Antes de empezar: practicar CTF es la forma más segura y efectiva de entrenar habilidades de hacking ético en entornos controlados. Este guía reúne las mejores webs y plataformas para todos los niveles ( desde iniciación hasta avanzado) y por especialidad (web, pwn, crypto, forense, OSINT y Active Directory). El objetivo es claro: saber dónde practicar, cómo elegir cada recurso según metas y tiempo disponible, y qué combinación ofrece el mayor retorno de aprendizaje.
Plataformas “todo en uno” (de principiante a avanzado)
Hack The Box (HTB). Ecosistema completo con máquinas de distintos niveles, retos por categorías y laboratorios guiados. Resulta idóneo para afianzar enumeración, escalada de privilegios y movimiento lateral. En entornos corporativos, la transferencia de habilidades es directa: técnicas como SQLi, XXE o padding oracle funcionan igual; cambia el contexto, no el concepto. Un caso frecuente: con 20–30 máquinas resueltas se logra una base sólida para el primer salto a auditorías internas.
TryHackMe (THM). Ideal para empezar: rutas guiadas, lecciones cortas y laboratorios con objetivos claros. Ayuda a construir hábitos de trabajo (checklists, notas, scripts repetibles) y a no perderse. Es una buena antesala para HTB o para combinar con academias web especializadas.
Root-Me y W3Challs. Repositorios de retos con progresión continua. Permiten practicar “microhabilidades” (regex, encoding, crypto ligera, lógica) que marcan la diferencia durante un CTF con tiempo limitado.
Cómo elegir entre ellas.
Si se empieza desde cero y se prefiere guía: THM.
Si se busca “máquina realista” y reto abierto: HTB.
Si interesa mejorar velocidad mental y fundamentos: Root-Me / W3Challs.
Si el tiempo es escaso: priorizar retos cortos diarios y una máquina “larga” el fin de semana.
Plataformas para practicar CTF: comparativa rápida
| Plataforma | Nivel | Tipo de retos | Guía/Pistas | Duración media | Foco | Modelo |
|---|---|---|---|---|---|---|
| Hack The Box | Intermedio–Avanzado | Máquinas, labs, eventos | Bajo | 1–4 h | Realismo / pentesting | Gratuito + pago |
| TryHackMe | Inicial–Intermedio | Rutas guiadas, labs | Alto | 20–60 min | Aprendizaje guiado | Gratuito + pago |
| Root-Me | Todos | Retos sueltos | Medio | 10–40 min | Fundamentos | Gratuito |
| W3Challs | Intermedio | Web, crypto, misc | Bajo | 15–45 min | Velocidad / técnicas | Gratuito |
Recomendación rápida: empezar en TryHackMe si se busca guía; pasar a Hack The Box para máquinas más abiertas; complementar con retos cortos en Root-Me/W3Challs.
Iniciación absoluta: empezar desde cero y no perderse
picoCTF. Diseñado para principiantes. Retos cortos, pistas justas y un ambiente competitivo amable. Ayuda a desarrollar intuición y a “leer” enunciados con ojos de atacante.
OverTheWire (Bandit y familia). Escalera perfecta para aprender shell, permisos, redes y trucos de Unix. Enseña a pensar paso a paso, a validar hipótesis y a documentar lo aprendido para reutilizarlo después.
HackThisSite y CyberSecLabs. Dos enfoques complementarios: retos web clásicos y máquinas estilo “empresa” en entornos controlados. Útiles para quienes desean practicar explotación y pos-explotación con menos ruido.
Consejo práctico. Establecer una rutina “15-30-15”: 15 minutos de lectura base, 30 de práctica, 15 de consolidación (notas + script o cheat sheet). Con esa cadencia, el progreso se sostiene en el tiempo.
Web/AppSec: si el objetivo es aprender explotación web
PortSwigger Web Security Academy. El mejor “gimnasio” para vulnerabilidades web. Laboratorios por técnica (auth, IDOR, SSRF, XSS, SQLi, etc.) con dificultad escalable. Perfecto para construir mapas mentales: patrón → payload → bypass → evidencias.
OWASP Juice Shop y DVWA. Dos aplicaciones vulnerables para autohospedar. Sirven para montar un laboratorio doméstico y practicar reporte: log de pruebas, PoC, impacto y recomendaciones. Muy útiles para simular el paso de “capturar la flag” a “escribir el informe”.
Metodología sugerida. Elegir una vulnerabilidad por semana, resolver 3–5 labs y cerrar con una mini-plantilla de evidencias y mitigaciones. Esto acelera la transferencia a auditorías reales y evita “saber hacer” sin “saber explicar”.
Práctica de CTF orientada a Web/AppSec: labs por vulnerabilidad
| Vulnerabilidad | Lab recomendado | Objetivo de aprendizaje | Dificultad |
|---|---|---|---|
| SQL Injection | PortSwigger (sección SQLi) / DVWA | Payloads + extracción de datos + mitigaciones | Baja–Media |
| XXE | PortSwigger (XXE) / Juice Shop | Entidades externas, exfiltración y blind XXE | Media |
| SSRF | PortSwigger (SSRF) | Bypass de filtros y alcance interno | Media |
| IDOR | PortSwigger (IDOR) / Juice Shop | Control de acceso a nivel de objeto | Baja–Media |
Criptografía y esteganografía
CryptoHack. Ruta por niveles que cubre aritmética modular, cifrados clásicos, RSA, curvas y ataques prácticos. Potencia el razonamiento y la lectura atenta del challenge.
RingZer0 y colecciones tipo CrypTool. Retos variados con twists creativos. Útiles para entrenar la mirada “fuera de la caja”, clave cuando los enunciados esconden pistas en formatos, metadatos o timings.
Buenas prácticas. Mantener una libreta de “primitivas y errores comunes”: padding, oráculos, IVs repetidos, nonce reutilizado, alfabetos alterados, etc. Ese registro ahorra tiempo en competición.
Pwn/Reversing: binario, memoria y explotación avanzada
pwnable.kr / pwnable.tw. Rutas de explotación de binarios con foco en memoria, syscalls y protections. Entrenan la paciencia y la disciplina de depuración.
Crackmes.one y Microcorruption. Reversing puro en distintos sabores (x86/x64/ARM), incluidos escenarios de embedded. Recomendable para quienes disfrutan “leyendo” software hasta encontrar la grieta.
Sugerencia de estudio. Alternar un reto pwn con dos de reversing por semana. La diversidad reduce la fatiga cognitiva y mantiene el aprendizaje activo.
Forense y OSINT
Forense (DFIR). Retos con volcados de memoria, PCAPs y artefactos de sistema. Permiten practicar triage, líneas de tiempo y extracción de indicadores. Aconsejable montar una caja de herramientas estable (Volatility, strings, Wireshark, Zeek) y un protocolo de etiquetado de evidencias.
OSINT. CTFs y ejercicios de inteligencia abierta enseñan a buscar con intención, validar fuentes y evitar sesgos. Se recomienda crear filtros y dorks reutilizables, así como una lista de bancos de imágenes y metadatos.
Clave operativa. Estandarizar el flujo: adquisición → preservación → análisis → reporte. En competición, el orden y la consistencia valen puntos.
Active Directory y escenarios de empresa
Laboratorios AD caseros. Montar un dominio mínimo con DNS, DC y uno o dos workstations. Practicar enumeración (LDAP, SMB, Kerberos), abuso de permisos, lateral movement y escalada. Tras un traspié inicial en auditoría, muchos profesionales aceleran al especializarse en AD; las fallas de configuración se repiten con frecuencia en empresas.
Máquinas y rutas enfocadas a corporativo. Varias plataformas ofrecen entornos “blue-ish/red-ish” con Playbooks reproducibles. El objetivo: repetir hasta que la cadena de ataque salga fluida y con evidencias claras.
Por qué importa. En organizaciones, AD es el eje. Quien domina Kerberoasting, delegaciones y abusos de ACLs suele marcar la diferencia en hallazgos.
Eventos y ligas para medirse con otros
CTFs de comunidades y academias (p. ej., ediciones anuales de escuelas y bootcamps). Suelen combinar pruebas web, crypto, forense y OSINT. La experiencia de “reloj corriendo” enseña gestión de tiempo, reparto de tareas y comunicación en equipo.
Cómo elegir evento.
Revisar categorías que más gustan y nivel esperado.
Confirmar reglas (externals, writeups, número de integrantes).
Preparar un kit básico: entorno aislado, diccionarios, scripts comunes, notas y plantilla de reporte.
Mentalidad. Competir sin perder el foco formativo: menos ego, más aprendizaje. Un tablero con 5 retos bien documentados vale más que 10 flags sin entendimiento.
Conclusión
Existen webs para cada etapa y cada estilo de aprendizaje. Para empezar sin perderse, se recomienda combinar picoCTF/OverTheWire con TryHackMe y, en cuanto haya base, dar el salto a Hack The Box. En paralelo, PortSwigger consolida explotación web; pwnable.kr/tw y Crackmes.one construyen nivel en binario y reversing; CryptoHack, forense y OSINT equilibran el perfil. Con una ruta clara y constancia, la transición de CTF a entornos reales resulta natural: las técnicas se repiten, solo cambia el escenario.
Tablas de interés
Ruta de 8 semanas para practicar CTF: plataformas, objetivos y métricas
| Semana | Plataforma principal | Objetivo | Métrica clave |
|---|---|---|---|
| 1–2 | OverTheWire + picoCTF | Fundamentos de shell y lectura de retos | Tiempo hasta 1ª pista < 20 min |
| 3–4 | TryHackMe | Enumeración metódica en labs guiados | Checklist completado en >= 3 labs |
| 5–6 | PortSwigger / pwnable / Forense | Especialización ligera (web/pwn/dfir) | 3–5 labs resueltos + notas reutilizables |
| 7–8 | Hack The Box | Simulacro cronometrado estilo evento | 1 máquina Medium + reporte completo |
Eventos y ligas CTF: formato, categorías y nivel sugerido
| Evento/Liga | Formato | Categorías | Equipo permitido | Tiempo | Nivel sugerido |
|---|---|---|---|---|---|
| Comunidad/Academia (ediciones anuales) | Jeopardy | Web, crypto, forense, OSINT | 2–4 personas | 4–24 h | Inicial–Intermedio |
| Plataformas (ligas internas) | Jeopardy / Full-pwn | Máquinas + retos específicos | Individual o equipos | 2–48 h | Intermedio |
| Universidades/Conferencias | Ataque/Defensa | Infra, servicios, blue/red | 3–5 personas | 6–24 h | Intermedio–Avanzado |
Preguntas Frecuentes
¿Para quién es este programa/curso de práctica CTF?
Está diseñado para perfiles principiante a intermedio que desean avanzar con una ruta guiada y medible. Resulta útil para estudiantes, profesionales de TI que buscan reconversión y equipos que necesitan estandarizar método de práctica.
¿Qué incluye exactamente (plataformas, plantillas y acompañamiento)?
El plan combina acceso/uso de plataformas populares (p. ej., TryHackMe, Hack The Box, PortSwigger), una ruta de 8 semanas, plantillas de reporte, listas de comprobación y recomendaciones para elegir retos según objetivo.
El acompañamiento puede variar por edición (sesiones grupales, revisión de notas o foros); conviene confirmar disponibilidad en la convocatoria vigente.
¿Se necesita experiencia previa o equipo especial para comenzar?
No es imprescindible experiencia previa. Se recomienda un equipo con virtualización habilitada y una VM Linux (Kali/Ubuntu) con herramientas básicas. Todo el contenido está pensado para avanzar desde fundamentos hasta retos de complejidad media.
¿Cuánto tiempo requiere y cuándo se notan resultados?
Con 4–6 horas semanales se perciben mejoras en 2–4 semanas (velocidad de enumeración, lectura de enunciados y calidad de evidencias). El plan prioriza sesiones cortas entre semana y una práctica más larga el fin de semana.
¿Qué resultados concretos se obtienen al finalizar?
Capacidad de resolver categorías clave (web, crypto/estego, forense u OSINT), ejecución de una máquina tipo “Medium” en tiempo razonable, y un portfolio de notas y reportes reutilizables para entrevistas y auditorías.
¿Por qué elegir este plan frente a aprender en solitario?
Reduce el tiempo de prueba y error con una secuencia validada, métricas claras y selección de retos con alto retorno de aprendizaje. Incluye recursos de apoyo (plantillas, checklists y guía de uso de writeups) para sostener el progreso y evitar estancamientos.
