🛡️ Guía independiente de formación en ciberseguridad · Certificaciones, itinerarios y cursos
InicioCursos
Curso · 10 módulos

Curso de Hacking Web: Pentesting de Aplicaciones Web desde Cero

Curso de Hacking Web: Pentesting de Aplicaciones Web desde Cero

Las aplicaciones web son hoy el principal campo de batalla de la ciberseguridad. Cada formulario de login, cada API, cada carrito de compra es una superficie de ataque potencial. Los profesionales que saben encontrar esas vulnerabilidades antes que los atacantes son los más demandados del sector: se llaman pentesters web o hackers éticos, y este curso te enseña a serlo.

Este es un curso práctico, técnico y progresivo. No aprenderás teoría vacía: aprenderás a usar las mismas herramientas y técnicas que utilizan los profesionales del pentesting, sobre entornos de laboratorio legales que montarás tú mismo desde el primer módulo. Al terminar tendrás una base sólida para afrontar certificaciones reales, programas de bug bounty y proyectos de auditoría profesional.

¿A quién va dirigido este curso?

  • Principiantes motivados que quieren entrar en ciberseguridad por la puerta del hacking web, no por la teoría.
  • Desarrolladores web que quieren entender cómo se explotan las vulnerabilidades que crean, para poder parchearlas mejor.
  • Técnicos IT y sysadmins que necesitan evaluar la seguridad de las aplicaciones que administran.
  • Cualquier persona que esté preparando certificaciones como eJPT, PNPT u OSCP y quiera reforzar la parte de aplicaciones web.

No necesitas ser un experto. Sí necesitas tener curiosidad, ganas de practicar y disposición para leer mensajes de error (forman parte del aprendizaje).

¿Qué sabrás hacer al terminar?

Al completar este curso serás capaz de:

  • Montar y gestionar un laboratorio de hacking web completamente legal en tu propio equipo.
  • Usar Burp Suite Community Edition como proxy de intercepción para analizar y manipular el tráfico HTTP/HTTPS.
  • Identificar, entender y explotar las vulnerabilidades más críticas según el OWASP Top 10: inyección SQL, XSS, IDOR, SSRF, autenticación rota, deserialización insegura y más.
  • Realizar un proceso de reconocimiento web completo: enumeración de subdominios, directorios, tecnologías y puertos.
  • Analizar el comportamiento de una aplicación web como lo haría un auditor profesional.
  • Documentar los hallazgos con el rigor que exige un informe de pentesting real.
  • Participar en plataformas de práctica como PortSwigger Web Security Academy, HackTheBox o TryHackMe.
  • Entender el marco legal y ético del hacking, condición imprescindible para ejercer de forma profesional.

Requisitos previos

Este curso está diseñado para que puedas seguirlo sin experiencia previa en hacking, pero sí necesitas un mínimo de base técnica:

  • Redes básicas: saber qué son IP, puerto, protocolo TCP/IP, HTTP y HTTPS. No hace falta configurar routers, pero sí entender qué pasa cuando abres una URL.
  • Línea de comandos Linux: moverte por directorios (cd, ls), ejecutar comandos, editar ficheros con nano o similar. Si nunca has usado Linux, dedica unas horas a un tutorial básico antes de empezar.
  • Navegador web con herramientas de desarrollador: saber abrir las DevTools (F12) y entender que las peticiones HTTP tienen cabeceras, cuerpo y respuesta.
  • Equipo con al menos 8 GB de RAM y 40 GB de disco libre para el laboratorio virtual.

Si cumples esos puntos, estás listo. El resto lo construyes módulo a módulo.

El laboratorio que montarás

Uno de los primeros pasos del curso es montar tu propio laboratorio de hacking web. No necesitas hardware especial ni acceso a servidores externos: todo corre en tu propio equipo, de forma completamente aislada.

El laboratorio incluye:

  • Una máquina virtual con Kali Linux (o tu distribución preferida) sobre VirtualBox, con red aislada del exterior.
  • OWASP Juice Shop: una aplicación web deliberadamente vulnerable, moderna, realista y con más de 100 retos graduados. Es la diana principal del curso.
  • DVWA (Damn Vulnerable Web Application): aplicación clásica para practicar SQL injection, XSS, File Upload y otras técnicas con nivel de dificultad ajustable.
  • Burp Suite Community Edition como proxy central de intercepción.
  • Acceso a PortSwigger Web Security Academy, plataforma online gratuita con más de 190 laboratorios interactivos.

El primer módulo te lleva de la mano por la instalación y configuración de todo esto. Cuando termines, tendrás un entorno funcional y listo para atacar.

Metodología del curso

El curso sigue la misma metodología que usa un pentester profesional en un encargo real, estructurada en fases:

  1. Reconocimiento: recopilar información sobre la aplicación sin interactuar directamente con ella (subdominios, tecnologías, metadatos).
  2. Enumeración: mapear la superficie de ataque de forma activa (directorios, endpoints, formularios, parámetros).
  3. Análisis de vulnerabilidades: identificar puntos débiles usando Burp Suite y técnicas manuales.
  4. Explotación: demostrar el impacto real de cada vulnerabilidad sobre el laboratorio propio.
  5. Post-explotación y documentación: qué hacer tras comprometer una aplicación y cómo redactar un informe profesional.

Cada módulo combina explicación conceptual, demostración paso a paso y ejercicios prácticos sobre el laboratorio. Los comandos son reales y reproducibles. Las herramientas son las que usa la industria. No hay atajos de papel.

Para ampliar la práctica, el curso se complementa con recursos externos: la PortSwigger Web Security Academy, HackTheBox y TryHackMe ofrecen entornos adicionales donde seguir entrenando.

Ética y legalidad: la base de todo

Aviso legal obligatorio: Las técnicas de este curso están diseñadas para usarse exclusivamente en laboratorios propios o en sistemas sobre los que tienes autorización escrita. Acceder a sistemas ajenos sin permiso es un delito en España (art. 197 bis y siguientes del Código Penal), en la Unión Europea y en prácticamente cualquier país del mundo. El desconocimiento de la ley no exime de responsabilidad.

El hacking ético existe porque las empresas necesitan que alguien encuentre sus vulnerabilidades antes que los atacantes. Eso requiere un contrato, un alcance definido y un compromiso de confidencialidad. A lo largo del curso aprenderás no solo las técnicas, sino también el marco profesional que hace que aplicarlas sea legal y legítimo.

Si te interesa dedicarte a esto profesionalmente, te recomendamos también revisar nuestra guía de certificaciones de ciberseguridad y la guía completa de hacking web, donde encontrarás el mapa completo del sector.

¿Por dónde empiezo?

El primer módulo es obligatorio aunque tengas experiencia previa. Establece el laboratorio, las herramientas y el marco ético sobre el que se construye todo lo demás. A partir de ahí, el temario avanza de forma progresiva: puedes seguirlo en orden o saltar a los módulos que más te interesen una vez tengas el laboratorio listo.

Empieza ahora. El laboratorio estará funcionando en menos de una hora.

Temario del curso

  1. 01 Módulo 1: Ética, marco legal y montaje del laboratorioMarco legal del hacking ético en España (art. 197 bis CP), montaje del laboratorio con VirtualBox y Kali Linux, Burp Suite con FoxyProxy y…
  2. 02 Módulo 2: Cómo funciona la web por dentro (HTTP, sesiones y Burp)Anatomía de HTTP/HTTPS, cookies, sesiones, Same-Origin Policy, CORS y TLS. Práctica guiada con Burp Suite Community sobre OWASP Juice Shop.
  3. 03 Módulo 3: Reconocimiento y mapeo de aplicaciones webMapeo de aplicaciones web para pentesting: reconocimiento pasivo y activo, fingerprinting con WhatWeb y Burp Suite, content discovery con ffuf y gobuster.
  4. 04 Módulo 4: Inyección SQL (SQLi)Aprende qué es la inyección SQL, sus tipos (UNION, blind boolean y time-based), cómo detectarla en DVWA con sqlmap y cómo prevenirla con prepared…
  5. 05 Módulo 5: Cross-Site Scripting (XSS)XSS: qué es, tres tipos (reflejado, almacenado, DOM-based), práctica en DVWA y Juice Shop, y prevención con codificación de salida, CSP y DOMPurify.
  6. 06 Módulo 6: CSRF y SSRFAprende qué son CSRF y SSRF, cómo se explotan en laboratorio y cómo prevenirlos. Incluye PoC, PortSwigger labs y defensa para desarrolladores.
  7. 07 Módulo 7: Autenticación y gestión de sesionesDetecta y explota fallos de autenticación y sesiones: fuerza bruta, credential stuffing, JWT inseguros y MFA roto. Labs en Juice Shop y PortSwigger.
  8. 08 Módulo 8: Control de acceso roto e IDORBroken Access Control (OWASP A01:2021): IDOR, escalada de privilegios horizontal y vertical, forced browsing y prevención con RBAC y deny by default.
  9. 09 Módulo 9: Subida de archivos y ejecución remota (RCE)Subida de archivos sin restricción y RCE: técnicas de bypass de validación, lab paso a paso en DVWA y defensa en profundidad para prevenirlo.
  10. 10 Módulo 10: El informe de pentest profesionalAprende a redactar un informe de pentest profesional: estructura, hallazgos con CVSS, resumen ejecutivo y buenas prácticas de entrega al cliente.

Empezar el curso →