que puede salir mal.

Preguntas frecuentes

¿Qué es el sandboxing en términos simples?

El sandboxing ejecuta una app en un espacio restringido y aislado, dándole acceso solo a lo que de verdad necesita. Si la app es hackeada o resulta ser maliciosa, el daño queda dentro del sandbox en lugar de propagarse a tus archivos y al resto de tu sistema.

¿Es Flatpak un sandbox?

Sí. Flatpak empaqueta apps de escritorio con un sandbox incorporado, así cada app se ejecuta con acceso limitado por defecto. Puedes revisar y ajustar esos permisos con una herramienta gráfica como Flatseal, lo cual es un buen hábito para las apps en las que no confías del todo.

¿Se puede escapar de un sandbox?

A veces. Un sandbox reduce el riesgo, pero no lo elimina. Un atacante decidido puede escapar de sandboxes débiles o demasiado permisivos, y una app a la que concedes acceso amplio apenas está confinada. Trata el sandboxing como una capa fuerte de defensa, no como una garantía.

¿Cuál es la diferencia entre un sandbox y un contenedor?

Se solapan. “Sandbox” suele describir el confinamiento de una sola app de escritorio (Flatpak, Firejail), mientras que “contenedor” (Docker, Podman) suele describir el aislamiento de un servicio o entorno completo. Ambos dependen de las mismas funciones de aislamiento de Linux para mantener separado del host lo que se ejecuta dentro.