Guía completa sobre cómo usar scripts .wsb para configurar Windows Sandbox

En el universo de la seguridad y la experimentación en Windows, pocos recursos resultan tan útiles como el entorno Windows Sandbox. Esta función, disponible para las ediciones profesionales y empresariales de Windows, permite crear un espacio completamente aislado para realizar pruebas, abrir archivos sospechosos o instalar software sin temor a dañar el sistema principal.

Sin embargo, la verdadera magia de Windows Sandbox está en su capacidad de personalización avanzada a través de scripts con extensión .wsb. Estos archivos permiten definir ajustes concretos, adaptar recursos y, sobre todo, convertir Sandbox en tu propio laboratorio personalizable. A lo largo de este artículo descubrirás todas las claves para dominar esta herramienta y sacarle el máximo partido, tanto si eres un usuario curioso como si necesitas protegerte del software potencialmente peligroso.

¿Qué es Windows Sandbox y para qué sirve?

Windows Sandbox es una funcionalidad exclusiva de Windows 10 Pro, Enterprise y Windows 11 Pro que crea un entorno virtual y desechable sobre el sistema operativo. Este espacio ejecuta una instancia limpia y temporal de Windows, completamente separada de tus archivos y programas habituales. Aquí, puedes probar aplicaciones, abrir adjuntos dudosos o visitar webs de riesgo sin que nada de lo ocurrido dentro del Sandbox afecte a tu equipo real.

Cuando cierras la ventana de Sandbox, todo lo que hiciste se borra automáticamente, así que cualquier posible amenaza queda confinada y destruida en ese entorno virtual. Es una especie de «laboratorio efímero» pensado para la seguridad, la experimentación y el aprendizaje sin riesgos.

Ediciones de Windows compatibles y requisitos previos

Para acceder a esta función necesitas sí o sí una edición Pro o Enterprise de Windows. Las versiones Home no incluyen esta prestación de fábrica. Además, tu equipo debe cumplir ciertos requisitos para garantizar el arranque y funcionamiento fluido de Sandbox:

• Windows 10 Pro o Enterprise (1903 o superior) o Windows 11 Pro/Enterprise
• Procesador de 64 bits con soporte de virtualización (Intel VT-x o AMD-V)
• Al menos 4 GB de RAM (se recomienda 8 GB para mejor rendimiento)
• Espacio libre en disco: Mínimo 1 GB, más dependiendo del uso
• 2 núcleos de CPU mínimo (mejor con 4 o más núcleos)
• Virtualización habilitada en la BIOS/UEFI

Si tu sistema los cumple, puedes activar Sandbox desde Panel de control > Programas > Activar o desactivar características de Windows, marcando la casilla «Espacio aislado de Windows» y reiniciando el equipo cuando lo pida.

Funcionamiento básico: Qué ocurre dentro de Sandbox

Al ejecutar Windows Sandbox, verás una especie de mini Windows limpio, normalmente en inglés y sin licenciar. No tiene acceso por defecto a tus ficheros ni programas, y cada vez que lo reinicias, todo queda como recién instalado. Sólo lo que hagas dentro, queda dentro.

Esto te permite abrir con tranquilidad ese software del que desconfías, examinar adjuntos de correo sospechosos o incluso trastear con configuraciones del sistema. Es perfecto tanto para usuarios preocupados por la seguridad como para desarrolladores que necesitan entornos de pruebas desechables.

¿Por qué usar archivos .wsb para personalizar Windows Sandbox?

Aunque el Sandbox estándar cumple con el aislamiento básico, sus opciones por defecto son limitadas. Los archivos .wsb permiten ir mucho más allá: puedes asignar más RAM, compartir carpetas específicas del host, habilitar o bloquear acceso a red o GPU, y lanzar scripts o programas automáticamente al inicio. Así conviertes Windows Sandbox en un entorno hecho a tu medida y adaptado a cada caso de uso.

Los archivos .wsb son simples documentos de texto en formato XML que Windows utiliza para crear la configuración personalizada de cada sesión de Sandbox. Al ejecutarlos, se abre automáticamente una nueva instancia de Sandbox con todos los parámetros que hayas definido.

Cómo crear y usar un archivo .wsb paso a paso

Crear un archivo .wsb es tan sencillo como seguir estos pasos:

1. Abre un editor de texto sencillo, como el Bloc de notas o Visual Studio Code.
2. Escribe la estructura básica del archivo:

   <Configuration>
     <!-- Aquí irán los parámetros personalizados -->
   </Configuration>
   

3. Rellena los campos según tus necesidades (más adelante entramos al detalle de cada parámetro).
4. Guarda el archivo con la extensión .wsb, por ejemplo, MiSandboxPersonalizado.wsb. Es importante poner el nombre entre comillas dobles al guardar desde el Bloc de notas para evitar que añada por defecto la terminación .txt.

Para lanzar el Sandbox personalizado, simplemente haz doble clic sobre el archivo .wsb. Si es la primera vez, quizá te pida que selecciones la aplicación «Espacio aislado de Windows» como predeterminada para abrir estos archivos.

Parámetros y opciones de configuración en los archivos .wsb

Cada archivo .wsb puede contener distintas secciones para ajustar al milímetro el funcionamiento del Sandbox. Aquí tienes las más importantes con ejemplos de uso:

• vGPU: Permite habilitar o deshabilitar la aceleración gráfica mediante GPU virtual.
• Networking: Controla si el Sandbox tiene acceso a la red o no.
• MappedFolders: Mapear carpetas del equipo principal dentro del entorno aislado, con opciones de solo lectura o escritura.
• LogonCommand: Ejecuta comandos, scripts o programas automáticamente al iniciar Sandbox.
• MemoryInMB: Define la cantidad de memoria RAM que el Sandbox puede usar.
• AudioInput, VideoInput: Habilita o bloquea la entrada de audio (micrófono) o vídeo (cámara web).
• ClipboardRedirection: Permite o bloquea copiar y pegar entre el Sandbox y el host.
• PrinterRedirection: Controla si las impresoras del host pueden usarse dentro del Sandbox.
• ProtectedClient: Activa una capa de seguridad extra mediante el modo protegido de AppContainer.

Ejemplo básico de archivo .wsb para probar un fichero descargado sin conectividad de red y con sólo lectura a la carpeta Descargas:

<Configuration>
  <VGpu>Disable</VGpu>
  <Networking>Disable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\temp</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe C:\temp</Command>
  </LogonCommand>
</Configuration>

Con este archivo lanzas un Sandbox sin red, sin acceso a GPU, con la carpeta Descargas en modo seguro y abriendo automáticamente esa carpeta al arrancar.

Profundizando en cada parámetro clave de los archivos .wsb

Para adaptar aún más el entorno, es conveniente comprender cada opción:

• vGPU: Usa <vGPU>Enable</vGPU> para activar la GPU virtual (más rendimiento gráfico), o Disable para mejorar el aislamiento (especialmente útil frente a posibles amenazas que podrían atacar la GPU). Para más detalles, puedes consultar cómo usar winget en Windows.
• Networking: <Networking>Enable</Networking> da acceso a internet y a la red local, mientras que Disable impide cualquier conexión, ideal para evitar fugas de información.
• MappedFolders: Puedes asignar tantas carpetas como necesites. El parámetro ReadOnly determina si desde el Sandbox sólo se puede leer o también modificar el contenido en la carpeta compartida. Ejemplo para compartir una carpeta de proyectos:

  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\MiTrabajo\Proyectos</HostFolder>
      <SandboxFolder>C:\SandboxProyectos</SandboxFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
  <;/MappedFolders>
  

• LogonCommand: Para ejecución automática de scripts, programas o incluso instalaciones.

  <LogonCommand>
    <Command>C:\SandboxProyectos\InstalaMiSoftware.cmd</Command>
  </LogonCommand>
  

• MemoryInMB: Especifica la cantidad de memoria, por ejemplo <MemoryInMB>8192</MemoryInMB> para 8 GB de RAM en el Sandbox. Si pones menos de 2048, Windows aumenta automáticamente al mínimo necesario.
• AudioInput y VideoInput: Controlan si se comparte el micro o la cámara. Por defecto, el micro está habilitado, la cámara deshabilitada.
• ClipboardRedirection y PrinterRedirection: Permiten o bloquean copiar y pegar y el uso de impresoras.
• ProtectedClient: Activa el modo AppContainer para seguridad extra; útil en escenarios muy sensibles.

Artículo relacionado:

Espacio aislado de Windows (WSB): Guía definitiva para usar Windows Sandbox

Ejemplos prácticos y avanzados usando scripts .wsb

Una de las ventajas de dominar los .wsb es que puedes adaptar el entorno a tareas muy diversas. Aquí tienes algunos escenarios útiles:

1. Compartir proyectos y ejecutar scripts complejos

¿Necesitas instalar Visual Studio Code y trabajar con proyectos asignados desde el host? Usa un .wsb con varias carpetas mapeadas y un script de instalación automatizado:

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\SandboxScripts</HostFolder>
      <SandboxFolder>C:\temp\sandbox</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
    <MappedFolder>
      <HostFolder>C:\CodingProjects</HostFolder>
      <SandboxFolder>C:\temp\Projects</SandboxFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\temp\sandbox\VSCodeInstall.cmd</Command>
  </LogonCommand>
</Configuration>

En este caso, VSCodeInstall.cmd sería un script que descarga e instala VS Code automáticamente en el entorno aislado. Para más ayuda, puedes visitar cómo usar Windows Sandbox.

2. Automatizar tareas administrativas con PowerShell

Supón que necesitas que el Sandbox adapte automáticamente una configuración del sistema, como intercambiar los botones del ratón solo dentro de Sandbox. Puedes compartir la carpeta y lanzar un script de PowerShell como comando de inicio:

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\sandbox</HostFolder>
      <SandboxFolder>C:\sandbox</SandboxFolder>
      <ReadOnly>True</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>powershell.exe -ExecutionPolicy Bypass -File C:\sandbox\SwapMouse.ps1</Command>
  </LogonCommand>
</Configuration>

Consejos y advertencias de uso

Todo lo que añades en modo lectura-escritura a una carpeta compartida desde el Sandbox puede afectar el host. Si borras un archivo desde Sandbox y tienes el mapeo en modo escritura, ese archivo se eliminará también de tu equipo real. Usa la opción de sólo lectura cuando quieras proteger tus datos.

Al cerrar Sandbox, todo su contenido desaparece. No existe la posibilidad de guardar su estado ni hacer “snapshots”: está pensado como entorno efímero y seguro, ideal para pruebas rápidas.

El acceso a internet puede ser útil para instalar programas o probar descargas, pero supone un riesgo añadido. Si solo quieres experimentar con archivos concretos, desactiva la red siempre que puedas.

No olvides reservar suficiente memoria RAM y recursos de CPU. Si el entorno va lento, ajusta los parámetros de memoria de tus scripts .wsb.

Por último, recuerda que existen archivos .wsb de ejemplo listos para descargar y adaptar, así como una comunidad creciente compartiendo configuraciones para distintos usos en foros técnicos y blogs especializados.

Windows Sandbox, gestionado a través de archivos .wsb, es mucho más que una simple caja de pruebas: es tu garantía de seguridad ante software desconocido y un aliado indispensable para quienes desean experimentar sin riesgos. Si combinas sus opciones de personalización con prácticas responsables (como usar mapeos en solo lectura y limitar la conectividad), convertirás cualquier equipo compatible en un espacio seguro, ágil y listo para aprender o protegerte.

Artículo relacionado:

Cómo usar Windows Sandbox para probar software de forma segura y sin riesgos

Isaac

Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.