Leer sobre hacking está bien. Practicarlo es lo que marca la diferencia. Estas son las plataformas donde los profesionales de ciberseguridad entrenan de verdad: desde entornos guiados para principiantes hasta máquinas de nivel OSCP. Si estás buscando dónde empezar o dar el siguiente paso, esta guía te lo pone fácil.
TryHackMe — la mejor opción para empezar desde cero
TryHackMe es probablemente la plataforma más amigable para quien llega sin experiencia. Funciona por «rooms»: salas guiadas que te explican el concepto, te dan las herramientas y te piden que completes retos paso a paso. No necesitas configurar nada; el navegador te conecta a una máquina virtual en la nube.
Sus rutas de aprendizaje (learning paths) cubren desde los fundamentos de redes y Linux hasta pentesting web o análisis forense, con una progresión clara. También tiene un modo «King of the Hill» y retos tipo CTF para cuando ya quieres competir.
- Enfoque: aprendizaje guiado, teoría + práctica integradas
- Nivel: principiante y nivel medio
- Gratis / pago: plan gratuito con acceso a cientos de salas; suscripción Premium (precio actualizado en tryhackme.com/why-subscribe) desbloquea contenido exclusivo y rutas avanzadas
- Para quién: quien empieza desde cero, estudiantes, quienes preparan Security+ o eJPT
Nuestra reseña en detalle: Análisis de TryHackMe.
Hack The Box — el estándar del sector para nivel intermedio y avanzado
Hack The Box (HTB) es la referencia para pentesters que ya saben moverse. Las máquinas son más duras, sin pistas, y el objetivo es encontrar flags de usuario y root. Completar máquinas «active» y aparecer en los rankings del sector es algo que muchos empleadores valoran en el CV.
HTB tiene dos productos principales:
- Hack The Box (Labs): la plataforma de máquinas clásica. Las máquinas activas no tienen writeups oficiales; los «retired machines» sí (con suscripción). Existe plan gratuito con acceso limitado.
- HTB Academy: un formato más estructurado, similar a TryHackMe, con módulos teórico-prácticos. Tiene su propio sistema de créditos «Cubes» (ver precios actuales en academy.hackthebox.com). Es el mejor recurso si preparas el CPTS (Certified Penetration Testing Specialist) de HTB.
- Enfoque: retos sin guía (Labs) y módulos formativos (Academy)
- Nivel: intermedio y avanzado (Labs); principiante-avanzado (Academy)
- Gratis / pago: plan gratuito con acceso a máquinas retiradas limitadas; VIP (~14 €/mes, verificar en web) da acceso completo. HTB Academy usa modelo por módulo o suscripción.
- Para quién: quienes buscan reto real, preparación OSCP/CPTS, candidatos a empleos de pentest
Nuestra reseña completa: Reseña de Hack The Box.
PortSwigger Web Security Academy — la mejor opción gratuita para hacking web
PortSwigger Web Security Academy es completamente gratuita y cubre de forma exhaustiva todas las vulnerabilidades web del OWASP Top 10 y mucho más: SQL injection, XSS, CSRF, SSRF, XXE, deserialization, OAuth, JWT, path traversal… Cada tema tiene teoría, laboratorios interactivos y un «apprentice → practitioner → expert» de dificultad creciente.
Es el sitio que hacen la mayoría de los preparadores de BSCP (Burp Suite Certified Practitioner) y una referencia imprescindible para web app pentesting. Los laboratorios corren en el navegador; para los avanzados conviene tener Burp Suite Community (también gratuito).
- Enfoque: hacking web, 100% práctico con teoría integrada
- Nivel: principiante a experto
- Gratis / pago: totalmente gratuito
- Para quién: cualquiera que quiera dominar la seguridad web; esencial para pentesters de aplicaciones
PentesterLab — práctica de seguridad web con certificados
PentesterLab se centra en vulnerabilidades web y de código. Tiene ejercicios gratuitos (badge «Free») y una suscripción Pro (consultar precio en su web) que desbloquea más de 200 ejercicios con un sistema de insignias organizado por tecnología: PHP, Python, JWT, GraphQL, deserialización, code review, etc.
Lo diferencia de PortSwigger: menos exhaustiva en cobertura pero más orientada a entender el código detrás de la vulnerabilidad, con énfasis en revisión de código fuente. Buena opción complementaria para quienes quieren pasar a bug bounty o aprender AppSec.
- Enfoque: vulnerabilidades web + revisión de código
- Nivel: principiante a intermedio
- Gratis / pago: plan gratuito limitado; Pro (~20 $/mes aproximadamente, verificar en pentesterlab.com/pro)
- Para quién: desarrolladores que hacen AppSec, aspirantes a bug bounty, pentesters web
OffSec Proving Grounds — la preparación más directa para el OSCP
OffSec Proving Grounds (antes «PWK Labs») es la plataforma de laboratorios de la empresa detrás del OSCP. Hay dos niveles: Practice (gratuito, máquinas de comunidad) y Play (máquinas oficiales OffSec, de pago). Los precios actualizados están en offsec.com/labs.
Las máquinas de Proving Grounds simulan el estilo exacto del examen OSCP: sin hints, exploits reales, misma filosofía de «try harder». Si tienes el PEN-200 (curso oficial del OSCP), ya incluyes horas de laboratorio con él.
- Enfoque: penetration testing estilo examen OSCP
- Nivel: intermedio y avanzado
- Gratis / pago: Proving Grounds Practice gratuito (con limitaciones diarias); Play de pago mensual
- Para quién: candidatos al OSCP, pentesters que quieren subir nivel sin guías
VulnHub — máquinas vulnerables para practicar en local
VulnHub ofrece máquinas virtuales vulnerables descargables gratis. Las instalas en VirtualBox o VMware y practicas sin necesidad de conexión ni suscripción. El catálogo tiene cientos de máquinas de todo tipo y nivel, muchas creadas por la comunidad.
Su ventaja: sin coste y sin depender de ningún servidor externo. Su inconveniente: tienes que montar tu propio entorno (red NAT o Host-Only, snapshot antes de explotar). Ideal si ya sabes usar un hipervisor y quieres practicar sin límite de tiempo.
- Enfoque: laboratorio local, máquinas variadas
- Nivel: todos los niveles
- Gratis / pago: totalmente gratuito
- Para quién: quienes prefieren entorno local, usuarios sin conexión estable, ahorro de coste
CTFs — competición para aprender resolviendo retos
Los Capture The Flag son competiciones (individuales o en equipo) donde cada reto —criptografía, forense, reversing, web, pwn— tiene una flag oculta que puntúa. No son plataformas de entrenamiento continuo, sino eventos que concentran aprendizaje intenso en poco tiempo.
Los más recomendados para empezar:
- picoCTF: de la Carnegie Mellon, diseñado para estudiantes, disponible todo el año en modo «picoCTF gym». Totalmente gratuito y excelente para iniciarse.
- CTFtime.org: el calendario y ranking global de CTFs. Aquí encuentras todos los eventos activos.
- OverTheWire: «wargames» siempre disponibles, muy buenos para aprender Linux y escalada de privilegios desde cero (Bandit, Narnia, Leviathan…).
- Enfoque: resolución de retos variados (criptografía, web, forense, reversing, explotación binaria)
- Nivel: todos los niveles; hay CTFs para principiantes y para equipos top del mundo
- Gratis / pago: la inmensa mayoría son gratuitos
- Para quién: quien quiere practicar en equipo, aprender rápido, o especializarse en áreas concretas
Blue Team Labs Online y RangeForce — defensa y SOC
Las plataformas anteriores se centran en ofensiva. Si tu objetivo es el lado defensivo —analista SOC, threat hunting, respuesta a incidentes— estas dos son las más relevantes:
Blue Team Labs Online (BTLO) ofrece laboratorios de análisis forense, respuesta a incidentes, análisis de logs, SIEM y threat hunting. Tiene plan gratuito con varios retos y suscripción premium (ver precios actuales en su web). Los escenarios están basados en casos reales.
RangeForce es una plataforma de entrenamiento orientada a equipos de seguridad corporativos (SOC teams, defensores), con módulos de ciberhigiene, análisis de amenazas y habilidades de blue team. Está más orientada a empresas; su pricing es corporativo (consultar en web oficial).
- Enfoque: defensa, forense, análisis de incidentes, SOC
- Nivel: principiante a intermedio (BTLO); intermedio-avanzado (RangeForce)
- Gratis / pago: BTLO tiene plan gratuito; RangeForce es principalmente de pago corporativo
- Para quién: analistas SOC, defensores, quienes preparan CySA+, GCIH u otras certis de blue team
Tabla comparativa
| Plataforma | Enfoque | Nivel | Gratis | Mejor para |
|---|---|---|---|---|
| TryHackMe | Ofensiva + defensa guiada | Principiante–medio | Sí (limitado) | Empezar desde cero |
| Hack The Box | Pentest real sin guías | Intermedio–avanzado | Sí (limitado) | CV, OSCP/CPTS, reto |
| HTB Academy | Formación estructurada | Principiante–avanzado | Módulos gratuitos | CPTS, aprendizaje ordenado |
| PortSwigger WSA | Seguridad web | Principiante–experto | 100% gratis | Pentest web, BSCP |
| PentesterLab | Web + revisión de código | Principiante–intermedio | Sí (limitado) | Bug bounty, AppSec |
| OffSec Proving Grounds | Pentest estilo OSCP | Intermedio–avanzado | Practice gratis | Preparar OSCP |
| VulnHub | Laboratorio local | Todos | 100% gratis | Sin coste, sin conexión |
| picoCTF / CTFs | Retos variados | Todos | Mayoritariamente gratis | Competición, aprender rápido |
| Blue Team Labs Online | Forense, SOC, defensa | Principiante–intermedio | Sí (limitado) | Blue team, analistas SOC |
| RangeForce | Defensa corporativa | Intermedio–avanzado | No (corporativo) | Equipos SOC empresariales |
¿Cuál elegir según tu nivel y objetivo?
Si acabas de empezar
Comienza en TryHackMe. Su plan gratuito da acceso a suficiente contenido para los primeros meses. Cuando las rooms guiadas te queden pequeñas, salta a Hack The Box o a OffSec Proving Grounds. Paralelamente, haz los laboratorios de PortSwigger Web Security Academy (gratis y excelentes) si el hacking web te interesa.
Si ya tienes bases y buscas reto real
Hack The Box es el paso natural. Empieza por las máquinas retiradas «Easy» (accesibles con el plan VIP), lee los writeups cuando te atasques y construye metodología. Si lo tuyo es la web, combínalo con PortSwigger o PentesterLab.
Si preparas el OSCP
Usa OffSec Proving Grounds + Hack The Box. La lista de máquinas recomendadas por la comunidad para OSCP (disponible en varios repos de GitHub) te da una selección concreta. El PEN-200 de OffSec incluye sus propios laboratorios, que son la preparación más directa.
Si te orienta el lado defensivo
Blue Team Labs Online es el sitio más accesible para empezar con forense e incidentes. TryHackMe también tiene rutas de SOC y defensa. Para profundizar en SIEM y threat hunting, RangeForce tiene más profundidad pero el acceso es más corporativo.
Si tu presupuesto es cero
Tienes más de lo que necesitas gratis: PortSwigger Web Security Academy (web), TryHackMe (nivel básico con plan free), VulnHub (laboratorio local), OverTheWire y picoCTF (retos). Con eso tienes meses de práctica sin gastar un euro.
Si quieres saber qué certificaciones encajan con cada plataforma de práctica, consulta nuestro Mapa de Certificaciones de Seguridad y la guía de mejores cursos gratuitos de ciberseguridad.
Preguntas frecuentes
¿Puedo practicar hacking sin instalar nada?
Sí. TryHackMe, Hack The Box y PortSwigger Web Security Academy funcionan completamente desde el navegador. No necesitas máquina virtual ni instalación local para empezar.
¿Es legal practicar en estas plataformas?
Sí. Todas las plataformas de esta lista son entornos controlados y legales, creados específicamente para practicar con permiso explícito. Lo que NO es legal es aplicar estas técnicas en sistemas reales sin autorización.
¿TryHackMe o Hack The Box para empezar?
TryHackMe para la mayoría de principiantes: tiene más guía, mejor curva de aprendizaje y no te atasca al primer obstáculo. HTB es más efectivo cuando ya tienes una metodología básica y quieres retos sin pistas.
¿Qué plataforma prepara mejor para el OSCP?
OffSec Proving Grounds (especialmente con el PEN-200 oficial) y Hack The Box (con la lista de máquinas equivalentes al OSCP que comparte la comunidad). La clave no es la plataforma sino el hábito: explotar una máquina al día es más efectivo que maratones esporádicos.
¿Hay plataformas gratuitas para blue team?
Blue Team Labs Online tiene plan gratuito con varios laboratorios de calidad. TryHackMe también tiene salas de defensa, forense e incidentes accesibles con el plan free.
¿Vale la pena pagar por una suscripción?
Depende de tu ritmo. Si practicas todos los días, una suscripción mensual a TryHackMe o HTB VIP se amortiza rápido. Si vas a rachas, empieza con los planes gratuitos y paga solo cuando los agotes. PortSwigger Web Security Academy y VulnHub nunca te costarán nada.
