Saltar al contenido
Portada » Blog – Laprovittera Carlos » Práctica Pentesting web en Try Hack Me

Práctica Pentesting web en Try Hack Me

En este capítulo, Práctica Pentesting web en Try Hack Me, veremos que la ciberseguridad no se domina solo leyendo manuales de mil páginas, sino ensuciándose las manos en entornos donde la teoría se estrella contra la realidad. Aquí es donde aparece TryHackMe, el campo de entrenamiento definitivo que ha transformado el aprendizaje técnico en un ecosistema de «aulas virtuales» (Rooms). En este espacio, no solo recibes teoría; recibes una máquina virtual en la nube y el permiso legal para intentar romperla. Es un laboratorio de experimentación constante donde el error no es un fracaso, sino el paso previo a la maestría.


Nota: No tengo relación con THM ni HTB. Alguna de estas máquinas son gratis otra de pago. Si quieren pasarse a la versión de pago les recomiendo ver si hay cupones de descuento, les puede salir hasta un 50% menos. El plugin de coupert anda bastante bien…

TryHackMe

Es una plataforma web compuesta por diferentes aulas virtuales (Rooms) con las que podremos entrenar nuestras habilidades resolviendo las tareas que en estas nos proponen. Hay gran variedad de Rooms, la mayoría con VM alojadas en el cloud que tendremos que hackear. Las hay de todos los niveles y en las que tendremos que emplear gran variedad de tecnologías y técnicas diferentes para resolver sus preguntas y retos. Cuantos más retos vayamos resolviendo, más puntos ganaremos. Estos puntos sirven para ir subiendo de nivel y pasar de novato a un hacker más experimentado, y además también nos servirán para escalar posiciones en los diferentes rankings.

Metodología

Combinación de guías didácticas teóricas con práctica inmediata. Si te atascas, el sistema de ‘pistas’ te ayuda a reencender el foco.

Uno de los puntos fuertes de TryHackMe, es que las tareas planteadas nos marcan un camino a seguir para terminar resolviendo el CTF de la máquina virtual. Además, en muchas tareas se plantea una breve introducción teórica sobre lo que nos pedirán en las preguntas. Hay diferentes temáticas para las Rooms: Web, Windows, Linux, Forense, Networking, Criptografía, …etc. Gran variedad para ir aumentando nuestras habilidades en diferentes campos de la ciberseguridad.

Ir resolviendo las diferentes Rooms nos otorgará puntos e insignias conforme lo hayamos logrado, estos puntos nos servirán para mejorar nuestra clasificación en el ranking e ir elaborando un perfil que poco a poco indica que somos hackers más experimentados. También existen los Paths, que básicamente son un conjunto de Rooms agrupadas en base a adquirir conocimientos para un objetivo. (Por ejemplo, las certificaciones Comptia Pentest+ o el OSCP).

TryHackMe es un recurso muy interesante para adquirir y practicar nuestras habilidades como hackers. El hecho de que combine las guías didácticas con la práctica de los CTF y el punto competitivo de la gamificación hace que TryHackMe sea un recurso a tener muy en cuenta.

Aprender hacking es el nuevo deporte de élite

A diferencia de los métodos tradicionales, TryHackMe entiende que nuestro cerebro brilla bajo el estímulo de la competencia. La plataforma utiliza puntos, insignias y niveles —desde «novato» hasta «hacker experimentado»— para transformar el estudio en un deporte de alto rendimiento mental. Cada tarea resuelta te permite escalar en rankings globales, haciendo que el progreso sea tangible y, honestamente, adictivo.

Como mentor, mi consejo es claro: no te estafes. Al final de las guías encontrarás las respuestas, pero la idea es que lo resuelvas tú mismo. El verdadero aprendizaje ocurre en ese momento de frustración, cuando algo no sale y te obligas a pensar diferente. La combinación de guías didácticas, retos tipo CTF (Capture The Flag) y competitividad es lo que hace de este recurso algo fundamental que supera por mucho a cualquier whitepaper estático. 

Al terminar cada ruta te dan una «certificación» de la ruta completada. 

Llevas un registro de las máquinas completadas

Y tu actividad durante el año…

Pre Security – Fundamentos de informática

No puedes romper lo que no entiendes. Una de las revelaciones más crudas para cualquier aspirante a pentester es que el hacking no comienza lanzando exploits sofisticados, sino dominando los fundamentos. La ruta «Pre-Security» es el cimiento indispensable. Diseñada como una forma divertida y fácil de aprender, esta ruta reemplaza a la antigua «Complete Beginner» y se enfoca en los pilares: Linux, Windows, Redes y Fundamentos de informática.

Dominar cómo viaja un paquete de datos o cómo se gestionan los permisos en un sistema operativo es lo que te separa de ser un simple script kiddie. «Para atacar o defender cualquier tecnología, primero debes aprender cómo funciona». Antes de intentar vulnerar un servidor, debes entender su arquitectura. Esta ruta garantiza que, cuando llegues a las herramientas avanzadas, comprendas exactamente qué está sucediendo «bajo el capó».

Esta sección se enfoca en presentar la plataforma TryHackMe y la industria de la ciberseguridad y viene a reemplazar a la vieja ruta «Complete Beginner» . Una vez que comprendas el concepto de sala virtual en TryHackMe, comenzarás a explorar las diferentes carreras en ciberseguridad para tener una mejor idea de lo que te gustaría hacer. Después de lo cual, aprenderá cómo investigar de manera efectiva para obtener respuestas complejas: la ciberseguridad es un campo muy amplio y comprender cómo encontrar información relevante será extremadamente útil.

Cyber Security 101 – Fundamentos de la ciberseguridad

Desarrollar las habilidades de ciberseguridad necesarias para ingresar a cualquier carrera en la industria. Esta ruta, ideal para principiantes, ofrece una sólida introducción a las diferentes áreas de la seguridad informática. Abarca los conceptos y aplicaciones fundamentales de:

  • Redes informáticas y criptografía
  • Conceptos básicos de MS Windows, Active Directory y Linux
  • Herramientas de seguridad ofensivas y explotación del sistema
  • Soluciones y herramientas de seguridad defensiva
  • Carreras en ciberseguridad

Habilidades profesionales en ciberseguridad

Domina las habilidades específicas necesarias para la carrera que te interesa. ¿No estás seguro de qué carrera es la adecuada? Tienen un test de orientación profesional para descubrirlo.

Luego van a tener que elegir una ruta. Iremos obviamente por la de Penetration Tester. Hay que tener en cuenta que, a veces la información aportada por TMH no es suficiente y toca salir a investigar. Cualquier información puede ser potencialmente útil, puedes usar blogs, Wikipedia o cualquier otra cosa que contenga lo que estás buscando! Los blogs, especialmente, a menudo pueden ser muy valiosos para aprender cuando se trata de seguridad, ya que muchos investigadores de seguridad mantienen un blog. Ahora trae una IA integrada, También existen varias como ChatGPT, que hay días que suman y otros tienen una utilidad bastante discutible.

De todas formas, una vez que hayas completado la sala, es de esperar que ahora hayas establecido la base de una metodología para abordar las preguntas de investigación que encuentres por vos mismo. La gran mayoría de las salas en TryHackMe se pueden resolver simplemente utilizando el conocimiento que se encuentra en Google.

Al final de las traducciones y explicaciones de cómo llegar al resultado veras las respuestas. No te estafes, la idea es que lo puedas resolver vos mismo. Justamente, y como la idea es aprender, voy a complementar estos CTF con información adicional más allá de la aportada por THM y que sea más que un simple whitepaper.

Iniciaremos con Web Fundamentals

En palabras de THM: El objetivo de esta ruta es enseñarte a atacar aplicaciones web. Para atacar y explotar aplicaciones web con éxito, necesitas comprender su funcionamiento.

  • La primera sección (Fundamentos Web) te proporcionará todos los conocimientos necesarios. 
  • La segunda sección (Herramientas de seguridad) se centra en aprender a utilizar las herramientas estándar de la industria para interactuar con sus objetivos. 
  • La tercera sección (Vulnerabilidades) abarca diversas vulnerabilidades presentes en las aplicaciones web actuales. Esta sección analizará las causas de estas vulnerabilidades y le brindará experiencia práctica sobre cómo explotarlas.
  • La sección final (La práctica hace al maestro) te ayudará a aplicar lo que has aprendido en las secciones anteriores.

Después de completar esta ruta, deberías poder:

  • Comprender cómo funcionan las aplicaciones web
  • Utilizar herramientas estándar de la industria al atacar aplicaciones web
  • Explicar y explotar vulnerabilidades comunes de la web
  • Aplicar este conocimiento a otros objetivos (ya sea en una entrevista o en una evaluación de seguridad de aplicaciones web profesionales)

Prerrequisitos

Necesitas conocimientos básicos del funcionamiento de las aplicaciones web para completar esta ruta. Si aún no tienes estos prerrequisitos, completa la Ruta de Pre-Seguridad . 

La progresión en TryHackMe es una escalera técnica diseñada para que aprendas a «encadenar vulnerabilidades». No se trata solo de usar herramientas, sino de construir cadenas de ataque (attack chains) complejas. Todo comienza en Web Fundamentals, donde desglosas protocolos como DNS y HTTP para entender la superficie de ataque de la web.

Esta ruta se divide en cuatro pilares esenciales:

  • Fundamentos: Entender cómo funciona la web (DNS, HTTP y componentes del lado del servidor).
  • Herramientas: Dominar el estándar de la industria, como Burp Suite: Repeater e Intruder.
  • Vulnerabilidades: Análisis y explotación práctica de fallos como Inyecciones SQL, XSS y File Inclusion.
  • Práctica: Aplicar lo aprendido en máquinas reales y retos dinámicos como el famoso «Pickle Rick».

Podemos ver que en cada sección del acordeón tenemos más opciones: 

Burp Suite es la Herramienta Estándar: Esencial para cualquier prueba de penetración web. Actúa como un «Man-in-the-MiddIe» para interceptar y modificar todo el tráfico entre tu navegador y el servidor.

El Ranking de Amenazas  (NUEVO!!!!!)

Estudio y explotación de los  riesgos de seguridad más críticos  según OWASP (listas 2021 y  2025).

  • Fallos de Diseño
  • Manejo Inseguro de Datos
  • Fallos de Identificación y Autenticación (IAAA)

Por supuesto vamos a verlas a todas =). Las iré publicando según el índice de THM (lo mismo aplica a HTB y los demás labs) Algunos ejercicios son simples y requieren responder preguntas. Otros son más prácticos y dinámicos y requieren hacer alguna tarea, mayormente simple y luego directamente esta más maquinas que deberás hackear. Tengan en cuenta que tanto el contenido como las respuestas son en inglés, pueden traducir el contenido fácilmente. Las respuestas siempre serán en inglés y no son Case Sensitive así que no importa si usan mayúsculas o no.

Una vez superado esto, el camino te lleva hacia el Red Teaming, donde los retos suben de tono: aprenderás técnicas avanzadas de evasión de defensas, como el Bypassing de WAFs (Web Application Firewalls) y ataques de HTTP Request Smuggling.

Pruebas de penetración de aplicaciones web

Luego pasaremos a la ruta avanzada en donde aprenderás de forma práctica las diversas vulnerabilidades que pueden existir en las aplicaciones web y cómo realizar evaluaciones de seguridad de las aplicaciones web.

Interactúas con aplicaciones web a diario. ¡Con solo leer la información aquí, ya estás usando una! Entender cómo probar aplicaciones web es una habilidad fundamental que casi todo pentester necesita. Incluso si quieres especializarte en probar otros sistemas, como redes o la nube, una sólida base en pruebas de aplicaciones web te será de gran ayuda en este proceso. Este curso cubre temas clave que necesitas comprender para las pruebas de aplicaciones web, como:

  • Ataques de autenticación
  • Ataques de inyección
  • Ataques avanzados del lado del servidor
  • Ataques avanzados del lado del cliente
  • Contrabando de solicitudes HTTP

Completar esta ruta de aprendizaje le permitirá aprender y convertirse en un gran evaluador de penetración de aplicaciones web. Esta son las secciones de esta ruta:

Autenticación

Injection Attacks

Advanced Server-Side Attacks

Advanced Client-Side Attacks

HTTP Request Smuggling

Web Application Red Teaming (NUEVO!!!!!!!)

Verás conceptos como Prompt Injection (manipular la entrada para engañar a la IA), Model Poisoning (corromper el entrenamiento del modelo) y el crítico Insecure Output Handling. Integrar estas temáticas en una ruta de Red Teaming es un recordatorio de que el hacker del futuro debe estar preparado para desafiar no solo el código escrito por humanos, sino también la lógica de la inteligencia artificial.

Cambio de Mentalidad

No solo buscar vulnerabilidades, sino construir una metodología de explotación completa y simular adversarios reales.

El hacking evoluciona a la par de la tecnología, y TryHackMe se mantiene a la vanguardia con secciones como «Attacking LLMs». Esto demuestra que la ciberseguridad ya no se limita a servidores tradicionales; ahora debemos saber cómo explotar y asegurar modelos de lenguaje.

Más allá del juego es mentalidad de hacker y metodología

El camino hacia el pensamiento crítico y la lógica ofensiva no es lineal. Es un ciclo constante de experimentar, romper, entender y volver a aprender. Convertirse en un pentester profesional requiere una base metodológica robusta, y dominar estas rutas es el paso previo ideal para atacar el estándar de oro de la industria: la metodología OWASP. Cada máquina virtual que comprometes y cada error que depuras te acercan a la excelencia. La teoría es el mapa, pero la práctica es el territorio.

¡Excelente trabajo llegando hasta aquí!

En este capítulo aprendiste algo fundamental para tu carrera como hacker ético: cómo construir y acceder a un entorno de práctica profesional, qué plataformas existen, cuáles son gratuitas, cuáles son más completas y cómo aprovecharlas para desarrollar una metodología realista.

Ahora conoces:

  • Qué máquinas instalables existen y para qué sirve cada una.
  • Qué aplicaciones vulnerables son mejores para practicar cada tipo de ataque.
  • Cómo estructurar tu aprendizaje para convertirte en un pentester web sólido.

Esta base es esencial: un hacker no nace sabiendo; se forma experimentando, rompiendo, entendiendo y volviendo a aprender.

Desde aquí, cada laboratorio que resuelvas te acercará más al pensamiento crítico, la lógica ofensiva y la profesionalidad que se espera de un pentester.

Lo que viene ahora: práctica real, metodología OWASP, análisis de vulnerabilidades y el comienzo de tus primeros ataques controlados en entornos seguros.

Llegados a este punto, solo queda una decisión: ¿Vas a seguir leyendo sobre cómo otros lo logran o vas a encender tu primera máquina virtual y empezar a romper cosas hoy mismo?

Sigue adelante. Esto recién empieza. 🚀

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *