Hoy en día son cientos las herramientas que uno tiene si quiere formarse en el ámbito de la ciberseguridad. Por supuesto, tenemos el método académico, con másteres y cursos especializados en la materia, pero solo hace falta una pequeña búsqueda en la red para darse cuenta de que existen alternativas. ¡Y las hay a montones! Cursos online, laboratorios, foros de internet, vídeos… y la lista continua. Pero sin duda, si una herramienta destaca por encima de las demás (por lo menos en el mundo del hacking), esa es la página web de Hack The Box.
¿Qué es Hack The Box?
Hack The Box (o HTB para abreviar) es una plataforma orientada a la práctica de técnicas de hacking. Esta web proporciona también cursos a través de una academia e incluso distintas certificaciones con sus respectivas clases y exámenes. Pero la funcionalidad principal que le ha dado su fama son los laboratorios de CTFs (Capture The Flag), y funcionan de la siguiente manera:
- Un usuario descarga un archivo de configuración para conectarse a través de una VPN a la red de HTB.
- Una vez tiene acceso a la red, puede elegir una máquina a la que «unirse». Esta máquina se trata de un sistema vulnerable que contiene dos archivos o flags.
- El usuario a través de distintas técnicas debe vulnerar el sistema para obtener acceso tanto a la flag de usuario como a la flag de administrador del sistema.
- Una vez obtenidos estos archivos, se introduce su contenido en la página de HTB para «ownear» (superar) la máquina.
Esta es la funcionalidad que tanta fama le ha dado a la página, pero como hemos mencionado antes, HTB también ofrece una academia para formarse de un modo más guiado a través de módulos de aprendizaje, para que el usuario pueda aprender sobre la materia que más le interesa. Además, HTB también ofrece a los usuarios certificaciones propias tanto de seguridad ofensiva (Red Team), seguridad defensiva (Blue Team) como de Bug Bounty. Los usuarios pueden llevar a cabo el aprendizaje que proporciona la plataforma y posteriormente realizar el examen para certificarse.
¿Qué alternativas existen?
Si bien Hack The Box es una plataforma excelente tanto para usuarios que se inician en la ciberseguridad como para aquellos que quieren poner en práctica sus conocimientos, es importante saber que esta página no es la única opción. Existe competencia que, dependiendo de lo que busque el usuario, puede llegar a ser una mejor alternativa. Entre esta competencia hablaremos de las siguientes páginas web:
- VulnHub
- Root-Me
- TryhackMe
- pwn.college
VulnHub
VulnHub es una plataforma que, al igual que HTB, está orientada a practicar y aprender técnicas de hacking mediante CTFs. Hasta aquí parece que VulnHub y HTB ofrecen el mismo servicio, sin embargo, mientras HTB ofrece acceso una red con máquinas vulnerables, VulnHub mantiene una filosofía DIY (Do It Yourself), donde el usuario descarga el archivo OVA de la máquina vulnerable y la configura de manera local. Esto permite al usuario configurar la máquina a sus preferencias y trabajar sin necesidad de tener conexión a internet.
Por otro lado, aunque el entorno de trabajo sea en un principio más seguro ya que no estamos accediendo a una red externa (es importante recalcar que HTB asegura securizar correctamente sus entornos de trabajo online), como podemos leer en la propia página web, «VulnHub es un recurso comunitario gratuito, por lo que no podemos verificar las máquinas que se nos proporcionan. Antes de descargar, lea nuestras secciones de preguntas frecuentes que tratan sobre los peligros de ejecutar máquinas virtuales desconocidas y nuestras sugerencias para «protegerse a sí mismo y a su red».
En cuanto a términos económicos, debemos tener en cuenta que HTB no es completamente gratuito, ya que sin pagar no tendríamos acceso a todas las máquinas disponibles, y tanto la academia como las certificaciones tienen un precio mensual o anual. Por lo contrario, VulnHub es una página 100% gratuita, y desde el principio el usuario tiene acceso a todas las máquinas que proporciona la plataforma.
Root-Me
Root-Me es una plataforma más humilde y muy centrada en su propia comunidad. Al igual que las anteriores, se centra en ofrecer a los usuarios distintos retos y CTFs como método de práctica y aprendizaje.
Al ser una web comunitaria, permite a los usuarios interactuar entre ellos mediante foros o servidores de Discord lo que sirve de gran soporte para aquellos que puedan necesitar ayuda. Además, la propia página fomenta la contribución mediante un apartado que permite al público crear sus propios CTFs y retos. Una vez la página valida la máquina creada, esta queda disponible para el resto de los usuarios y al creador se le recompensa económicamente.
TryHackMe
pwn.college
Conclusión
Egoitz San Martin Igarza, Penetration test at Osane, Grupo Zerolynx.