Módulo 10 · Lección 1 · 20 minutos

🏆 Plataformas CTF — tu «gimnasio» de hacking

Dónde practicar de forma legal y crecer constantemente. Desde «completamente principiante» hasta «participar en torneos internacionales».

📖 Por qué debes saber esto

El curso ha terminado. ¿Qué sigue? ¿Libros? ¿Conferencias? No. Solo práctica.

Los corredores no leen «teoría de correr» — corren. Los hackers no «estudian el hacking» — hacen hacking en máquinas de práctica. Esto se llama CTF — Capture The Flag, «capturar la bandera».

La plataforma CTF = «gimnasio» para hackers. Cientos de máquinas especialmente vulnerables para practicar. De forma legal, legal, legal. Esta lección — qué plataformas elegir y en qué orden.

🏋️ ¿Qué es CTF

🎯 En resumen en 30 segundos

CTF = competencia/entrenamiento de hacking en máquinas de práctica.

En la «bandera» está escrito un texto secreto como flag{ab12cd34}. Te dan acceso a una máquina de práctica — tu tarea es hackearla y encontrar la bandera. La encuentras — la ingresas en el sitio de la plataforma, obtienes puntos.

Las plataformas tienen cientos de esas máquinas de diferentes niveles de dificultad: desde «5 minutos de calentamiento» hasta «3 semanas en equipo».

⭐ Principales plataformas

Plataforma	Precio	Para quién	En resumen
PortSwigger Web Academy	Gratis	Todos	«El mejor pentest web del mundo, siempre gratis»
OverTheWire	Gratis	Completamente principiantes	«Linux y bases a través de un juego de SSH»
TryHackMe	$14/mes o Free-tier	Principiantes	«Tutoriales + laboratorios, camino suave al pentest»
HackTheBox	$14-20/mes	Después de TryHackMe	«Máquinas realistas, estándar de la industria»
Standoff (PHDays)	Gratis	Hablantes de ruso	«Plataforma rusa, premios en rublos»

🗺 Camino ideal para principiantes

📋 En orden (tiempo total ~6-12 meses)

OverTheWire Bandit (1-2 semanas) — juego de aprendizaje de línea de comandos de Linux. Ideal después del Módulo 2 de este curso.
PortSwigger Web Academy (4-6 semanas) — completar 30+ laboratorios de SQL Injection, XSS, IDOR.
TryHackMe «Pre Security» (2-3 semanas) — visión general de redes, web, Linux.
TryHackMe «Jr Penetration Tester» (8-12 semanas) — camino completo de junior pentester.
HackTheBox Tier 0 + Tier 1 (4-6 semanas) — «muy fáciles» máquinas con reconocimiento real.
HackTheBox Tier 2+ (3-6 meses) — Medio y Difícil, ya eres de nivel junior.

Al final de este camino, eres un verdadero junior pentester.

🎯 ¿Con qué plataforma empezar hoy

💡 Respuesta simple

Si aún no has probado nada — ve a OverTheWire Bandit. Gratis, sin registro, juegas a través de SSH. Es el «continuación» ideal de las lecciones 2.x de este curso.

Después de Bandit (1-2 semanas) — abre PortSwigger Web Academy y resuelve las primeras 10 lecciones de SQL Injection.

En 2 meses, habrás completado más que muchos en 6 meses de «teoría».

🏅 Grandes torneos CTF (después de un año de experiencia)

Después de un año de práctica, puedes participar en verdaderas competencias:

DEF CON CTF — el principal CTF del mundo. Clasificación en línea → final en Las Vegas.
PHDays CTF — ruso, fondo de premios en millones de rublos.
HTB Business CTF — competencias en equipo con premios.
picoCTF — CTF de aprendizaje de Carnegie Mellon, para principiantes.
CTFtime.org — calendario de todos los CTF del mundo, para no perderse.

Los mejores equipos reciben $50 000 — $500 000 en premios.

🤔 Prueba simple de comprensión

¿Qué es un «flag» en CTF? → Texto secreto del tipo flag{...}, que debes encontrar al hackear una máquina de práctica
¿Con qué plataforma empezar como principiante? → OverTheWire Bandit (gratis, bases de Linux)
¿Qué plataforma es la mejor para vulnerabilidades web? → PortSwigger Web Academy, gratuita
¿Qué plataforma se considera «estándar de la industria»? → HackTheBox
¿Cuánto dura aproximadamente el camino de principiante a junior? → 6-12 meses de práctica activa

🛠 Puedes no hacerlo, pero es interesante

En ctftime.org hay un gran archivo de writeup — soluciones de tareas CTF de otros con explicaciones. Cuando te quedes atascado en una máquina de HackTheBox — lee los writeup de tareas similares. No copies, pero mira el enfoque. Es un gran tutorial.

🤖 Vibe-task: pregúntale a Claude

Abre Claude y pide:

He terminado «Hacking desde cero». Estoy listo para ir a HackTheBox Tier 0.

Indícame el plan para el primer mes en HTB:
1. Con qué máquina específica empezar (nombre de Tier 0)
2. En qué centrarte la primera vez
3. Qué herramientas necesitarás (todo ya del curso)
4. Si te quedas atascado en una máquina — dónde buscar pistas
5. Qué 5 máquinas de Tier 0/Tier 1 resolver en un mes,
   para entender los patrones

Explicámelo como a un niño de 10 años. Sin jerga.

💡 Principales conclusiones de la lección

🎓 Qué llevarte contigo

CTF = «gimnasio para hackers» — práctica legal en máquinas de práctica.
Gratis para empezar: OverTheWire Bandit + PortSwigger Web Academy.
Pago después: TryHackMe ($14/mes), luego HackTheBox.
Camino de principiante: 6-12 meses de práctica activa hasta junior.
CTFtime.org — calendario de torneos y archivo de writeup.
Los mejores equipos en grandes CTF reciben $50k-500k en premios.

🎬 ¿Qué sigue

Lección 10.2 — certificaciones. OSCP, CRTO, CPTS — qué ofrecen, cuánto cuestan, en qué orden seguir. ¿Vale la pena o es suficiente la práctica de HackTheBox + bug bounty?

← Al módulo Lección 10.2: Certificaciones →