Páginas con las que puedes aprender hacking ético

Páginas con las que puedes aprender hacking ético

Javier Jiménez

Un hacker ético no tiene nada que ver con lo que podríamos denominar como ciberdelincuente o pirata informático. Estamos ante un usuario que, bien sea por trabajo u ocio, realiza pruebas en una red o equipo informático para buscar vulnerabilidades o ver de qué manera un verdadero atacante podría poner en riesgo la privacidad y seguridad. En este artículo vamos a nombrar algunas páginas de hacking ético con las que podemos aprender desde temas básicos a llevar acciones también más complejas.

Qué es al hacking ético

Este también puede ser llamado por «sombrero blanco», y con él hacemos referencia a personas, conocidas como hackers, que dan uso de todos sus conocimientos en el mundo de la informática en beneficio de la seguridad. Esto está dedicado a buscar vulnerabilidades o fallos de seguridad en los accesos y dentro de los sistemas.

Por lo general suelen ser expertos en seguridad de la información que buscan irrumpir en los sistemas a petición de los clientes. Esto es considerado como ético, pues existe un consentimiento previo, con el fin de encontrar los fallos.

El objetivo de todo esto, es comunicar esos problemas a la organización o cliente, de forma que pueda realizar los cambios o aplicar los parches adecuados para que eso no pueda ocurrir de nuevo. Así se pueden evitar muchos problemas como ser víctimas de robos de información, filtraciones, entre otros muchos ataques.

Para hacer esto, se ponen en marcha un serie de actividades, pruebas o test, lo cuales son denominados como «test de penetración», con el fin de burlar el sistema objetivo y poner a prueba su seguridad o demostrar sus respectivas debilidades. En caso de encontrar un error, el hacker debe dar la información necesaria al cliente mediante un informe.

Por si es necesario recordar, la diferencia con los hackers «sobrero negro», es que los hackers éticos no buscan hacer daño a la organizaciones, si no que son una pieza fundamental en el desarrollo y mejorar de sus equipos y sistemas.

Páginas para aprender hacking ético

Hoy en día en la red podemos encontrarnos con infinidad de contenido para casi todo. Podemos aprender un idioma, un lenguaje de programación, informarnos sobre temas que nos interesan, leer la prensa… Tenemos, en definitiva, un amplio abanico de posibilidades. Cuando hablamos de enseñanza a todos los niveles, podemos acceder a una gran cantidad de recursos.

Dentro de todas estas posibilidades también encontramos sitios web que se dedican a ofrecer información relacionada con el hacking ético. Podemos ver manuales, programas que podemos usar para poner a prueba nuestros equipos, etc. Existen varias plataformas para aprender y practicar técnicas de hacking, ya que tienen entornos virtualizados donde vamos a poder vulnerar las diferentes máquinas y acceder en modo administrador de forma completamente legal, sin necesidad de hackear sistemas de verdad en los que no tenemos autorización. Este tipo de webs y plataformas son de gran ayuda para poner a prueba nuestros conocimientos y técnicas a la hora de realizar diferentes pentesting. Dependiendo del grado de conocimientos que tengamos, y en qué nos hayamos especializado, hay máquinas que están específicamente creadas para ello.

Hack The Box

Hack The Box es la plataforma más popular para aprender hacking en un entorno virtual y controlado, permite a usuarios individuales, compañías e incluso universidades y otro tipo de organizaciones el poder practicar y mejorar las habilidades de hacking, sin necesidad de que ellos tengan que instalar y montar complejos escenarios donde ciertas máquinas sean vulnerables a determinados ataques. En esta plataforma van añadiendo y quitando máquinas antiguas que son vulnerables, y están catalogadas desde dificultad fácil hasta difícil, ideal para adaptarse a los conocimientos de todos los participantes.

Esta plataforma dispone tanto de máquinas vulnerables para probar habilidades de pentesting, como también laboratorios profesionales donde podremos conseguir una certificación indicando que hemos completado satisfactoriamente las pruebas, estos laboratorios son escenarios virtuales muy realistas, y además, tendremos que hackear una o varias máquinas para poder llegar hasta el objetivo final. Por último, en Hack The Box también organizan CTF para competir con otras personas alrededor del mundo.

Os recomendamos entrar en el canal de YouTube de S4vitar donde podéis encontrar una gran cantidad de vídeos donde se resuelven máquinas antiguas que ya están retiradas. Ahí podréis encontrar una gran cantidad de información y técnicas para vulnerar las diferentes máquinas disponibles.

Tryhackme

Tryhackme es otra plataforma para aprender ciberseguridad en un entorno controlado. Esta web está diseñada para divertirnos aprendiendo y poniendo a prueba nuestros conocimientos de ciberseguridad, respondiendo preguntas, haciendo desafíos y aprendiendo a través de lecciones cortas. En cada una de las lecciones que tengamos, vamos a tener ejercicios prácticos para poner a prueba nuestras habilidades.

Tryhackme está orientado tanto a usuarios que no saben nada sobre ciberseguridad, como también a usuarios que tienen bastantes conocimientos y quieren repasar y poner a prueba sus habilidades.

Otras características de este portal, es que podremos acceder a escenarios de ataque y defensa de los sistemas, con el objetivo de aprender técnicas y trucos de Redteam y de Blueteam.

Pentester Lab

Pentester Lab es una completa plataforma de aprendizaje de ciberseguridad, podremos empezar realizando ejercicios completamente gratuitos, y desbloquear el acceso a ejercicios más avanzados para seguir aprendiendo y poner en práctica nuestros conocimientos. También podemos comprar la suscripción «Pro» para tener acceso a todos los contenidos de la plataforma. Pentester Lab permite realizar ejercicios con vulnerabilidades reales en un entorno controlado, los fallos no están emulados sino que se proporciona acceso a equipos reales con vulnerabilidades reales.

Esta web proporciona certificados indicando que se han completado los diferentes ejercicios, en la sección de «Exercises» podremos ver todos los ejercicios que tenemos disponibles, aunque generalmente están solo para la versión «Pro» de pago. En esta sección podréis encontrar la dificultad del ejercicio y también cuánto se tarda de media en completar el ejercicio. Además, también nos indica cuántos usuarios de la plataforma han sido capaces de superarlo con éxito.

Esta plataforma tiene un total de tres modalidades, la versión «Student» nos permite acceder por 35 dólares durante 3 meses. La versión «Pro» nos permite acceder a la plataforma por 20 dólares mensuales o 200 dólares anuales. Finalmente, la versión «Enterprise» dependerá de las necesidades de las empresas, pero incorpora un panel de control para conocer cómo lo están haciendo los empleados.

Vulnhub

Vulnhub es una plataforma donde podremos descargar diferentes máquinas virtuales que tienen diferentes vulnerabilidades, y nuestro objetivo es realizar un pentesting a esta máquina para comprobar nuestras habilidades. A diferencia de Hack The Box, en este caso la plataforma es «local», es decir, no tendremos todas las máquinas virtualizadas en el Cloud de la plataforma, sino que nosotros tendremos que descargarnos todas y cada una de las máquinas, y ejecutarlo de forma local en nuestro ordenador.

Al descargar las diferentes máquinas virtuales, podremos ver en qué sistema operativo está basada, si se ha utilizado VirtualBox para su creación, y también cómo está configurada a nivel de red de manera predeterminada. Vulnhub es una gran alternativa a Hack The Box para aprender de forma local en nuestro equipo, sin necesidad de una suscripción o acceder a través de Internet.

HackThis

Una de las opciones que tenemos es HackThis. Es una plataforma interactiva de ciberseguridad que tiene como objetivo mostrar cómo proteger la web, aprender a través de diferentes objetivos. Tiene más de 60 niveles diferentes y permite aprender con los tutoriales y artículos que muestran.

En este sitio podremos ver una amplia gama de desafíos divididos en categorías. Por ejemplo permite buscar la manera de romper códigos CAPTCHA. Es bastante completa y podemos ver todo el contenido en su sitio web e investigar lo que más nos interesa.

Google Gruyere

No podía faltar una opción de Google. Google Gruyere es una web creada por el gigante de las búsquedas con el objetivo de poner a prueba a los hackers éticos. Tiene una serie de vulnerabilidades creadas a conciencia para esta misión.

Visualmente no es la mejor página, como veremos al acceder a ella, pero es muy útil si queremos poner a prueba la seguridad de un sitio. Va guiando a los usuarios con las diferentes tareas a realizar. Podemos ver, como así nos lo muestra en la web, que algunos desafíos requieren de determinados conocimientos, mientras que otros son más básicos.

OverTheWire

La opción de OverTheWire podemos decir que es más avanzada. Muestra diferentes escenarios en los que los usuarios pueden desarrollar sus habilidades con el hacking ético. Permite además competiciones entre usuarios que quieran atacar los servidores de los demás.

No obstante, aunque tiene herramientas y métodos más avanzados, también cuenta con lecciones más básicas donde enseñan lo esencial a quienes quieren iniciarse en este mundillo. Para su uso requiere una conexión SSH.

bWAPP

Esta página destaca especialmente por la gran cantidad de errores con los que cuentan. Indican que son más de 100, por lo que los hackers éticos van a tener un gran abanico de posibilidades para poner a prueba todo lo aprendido.

Ataques DDoS, Clickjacking y mucho más podemos encontrar en bWAPP. Permite descargar la web, tener el servidor en nuestros dominios, y de esta forma poder llevar a cabo todo tipo de ataques contra él sin perjudicar a la web real. Una manera muy interesante de atacar un sitio pero de forma virtual, sin realmente dañarlo.

Página de hacking ético bWAPP

Offensive Security

Una opción más es la de Offensive Security. Ofrece una gran cantidad de cursos, certificaciones y también entrenamiento para organizaciones. Podemos decir que está más orientado a profesionales y grupos que quieran ampliar sus conocimientos.

En su web podemos encontrar una serie de opciones para poner a prueba nuestro conocimiento y herramientas que podemos usar. Por ejemplo podemos hacer uso de laboratorios virtuales para llevar a cabo dichas acciones.

Cybrary

Esta plataforma llamada Cybrary nos permite acceder a diferentes cursos, tanto gratuitos como también de pago, además, nos prepara para las diferentes certificaciones en seguridad informática que existen hoy en día. Esta plataforma también nos permite realizar diferentes CTF para poner a prueba nuestros conocimientos, y todas las versiones de pago incluyen laboratorios virtuales donde poder practicarlo todo en un entorno controlado y directamente desde nuestro navegador web, sin necesidad de descargar y ejecutar máquinas virtuales, todo a través del navegador web. Por supuesto, también podremos hacer diferentes exámenes para comprobar si estamos preparados para presentarnos a diferentes certificaciones en el mundo de la ciberseguridad.

Otros servicios adicionales que sí tienen los usuarios de las versiones de pago son tutores a través de Slack con los que podremos hablar, preguntar dudas, nos enviarán cuestionarios y realizarán un seguimiento de nuestras actividades. También podremos hablar con otros usuarios en lo que respecta a los retos de la plataforma, intercambiar experiencias y más.

HackThisSite

Una página más que queremos mostrar es la de HackThisSite. Se trata de otro sitio que nos permite también hackearlo. Actúa como un recurso de aprendizaje muy interesante. Ofrece lecciones para aquellos que estén iniciándose, así como contenido también más avanzado.

HackThisSite

Esta web es un clásico y lleva existiendo desde hace muchos años. Ofrece recursos muy interesantes para todos aquellos que quieran aprender.

CybersecLabs

Esta plataforma es otra muy interesante, si estás interesado en aprender de hacking para Active Directory de Windows, esta puede que sea una de las mejores plataformas. CybersecLabs nos permitirá aprender la base del hacking al Active Directory, para seguir con técnicas avanzadas para conseguir vulnerar un servicio de controlador de dominio. Podremos practicar nuestros conocimientos en un entorno real virtualizado, su laboratorio consta de más de 25 máquinas con Linux, Windows y AD para practicar diferentes tipos de ataques y prepararnos para las diferentes certificaciones de seguridad y pruebas de pentesting.

También tienen laboratorios específicos para los usuarios más avanzados, ideal si ya conoces cómo funciona en detalle un Active Directory y quieres aumentar tus conocimientos o recordar ciertos aspectos importantes. Esta plataforma tiene una parte que es completamente gratuita, que es la más sencilla y orientada a principiantes, y también la de pago que está orientada a usuarios más avanzados.

Root Me

Esta plataforma de hacking es rápida, accesible y muy realista, que tiene como objetivo poner a prueba nuestras habilidades de hacking. Root Me tiene diferentes niveles de acceso, el nivel gratuito dispone de varios ejercicios de entrenamiento completamente gratis, podemos ver las soluciones propuestas por otros miembros e incluso podremos contribuir con nuestros conocimientos, y acceder al siguiente nivel que también es gratis. Si accedemos al «Contribuir Access» de manera habitual, nos podrán regalar una suscripción premium para acceder a todos los ejercicios propuestos por los diferentes miembros, y es donde más aprenderemos.

En esta plataforma tenemos un total de 450 retos de hacking, más de 145 entornos virtuales donde practicar nuestros conocimientos y un total de 4725 soluciones a los diferentes problemas que se nos van a plantear. En la sección «Pro» de Root Me podremos encontrar la plataforma de referencia de hacking ético donde disponemos de todas las posibilidades de esta plataforma.

En definitiva, esta es una lista interesante con algunas páginas dedicadas al hacking ético con las que podemos aprender diferentes recursos y poner a prueba nuestra habilidad.

Otras formas de aprendizaje

En todo internet, nos podemos encontrar muchos cursos diferentes sobre hacking ético, desde opciones de pago a gratuitas, más o menos completas, y que están totalmente dedicadas a este tipo de aprendizaje. Pero también podemos recurrir a plataformas como Udemy. Esta es una gran academia online, donde los usuarios pueden subir sus propios cursos a la plataforma para que otros se beneficien de esos conocimientos, y se formen en la materia.

Aquí nos podemos encontrar todo tipo de cursos, entre los que se encuentran muchos dedicados al hacking ético y ciberseguridad. En muchas ocasiones, estos son de pago, pero con mucha frecuencia están de oferta a precios entre los 10 y los 14 euros.

Estos cursos tienen muchas ventajas, y una de las más importantes es que contamos con un ponente, el cual se encarga de explicar toda la materia, y en muchas ocasiones están disponibles para responder mensajes que se les pueden trasladar con dudas o planteamientos. Otro beneficio, es que puedes conseguir un certificado de finalización de cursos que lo acredite.

Para buscar el curso que más se adapte a otros, tendremos que jugar un poco con el filtro de la página, hasta dar con el adecuado. Estos pueden variar en contenido y calidad en general, siendo los de pago los más completos, y los únicos que proporcionan el certificado. También será muy importante buscar el curso del nivel adecuado para nuestra experiencia.

Entre las cosas que se pueden aprender en estos cursos podemos encontrar:

  • Preparación del entorno que usaremos durante todo el curso.
  • Introducciones al hacking ético y a test de penetración.
  • Recopilación de información.
  • Recopilación semi-pasiva de información.
  • Recopilación activa de información.
  • Análisis de las vulnerabilidades.
  • Cómo explotar las mismas.
  • Cómo explotar vulnerabilidades en la red.
  • Cómo actuar tras esta explotación.
  • Machine Learning aplicado al hacking.

Por qué el hacking ético es importante

Hemos visto algunas páginas para aprender sobre hacking ético y seguridad informática. Ahora vamos a explicar por qué es tan importante de cara a proteger los equipos, las redes y mantener alejados a los piratas informáticos que puedan poner en riesgo nuestros sistemas.

Detectar vulnerabilidades

Los hacker éticos son muy importantes para poder detectar vulnerabilidades en la red y en nuestros dispositivos. En muchos casos aparecen fallos de seguridad que pueden ser explotados por terceros. Gracias a este tipo de usuarios que se dedican a investigar, a analizar los equipos y ver de qué manera pueden acceder a ellos, podemos detectar fallos y corregirlos lo antes posible. Así los desarrolladores pueden lanzar parches y mejorar el rendimiento.

Son muchas las vulnerabilidades que pueden afectar a un dispositivo que utilicemos en nuestro día a día. Muchos fallos de seguridad que pueden ser explotados por los atacantes. Gracias al hacking ético, a utilizar páginas como las que hemos mostrado y diferentes herramientas, vamos a poder estar mejor preparados para encontrar problemas. A partir de ahí, una vez sepamos que hay un fallo podremos corregirlo lo antes posible.

Poner a prueba las redes

Por supuesto también son importantes para poner a prueba las redes e Internet. Sirven para exprimir al máximo los recursos disponibles y poder mejorar determinados factores que ayuden a las empresas y organizaciones, así como a los usuarios particulares. Hay muchas pruebas que se pueden llevar a cabo con el objetivo siempre de mejorar.

Si quieres saber si tu red Wi-Fi es segura, qué mejor que ponerte en el lugar de un atacante. Qué mejor que lanzar ataques contar tu propia red, usando herramientas populares y así ver si estás utilizando un cifrado correcto, si tu contraseña es fiable o si hay o no alguna vulnerabilidad que pueda ser explotada por un intruso.

Mejorar los programas de seguridad

También pueden poner a prueba las herramientas de seguridad. Tenemos una gran cantidad de opciones para todo tipo de sistemas operativos, pero es necesario comprobar que realmente puedan servir para algo. Ahí un hacker ético puede apuntar a un determinado programa y buscar fallos que encuentre.

Esto es muy útil de cara a optimizar los antivirus. Vas a poder crear aplicaciones que se basen en los ataques cibernéticos principales y así tomar medidas para evitarlos. Te adelantarás, una vez más, a los piratas informáticos que puedan llegar a romper la seguridad de un equipo sin que te des cuenta.

Proteger una empresa

Las propias empresas se encargan de contratar a hackers éticos para que analicen la red, aplicaciones o sistemas. El objetivo es detectar vulnerabilidades, fallos que puedan ser explotados por atacantes de verdad. Eso podría llegar a poner en riesgo a los visitantes, a los clientes en definitiva, y suponer un problema para la reputación de esa página web.

Por tanto, de cara a mejorar la seguridad de las empresas el hacking ético es esencial. En muchos casos las propias empresas ofrecen una buena cantidad de dinero como recompensa por si cualquier persona descubre alguna vulnerabilidad que pueda haber en una aplicación, página web, etc.

Concienciación de los usuarios

En múltiples ocasiones, cuando se trata de una organización con gran volumen de usuarios, estos pueden llevar a cabo algunas acciones que pueden ir en contra de la seguridad de los sistemas. Bien sea por correo interno o a través de otros métodos.

Realizar tareas de hacking ético, trabajando sobre estas acciones que los usuarios llevan a cabo, puede ayudar a concienciar sobre las buenas prácticas que son recomendables para el correcto funcionamiento de todos los equipos y sistemas.

En definitiva, los hackers éticos son muy importantes para la seguridad en la red. Sirven para encontrar vulnerabilidades y poder corregirlas lo antes posible para que los ciberdelincuentes no se aprovechen. Puedes usar diferentes herramientas, cursos y servicios con los que vas a aprender a llevar a cabo pruebas y mejorar en todo momento la seguridad.

2 Comentarios