Al igual que con cualquier otra actividad profesional, en el mundo del hacking ético la práctica hace al maestro. En la actualidad hay miles de hackers éticos analizando bases de datos, sitios web, aplicaciones móviles y otras implementaciones en busca de vulnerabilidades de seguridad que pudieran ser explotadas, todo con el fin de notificar a los administradores y, en el mejor de los casos, obtener una recompensa.
La búsqueda de vulnerabilidades en la naturaleza es un trabajo que requiere de mucha práctica, por lo que para los investigadores de seguridad las plataformas y herramientas que les permiten desarrollar sus habilidades se han convertido en un recurso de gran utilidad, aunque vale la pena pensar acerca de las mejores herramientas disponibles.
En esta ocasión, los expertos en pentesting del Instituto Internacional de Seguridad Cibernética (IICS) presentan un listado con las mejores plataformas para la práctica y perfeccionamiento de las habilidades de hacking y prácticas Capture The Flag (CTF).
Hack the Box
Esta es una de las plataformas de pentesting más importantes del mundo, disponiendo de 127 sistemas vulnerables, 65 tareas CTF y múltiples implementaciones virtuales de AD hardcore.
Durante los más recientes años Hack The Box se ha convertido en una herramienta popular entre los expertos en pentesting, ya que presenta una interfaz web conveniente para la administración de instancias activas de máquinas virtuales, amplio soporte técnico y una lista de hosts vulnerables constantemente actualizada.
Web-Security Academy
Esta es una plataforma desarrollada por los creadores de Burp Suite muy popular entre los cazadores de recompensas por vulnerabilidades.
OWASP Juice Shop
Esta es una aplicación web escrita en JavaScript con fines de entrenamiento en pentesting. Esta plataforma está llena de fallas de seguridad diseñadas para que los usuarios puedan explotarlas, como un método fantástico para la capacitación en ciberseguridad.
Pentesterlab
Esta es una plataforma que proporciona laboratorios en línea dedicados al despliegue de pruebas de penetración. Este sitio web ofrece una gran variedad de actividades gratuitas para todos los interesados en perfeccionar sus habilidades en pentesting.
Root-Me
Este sitio web le permite mejorar sus habilidades de hacking, con más de 200 ejercicios y 50 entornos virtuales.
VulnHub
Esta es una gran biblioteca de máquinas virtuales que presenta un entorno con ejercicios de pentesting para todos los gustos y niveles de conocimiento.
TryHackMe
Esta es una plataforma de reciente creación que permite a los entusiastas de la ciberseguridad familiarizarse con temas muy interesantes. A diferencia de otras plataformas de carácter autodidacta, TryHackMe emplea toda clase de técnicas para facilitar el aprendizaje, acompañado a los usuarios a lo largo de todo el proceso.
Hacker 101
Este es un sitio didáctico gratuito para cualquier entusiasta del hacking respaldada por la reconocida plataforma recompensas por vulnerabilidades HackerOne.
PentestIt Laboratories
Esta es una plataforma operada desde Rusia como un gran laboratorio de pentesting, lo que permite a los hackers éticos desarrollar sus habilidades de forma constante.
Pentester Academy
A cambio de $249 USD al mes, los usuarios de esta plataforma pueden disponer de múltiples actividades prácticas para desarrollar sus habilidades como hackers éticos y expertos en pentesting.
Attack & Defense
Con más de 2100 actividades de hacking los usuarios de Attack & Defense podrán desarrollar al 100% sus capacidades para el pentesting.
CTF Antichat
Esta es una plataforma para completar tareas enfocadas en la explotación de vulnerabilidades e identificar indicadores de compromiso en los sistemas analizados.
Avatao
Avatao cuenta con alrededor de 600 tareas y tutoriales, más de 10 idiomas y una base de datos de vulnerabilidades muy completa.
Capture The Flag At UCF
Un recurso con gran cantidad de tareas en varias áreas del pentesting.
Exploit Education
Exploit Education proporciona muchos recursos que cualquiera puede utilizar para aprender sobre análisis de vulnerabilidades, desarrollo de exploits, pentesting, análisis binario y muchos otros problemas de ciberseguridad.
CSAW 365
Esta es una comunidad de expertos en ciberseguridad que permite compartir una gran cantidad de información útil para el hacking.
Practical Pentest Labs
Este es un gran laboratorio de pentesting y explotación de fallas en sistemas Windows disponible para aquellos usuarios dispuestos a pagar $43 USD por mes.
Hack.Me
Hack.me es una gran colección de aplicaciones web vulnerables para poner en práctica sus habilidades de hacking. Todas las aplicaciones son proporcionadas por los miembros de la plataforma y cada una de ellas se puede iniciar en un entorno sandbox.
XSS Game
Este es un programa de Google diseñado para practicar la búsqueda de vulnerabilidades XSS.
Hackerdom
Esta plataforma fue desarrollada por los creadores de RuCtf y contiene una gran cantidad de material útil para los expertos en pentesting.
Forkbomb
Este sitio web ruso contiene miles de tareas de hacking gratuitas y es altamente recomendable para los entusiastas del hacking ético y especialistas en pentesting.
FreeHackQuest
Otra gran opción didáctica para que los investigadores desarrollen sus habilidades.
Hacking-Lab
Una plataforma en línea para aprender sobre seguridad de redes y hacking ético. Los hackers podrán desarrollar sus habilidades forenses, de criptografía e ingeniería inversa.
Enigma Group
Enigma Group contiene más de 300 tareas de hacking con un enfoque en los 10 principales exploits de OWASP. El sitio tiene casi 48 mil miembros activos y organiza concursos Capture The Flag de forma semanal.
CTFlearn
CTFlearn es una plataforma que permite a los entusiastas del hacking poner en práctica sus habilidades y competir con otros investigadores. Esta plataforma almacena un amplio conjunto de actividades gratuitas en toda clase de áreas.
CTF Komodo
Komodo Consulting desarrolló una plataforma completamente enfocada en el hacking de aplicaciones, permitiendo a los investigadores ganar experiencia en el análisis de vulnerabilidades.
RINGZER0 TEAM ONLINE
RingZer0 Team Online CTF ofrece más de 200 desafíos que pondrán a prueba sus habilidades de hacking en múltiples áreas, desde criptografía, análisis de malware hasta inyección SQL y pentesting.
WeChall
Este sitio web contiene alrededor de 61 sitios activos con tareas Capture The Flag divididos en múltiples niveles de dificultad.
Hack This Site
Este es un sitio gratuito de juegos de guerra para que cualquier usuario pueda probar y mejorar sus habilidades de hacking, desde tareas básicas hasta complejos análisis. Este sitio web también incluye un foro para que los usuarios puedan compartir sus experiencias con la comunidad del hacking ético y pentesting.
W3CHALLS
W3Challs es una plataforma de aprendizaje multitarea organizada en una variedad de categorías, incluyendo hacking, juegos de guerra, análisis forense, criptografía, esteganografía y programación en múltiples lenguajes.
Game of Hacks
Game of Hacks muestra un conjunto de fragmentos de código en un cuestionario con múltiples opciones, entre las cuales los usuarios deberán identificar la vulnerabilidad correspondiente.
WebGoat Project
Este sitio está especialmente enfocado en la formación de hackers éticos y expertos en pentesting. WebGoat es una herramienta multiplataforma que puede ser ejecutada en cualquier sistema operativo con Apache Tomcat y Java SDK.
SQLI Labs
Esta plataforma permite a los usuarios probar habilidades para trabajar con inyecciones SQL y cuenta con 65 tareas ordenadas según su nivel de dificultad.
PicoCTF
Este es un recurso muy interesante con una gran cantidad de tareas e instrucciones para los entusiastas del pentesting.
Defend the Web
Esta es una plataforma de seguridad interactiva donde los investigadores pueden mejorar sus habilidades de hacking. Defend the Web cuenta con más de 60 niveles de dificultad para desarrollar las más sofisticadas habilidades.
OVERTHEWIRE
Esta es la plataforma ideal para todos los interesados en el estudio teórico de la seguridad informática sin importar su nivel de experiencia.
Incluso los hackers principiantes pueden encontrar gran orientación para la resolución de cuestiones prácticas en OverTheWire.
PWNABLE.TW
Este es un sitio web de juegos de guerra para que los hackers y pentesters pongan a prueba sus habilidades.
Command Challenge
Una gran opción para desarrollar sus habilidades de hacking.
IO
Este es un juego de guerra de los creadores de netgarage.org, una comunidad donde personas de ideas afines comparten conocimientos sobre seguridad, inteligencia artificial, realidad virtual y más.
Google Gruyere
Esa plataforma escrita en Python ofrece capacidades de pentesting y hacking de sombrero negro y sombrero blanco para que los expertos aprendan a pensar como investigadores y cibercriminales.
CTFTIME
Si bien CTFtime no es un sitio de hacking como los demás en esta lista, es un gran recurso para mantenerse al día con las competiciones de CTF que se llevan a cabo en todo el mundo.
Mutillidae
Esta es una plataforma gratuita de código abierto para el pentesting de aplicaciones web. La aplicación se proporciona como una instancia de PHP / MySQL para auto-implementación.
Damn Vulnerable Web Application
Esta plataforma resultará de gran ayuda para los profesionales de la seguridad que deseen probar sus habilidades en un entorno legal. Al igual que el ejemplo anterior, esta aplicación se proporciona como una instancia de PHP / MySQL para auto-implementación.
bWAPP
Esta es una aplicación web especializada de código abierto que contiene alrededor de 100 vulnerabilidades clasificadas según la metodología OWASP.
Metasploitable 2
Metasploitable 2 es como un saco de boxeo para pentesters y programas como Metasploit y Nmap. Todos los puertos están abiertos y todas las vulnerabilidades conocidas están presentes en esta plataforma.
Metasploitable 3
Esta es una una máquina virtual gratuita que permite a los usuarios simular ataques usando Metasploit. Esta es una de las herramientas favoritas de los especialistas en ciberseguridad.
ThreatGEN: Red vs. Blue
Una excelente plataforma para sumergirse en el mundo de los juegos de guerra y el hacking ético.
Hacknet
Hacknet es un simulador de hacking con una interfaz de terminal de computadora presentada en forma de un divertido juego de rol.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad