Todo lo que hay que saber pa meterse en ciberseguridad y hacking

Si quieres aprender ciberseguridad o hacking ético de verdad, no hay una ruta mágica pero sí un montón de cosas importantes que hay que pillar bien. Aquí te dejo todo lo que necesitas saber pa empezar sin humo ni cuentos raros.

Redes: el comienzo de todo

Si no entiendes como funciona internet por dentro, no vas a poder hackear ni proteger nada. Estas son las bases:

• ¿Qué es una IP, una máscara, una puerta de enlace?
• Diferencias entre TCP, UDP, ICMP
• DNS, HTTP, HTTPS, FTP, SSH y otros protocolos típicos
• Cómo escanear puertos con herramientas como Nmap o Masscan
• Cómo hacer sniffing de red con Wireshark o tcpdump

Montar tu servidor desde cero

Aprender haciendo es clave. Puedes montar un servidor web desde tu propia IP local para probar cosas (aunque no sea pa exponerlo al público):

• Instalar un servidor web (nginx, apache, o python3 -m http.server)
• Abrir puertos en tu router (port forwarding)
• Protegerlo con firewall (ufw, iptables, fail2ban)
• Ver logs para detectar escaneos o intentos raros

Esto te enseña un montón de cosas sobre redes, seguridad y cómo se ve el tráfico real.

Herramientas que tienes que dominar

• Burp Suite: para interceptar y manipular peticiones web
• Nmap: escaneo de redes y servicios
• Wireshark: sniffing de tráfico
• Metasploit: explotación de vulnerabilidades conocidas
• Gobuster / Dirsearch: para enumerar directorios ocultos
• Hydra / John / Hashcat: para romper contraseñas o hashes
• LinPEAS / WinPEAS: para enumerar sistemas y buscar escalada de privilegios
• Herramientas OSINT: como theHarvester, Sherlock, Holehe

Qué saber para encontrar vulnerabilidades

• Buscar inyecciones (SQLi, LFI, XSS...)
• Analizar cabeceras HTTP, cookies, tokens
• Comprobar rutas ocultas o endpoints expuestos
• Identificar configuraciones malas (debug activado, backups accesibles, paneles sin autenticación)
• Escuchar y analizar el tráfico que entra y sale

Ciberseguridad no es solo atacar, es proteger

También tienes que saber defender:

• Cómo hacer hardening de un servidor
• Cómo aplicar mínimos privilegios a usuarios
• Cómo detectar intrusiones (IDS, logs, sysmon)
• Backups, monitorización, actualizaciones y buenas prácticas

Qué estudiar o practicar

• CTFs (HackTheBox, TryHackMe, PicoCTF...)
• Laboratorios locales con máquinas virtuales (Kali, Ubuntu, Windows)
• Leer CVEs y pruebas de concepto
• Practicar Python y Bash para automatizar tareas
• Probar vulnerabilidades solo en entornos controlados, nunca en sistemas reales sin permiso

Cosas importantes a tener claras

• Si no tienes permiso, no es ético ni legal
• No uses herramientas automáticas sin saber qué hacen
• No toques sistemas de otros, ni "pa aprender"
• Empieza por entender, no por explotar
• Tén mentalidad de resolver, no de romper

Al final, el hacking real no va de romper cosas a lo loco, sino de entender sistemas, pensar diferente y aprender cada día. Esto lleva tiempo, pero si te mola, se vuelve adictivo.

← Volver al blog