Seguridad

Alternativas de entrenamiento a Hack The Box


Hoy en día son cientos las herramientas que uno tiene si quiere formarse en el ámbito de la ciberseguridad. Por supuesto, tenemos el método académico, con másteres y cursos especializados en la materia, pero solo hace falta una pequeña búsqueda en la red para darse cuenta de que existen alternativas. ¡Y las hay a montones! Cursos online, laboratorios, foros de internet, vídeos… y la lista continua. Pero sin duda, si una herramienta destaca por encima de las demás (por lo menos en el mundo del hacking), esa es la página web de Hack The Box.

¿Qué es Hack The Box?

Hack The Box (o HTB para abreviar) es una plataforma orientada a la práctica de técnicas de hacking. Esta web proporciona también cursos a través de una academia e incluso distintas certificaciones con sus respectivas clases y exámenes. Pero la funcionalidad principal que le ha dado su fama son los laboratorios de CTFs (Capture The Flag), y funcionan de la siguiente manera:

  • Un usuario descarga un archivo de configuración para conectarse a través de una VPN a la red de HTB.
  • Una vez tiene acceso a la red, puede elegir una máquina a la que “unirse”. Esta máquina se trata de un sistema vulnerable que contiene dos archivos o flags.
  • El usuario a través de distintas técnicas debe vulnerar el sistema para obtener acceso tanto a la flag de usuario como a la flag de administrador del sistema.
  • Una vez obtenidos estos archivos, se introduce su contenido en la página de HTB para “ownear” (superar) la máquina.

Esta es la funcionalidad que tanta fama le ha dado a la página, pero como hemos mencionado antes, HTB también ofrece una academia para formarse de un modo más guiado a través de módulos de aprendizaje, para que el usuario pueda aprender sobre la materia que más le interesa. Además, HTB también ofrece a los usuarios certificaciones propias tanto de seguridad ofensiva (Red Team), seguridad defensiva (Blue Team) como de Bug Bounty. Los usuarios pueden llevar a cabo el aprendizaje que proporciona la plataforma y posteriormente realizar el examen para certificarse.

¿Qué alternativas existen?

Si bien Hack The Box es una plataforma excelente tanto para usuarios que se inician en la ciberseguridad como para aquellos que quieren poner en práctica sus conocimientos, es importante saber que esta página no es la única opción. Existe competencia que, dependiendo de lo que busque el usuario, puede llegar a ser una mejor alternativa. Entre esta competencia hablaremos de las siguientes páginas web:

  • VulnHub
  • Root-Me
  • TryhackMe
  • pwn.college

VulnHub

VulnHub es una plataforma que, al igual que HTB, está orientada a practicar y aprender técnicas de hacking mediante CTFs. Hasta aquí parece que VulnHub y HTB ofrecen el mismo servicio, sin embargo, mientras HTB ofrece acceso una red con máquinas vulnerables, VulnHub mantiene una filosofía DIY (Do It Yourself), donde el usuario descarga el archivo OVA de la máquina vulnerable y la configura de manera local. Esto permite al usuario configurar la máquina a sus preferencias y trabajar sin necesidad de tener conexión a internet.

Por otro lado, aunque el entorno de trabajo sea en un principio más seguro ya que no estamos accediendo a una red externa (es importante recalcar que HTB asegura securizar correctamente sus entornos de trabajo online), como podemos leer en la propia página web, “VulnHub es un recurso comunitario gratuito, por lo que no podemos verificar las máquinas que se nos proporcionan. Antes de descargar, lea nuestras secciones de preguntas frecuentes que tratan sobre los peligros de ejecutar máquinas virtuales desconocidas y nuestras sugerencias para “protegerse a sí mismo y a su red”.

En cuanto a términos económicos, debemos tener en cuenta que HTB no es completamente gratuito, ya que sin pagar no tendríamos acceso a todas las máquinas disponibles, y tanto la academia como las certificaciones tienen un precio mensual o anual. Por lo contrario, VulnHub es una página 100% gratuita, y desde el principio el usuario tiene acceso a todas las máquinas que proporciona la plataforma.

Root-Me

Root-Me es una plataforma más humilde y muy centrada en su propia comunidad. Al igual que las anteriores, se centra en ofrecer a los usuarios distintos retos y CTFs como método de práctica y aprendizaje.

Al ser una web comunitaria, permite a los usuarios interactuar entre ellos mediante foros o servidores de Discord lo que sirve de gran soporte para aquellos que puedan necesitar ayuda. Además, la propia página fomenta la contribución mediante un apartado que permite al público crear sus propios CTFs y retos. Una vez la página valida la máquina creada, esta queda disponible para el resto de los usuarios y al creador se le recompensa económicamente.


Por supuesto, al ser una plataforma creada por y para los usuarios, es completamente gratuita y cualquier persona puede contribuir o participar en el proyecto.

TryHackMe

Toca hablar del elefante en la habitación, ya que TryHackMe es, sin duda, el principal competidor de Hack The Box. TryHackMe, a diferencia de Hack The Box y el resto de las plataformas que hemos mencionado, centra su contenido en el aprendizaje guiado mediante lo que la plataforma denomina “learning paths” o “caminos de aprendizaje” en español. Estos “learning paths” contienen distintos módulos con teoría y una serie de mini laboratorios donde el usuario pone en práctica lo que se le ha explicado anteriormente.


Este método está centrado sobre todo en enseñar a gente que se inicia en el mundo del hacking y la ciberseguridad, formándolos desde el inicio en materias como hacking web, técnicas de escalado de privilegios, herramientas como Burp Suite, Metasploit… y mucho más. Por otra parte, al igual que HTB tiene su propia academia que sigue el estilo de enseñanza de TryHackMe, esta también tiene su propio apartado de práctica con CTFs y retos para que los usuarios prueben sus habilidades.

En términos económicos, a pesar de contener módulos gratuitos, y al igual que Hack The Box, tiene un coste económico si se quiere disfrutar de todo lo que ofrece la página. En este sentido, sin embargo, TryHackMe es una opción más económica con un precio anual de 100 euros (menos, en caso de ser estudiante) para acceder a todos los módulos, mientras que HTB tiene un precio de 410 euros (791 para el pack premium).

Por supuesto, no todo son ventajas, ya que, como hemos indicado al comienzo, HTB proporciona 3 certificaciones con mucho contenido teórico y sus propios exámenes, cosa que TryHackMe no ofrece. Y, por otra parte, existe un problema con las VPNs de TryHackMe (que no pretenden solucionar), ya que, al conectarse a la VPN para poder acceder a una máquina, existe una conectividad entre los usuarios que estén interactuando con esta, lo que los hace al mismo tiempo vulnerables a los ataques del resto de usuarios

Sin embargo, existen métodos para mitigar este problema, siendo el más popular un repositorio del usuario de GitHub Wh1teDrvg0n (https://github.com/Wh1teDrvg0n/safeVPN-THM). Este repositorio contiene un script con una serie de reglas de iptables para permitir únicamente tráfico de entrada de la máquina de TryHackMe, mitigando así cualquier tipo de intento de ataque de otros usuarios.

pwn.college

Finalmente, nos gustaría dar crédito a plataformas más pequeñas como es el caso de pwn.college. Esta plataforma se parece a TryHackMe, puesto que está completamente orientada a la enseñanza. Contiene distintos cursos con videos y diapositivas entretenidas que facilitan mucho el aprendizaje. Una vez se termina con la teoría la página proporciona una serie de retos para poner en práctica lo aprendido.

Cabe destacar que, además de estos módulos de aprendizaje, la plataforma cuenta con un canal de Twitch donde se dan clases en directo. Esto permite a los usuarios interactuar en tiempo real con la persona que da la clase para hacer preguntas y aprender lo máximo posible.

Conclusión

Por supuesto, estas no son las únicas alternativas. Existen otras páginas como OverTheWire, PentesterLab, Hacker101, PentesterAcademy o Virtual Hacking Labs entre otras, y antes de elegir cualquiera de ellas es recomendable informarse sobre su funcionamiento, precios, seguridad…

Lo que queremos mostrar con este post es que Hack The Box, pese a ser una excelente elección tanto para formarse como para practicar, no es la única opción y que, tan solo con una pequeña búsqueda, podemos encontrar opciones que se ajustan más a lo que buscamos.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.