Plataformas

Existen diversas plataformas en las que realizar CTFs o explotar máquinas preparadas para ello y así aprender de forma práctica, que a mi parecer es la mejor forma de aprender en este campo.

Red Team

Yo he practicado, menos de lo que me gustaría, en diversas plataformas centradas en la seguridad ofensiva, aquí os dejo un listado de algunas de ellas:

• HackTheBox (HTB): https://www.hackthebox.com/

• TryHackMe (THM): https://tryhackme.com/

• Vulnyx: https://vulnyx.com/

Proporcionan máquinas preparadas para practicar técnicas de explotación, dentro de un entorno controlado y con vulnerabilidades activas para ser aprovechadas.

Iré subiendo en el apartado de WRITEUPS guías sobre máquinas que haya conseguido completar.

Algunas de estas plataformas incluyen suscripciones de pago para poder practicar sin límites, ya que las cuentas gratuitas únicamente permiten realizar ciertas máquinas.

Blue Team

Además de estas plataformas para seguridad ofensiva, también existen algunas otras para seguridad defensiva, como podrían ser:

• CyberDefenders: https://cyberdefenders.org/

• LetsDefend: https://www.letsdefend.io/

Y si eres de a los que les gusta competir, también existen eventos o competiciones CTF organizadas a lo largo del año, como podrían ser la Academia Hacker de INCIBE y muchos más.

Purple Team

Y por último, os dejo una plataforma en la que hay cursos, un path con distintas dificultades e incluso una certificación para lo que sería una perfil mixto entre seguridad ofensiva y defensiva.

• CyberWarfare Labs: https://cyberwarfare.live/

Tienen formación en distintas ramas y organizado todo por paths según la rama y la dificultad.

Bug Bounty

El bug bounty es otro mundo dentro de la ciberseguridad práctica: aquí no se trata de máquinas preparadas, sino de encontrar vulnerabilidades reales en aplicaciones y sistemas de empresas que se ofrecen voluntariamente a ser auditadas a cambio de recompensas económicas o reconocimiento en rankings.

Algunas de las principales plataformas donde empezar son:

• secur0: https://secur0.com/es/hackers

• HackerOne: https://www.hackerone.com/

• Bugcrowd: https://www.bugcrowd.com/

• YesWeHack: https://www.yeswehack.com/

• Intigriti: https://www.intigriti.com/

• Open Bug Bounty: https://www.openbugbounty.org/

Cada plataforma tiene sus particularidades: algunas se centran más en programas privados por invitación, otras en programas públicos, y la recompensa puede variar desde reconocimiento en un hall of fame hasta pagos bastante jugosos.

De momento no he profundizado tanto como me gustaría en este campo, pero quiero dedicarle un apartado específico en el blog para documentar mi progreso, mis primeras experiencias y quizás algún writeup (obviamente cuidando no revelar información sensible ni vulnerabilidades activas).

Conclusión

Como ves, existen múltiples plataformas para aprender y practicar ciberseguridad, ya sea desde el lado ofensivo, defensivo, mixto o incluso enfrentándote a entornos reales a través de programas de bug bounty. Cada una aporta una perspectiva distinta y complementaria: unas te ayudan a mejorar la parte técnica de explotación, otras a entrenar detección y respuesta, y otras a acercarte a la realidad del mercado laboral y la investigación profesional.

La idea es ir explorando poco a poco, sin prisa pero sin pausa, probando distintos retos y documentando el camino. Así no solo refuerzas lo aprendido, sino que creas tu propio mapa de progresión dentro de la ciberseguridad.