← Volver al inicio

Plataformas de Práctica

Leer ayuda, pero en ciberseguridad necesitas practicar.

La práctica debe hacerse en entornos legales y controlados. Estas plataformas existen precisamente para eso: aprender sin tocar sistemas ajenos, sin poner en riesgo a terceros y sin meterte en problemas.

Cómo Elegir Plataforma

No todas sirven para lo mismo.

Antes de elegir, pregúntate:

  • ¿Quiero aprender desde cero?
  • ¿Quiero practicar Blue Team?
  • ¿Quiero seguridad web?
  • ¿Quiero CTFs?
  • ¿Quiero forense?
  • ¿Quiero cloud?
  • ¿Quiero algo guiado o algo más libre?

Elegir bien evita frustración.

TryHackMe

TryHackMe es una de las mejores plataformas para empezar.

Tiene rutas guiadas, salas introductorias y explicaciones paso a paso. Es útil si todavía estás aprendiendo Linux, redes, web, Blue Team, herramientas básicas o metodología.

Su mayor ventaja es que no te deja completamente solo. Te acompaña.

Úsala para:

  • Fundamentos.
  • Linux básico.
  • Redes básicas.
  • Introducción a seguridad web.
  • Blue Team inicial.
  • SOC básico.
  • Práctica guiada.

Cuida no depender siempre de pistas. La meta es usar la guía para construir base y después intentar retos con menos ayuda.

Hack The Box

Hack The Box es más retador.

Muchas máquinas no explican cada paso. Te obligan a enumerar, probar, equivocarte, leer, documentar y volver a intentar. Eso puede frustrar, pero también forma criterio.

Úsala cuando ya tengas algo de base en:

  • Linux.
  • Redes.
  • Servicios comunes.
  • Web.
  • Enumeración.
  • Privilege escalation.
  • Metodología.

No pasa nada si al principio no resuelves mucho. Parte del aprendizaje es aguantar la incertidumbre.

PortSwigger Web Security Academy

PortSwigger Web Security Academy es excelente para seguridad web.

Tiene explicaciones y laboratorios sobre vulnerabilidades reales de aplicaciones: access control, XSS, SQL Injection, SSRF, CSRF, autenticación, lógica de negocio y más.

Úsala si te interesa:

  • AppSec.
  • Bug bounty.
  • Pentesting web.
  • OWASP Top 10.
  • APIs.
  • Burp Suite.

Es de las mejores formas de aprender web de manera legal y ordenada.

OverTheWire

OverTheWire es una plataforma clásica para aprender desde terminal.

Bandit, uno de sus retos más conocidos, ayuda a practicar Linux, archivos, permisos, comandos, conexiones SSH y pensamiento básico de CTF.

Úsala si quieres perderle miedo a:

  • Terminal.
  • SSH.
  • Comandos Linux.
  • Permisos.
  • Archivos ocultos.
  • Lectura de pistas.

Es simple, pero muy formativa.

picoCTF

picoCTF está pensado para principiantes y estudiantes.

Tiene retos de distintas categorías: web, criptografía, forense, reversing, binarios y misceláneos. Es una buena entrada al mundo CTF sin sentir que todo está diseñado para expertos.

Úsala si quieres:

  • Probar muchas áreas.
  • Aprender con retos cortos.
  • Entender categorías CTF.
  • Practicar sin presión.

CyberDefenders

CyberDefenders está más orientado a Blue Team.

En lugar de enfocarse solo en vulnerar máquinas, muchos retos tratan de investigar evidencia: logs, tráfico, archivos, memoria, incidentes y comportamiento sospechoso.

Úsala si te interesa:

  • SOC.
  • Análisis de logs.
  • Forense.
  • Malware básico.
  • Threat hunting.
  • Respuesta a incidentes.

Es buena para entrenar mentalidad defensiva.

Blue Team Labs

Blue Team Labs también se enfoca en práctica defensiva.

Puede ayudarte a trabajar casos de investigación, análisis de evidencia y escenarios más cercanos a tareas de un analista defensivo.

Úsala si quieres practicar:

  • Alertas.
  • Evidencia.
  • Investigación.
  • Reportes.
  • Detección.
  • Análisis defensivo.

OWASP WebGoat

OWASP WebGoat es una aplicación vulnerable creada para aprender.

Puedes instalarla en un entorno controlado y practicar fallas web comunes. Es útil para entender cómo se ven vulnerabilidades desde dentro de una app diseñada para enseñar.

Úsala si estás estudiando:

  • OWASP Top 10.
  • Validación de entrada.
  • Autenticación.
  • Autorización.
  • Sesiones.
  • Fallas web comunes.

VulnHub

VulnHub ofrece máquinas vulnerables descargables.

Normalmente las corres en tu propia máquina virtual. Es útil si quieres practicar en laboratorio local y entender cómo montar entornos.

Úsala si quieres:

  • Practicar sin depender de una plataforma cloud.
  • Aprender virtualización.
  • Resolver máquinas vulnerables.
  • Documentar writeups.

Docker Labs Locales

También puedes practicar creando tus propios laboratorios con Docker.

Esto es útil para entender cómo se despliegan apps, bases de datos, APIs y servicios. Puedes montar apps vulnerables, revisar logs, configurar redes y romper cosas sin afectar terceros.

Úsalo para:

  • AppSec.
  • APIs.
  • Bases de datos.
  • Logs.
  • Contenedores.
  • Redes internas.

Recomendación Por Ruta

Si estás empezando:

  • TryHackMe.
  • OverTheWire.
  • picoCTF.

Si quieres AppSec:

  • PortSwigger Web Security Academy.
  • OWASP WebGoat.
  • Docker labs.

Si quieres Blue Team:

  • CyberDefenders.
  • Blue Team Labs.
  • TryHackMe SOC.

Si quieres pentesting ético:

  • TryHackMe.
  • Hack The Box.
  • VulnHub.

Regla de Seguridad

Practica donde está permitido.

Una plataforma de práctica existe para que aprendas sin afectar a nadie. No lleves técnicas fuera de esos entornos sin permiso explícito.

← Anterior

Roadmap Inicial de 90 Días

Siguiente →

Glosario de Cultura Hacker

En esta página