La ciberseguridad es una de las profesiones con mayor demanda del mundo: hay 3,5 millones de vacantes sin cubrir globalmente según Cybersecurity Ventures (2025), y el salario medio en España supera los 40.000 € brutos anuales para perfiles junior, llegando a 65.000-90.000 € para seniors. Pero aprender ciberseguridad tiene un problema práctico: necesitas practicar atacando sistemas, y hacerlo con sistemas reales sin permiso es un delito. Un laboratorio casero resuelve ese problema: un entorno controlado donde puedes practicar técnicas ofensivas y defensivas legalmente, en tu propia red y con tus propias máquinas.
No necesitas hardware caro. Un portátil con 16 GB de RAM (el mínimo práctico; 8 GB es posible pero ajustado) y un procesador de los últimos 5 años es suficiente para correr varias máquinas virtuales simultáneamente. Todo el software que necesitas es gratuito y de código abierto.
Qué es un laboratorio de ciberseguridad casero
Es un conjunto de máquinas virtuales (VMs) que simulan una red con servidores vulnerables, herramientas de ataque y sistemas de defensa, todo corriendo dentro de tu ordenador. Las VMs están aisladas de tu red real: no hay riesgo de dañar tu sistema operativo, tu red doméstica ni ningún sistema externo. Es como un simulador de vuelo para pilotos, pero para seguridad informática.
La arquitectura básica: un hipervisor (VirtualBox o VMware) que ejecuta múltiples sistemas operativos, una red virtual interna que conecta las VMs entre sí sin tocar tu red real, y máquinas que hacen de «atacante» y «víctima». Si quieres entender qué especificaciones de hardware necesitas, revisa nuestra guía antes de comprar nada.
Software necesario (todo gratuito)
Hipervisor: VirtualBox (gratuito). Oracle VirtualBox es la opción estándar para laboratorios caseros. Gratuito, multiplataforma, sencillo de configurar. Alternativas: VMware Workstation Player (gratuito para uso personal), Proxmox (para hardware dedicado, más avanzado), o UTM (para Mac con Apple Silicon).
Sistema atacante: Kali Linux. La distribución Linux diseñada específicamente para tests de penetración. Incluye más de 600 herramientas preinstaladas: Nmap (escaneo de red), Metasploit (framework de explotación), Burp Suite Community (análisis web), Wireshark (captura de tráfico), John the Ripper (cracking de contraseñas), y muchas más. Descárgala desde kali.org como imagen de VM lista para importar en VirtualBox.
Máquinas vulnerables a propósito:
Metasploitable 2 y 3. VMs deliberadamente vulnerables creadas por Rapid7 (los creadores de Metasploit). Metasploitable 2 es un servidor Linux con docenas de vulnerabilidades conocidas. Metasploitable 3 añade un entorno Windows con Active Directory vulnerable.
DVWA (Damn Vulnerable Web Application). Una aplicación web PHP con vulnerabilidades comunes (SQL injection, XSS, file upload, command injection) con niveles de dificultad configurables. Se instala en cualquier servidor web con PHP y MySQL.
VulnHub (vulnhub.com). Directorio con más de 600 VMs vulnerables gratuitas, clasificadas por dificultad y tipo de vulnerabilidad. Desde retos para principiantes hasta escenarios complejos de Active Directory.
HackTheBox y TryHackMe. Plataformas online con laboratorios en la nube. TryHackMe (plan gratuito disponible) es la mejor para principiantes: cursos guiados con explicaciones paso a paso. HackTheBox (plan gratuito limitado, Premium desde 14 $/mes) es más desafiante y popular en la comunidad profesional.
Configuración paso a paso
Paso 1: Instala VirtualBox desde virtualbox.org. Paso 2: Descarga la imagen de Kali Linux (formato .ova) desde kali.org/get-kali. Importa en VirtualBox: Archivo > Importar servicio virtualizado. Asigna al menos 4 GB de RAM y 2 CPUs. Paso 3: Descarga Metasploitable 2 desde SourceForge. Importa en VirtualBox como segunda VM. Paso 4: Configura la red. En VirtualBox, ambas VMs deben estar en «Red interna» (Internal Network) para que se comuniquen entre sí pero no con tu red real. Adicionalmente, Kali puede tener un segundo adaptador en «NAT» para acceso a internet (actualizaciones).
Paso 5: Arranca ambas VMs. En Kali, abre una terminal y ejecuta «ip a» para ver tu IP en la red interna. Ejecuta «nmap -sV [IP de Metasploitable]» para escanear los servicios de la máquina vulnerable. Verás puertos abiertos con servicios vulnerables listos para practicar. Para proteger tu red doméstica mientras experimentas, conviene repasar cómo configurar correctamente tu router.
Habilidades que puedes practicar
Reconocimiento y escaneo. Nmap para descubrir hosts, puertos y servicios. Gobuster para descubrir directorios ocultos en servidores web. Recon-ng para OSINT (inteligencia de fuentes abiertas).
Explotación de vulnerabilidades. Metasploit para explotar vulnerabilidades conocidas con exploits documentados. SQLMap para inyección SQL automatizada. Hydra para ataques de fuerza bruta contra servicios de autenticación.
Análisis web. Burp Suite para interceptar y manipular tráfico HTTP. OWASP ZAP (alternativa gratuita) para escaneo automatizado de vulnerabilidades web. Las 10 vulnerabilidades OWASP Top 10 se practican todas en DVWA.
Post-explotación. Qué hacer después de obtener acceso: escalada de privilegios, movimiento lateral, persistencia, exfiltración de datos. BloodHound para mapear rutas de ataque en Active Directory.
Defensa. Configura un IDS (Snort o Suricata) para detectar los ataques que tú mismo lanzas. Analiza logs con herramientas de seguridad para entender qué rastro dejan los ataques. Configura firewalls y reglas de detección.
Certificaciones y carrera
Si quieres profesionalizarte, las certificaciones más valoradas en España y Europa: CompTIA Security+ (nivel entrada, ~370 $), eJPT de eLearnSecurity (nivel entrada, enfoque práctico, ~200 $), OSCP de Offensive Security (nivel intermedio-avanzado, la más respetada en pentesting, ~1.600 $ con acceso al laboratorio), y CEH de EC-Council (popular en entornos corporativos, ~1.199 $). El laboratorio casero es la preparación perfecta para OSCP, que es 100 % práctico. Muchas de estas certificaciones se pueden preparar con herramientas tecnológicas para estudiar de forma más eficiente.
Mi valoración
Monté mi primer laboratorio de ciberseguridad en 2016 con un portátil de segunda mano y VirtualBox. Es la mejor forma de aprender porque romper cosas es la forma más efectiva de entender cómo protegerlas. La inversión es mínima (0 € en software, el hardware que ya tengas), la curva de aprendizaje es empinada pero gratificante, y las habilidades que adquieres tienen una demanda laboral que no para de crecer. Mi consejo: empieza con TryHackMe (gratuito, guiado) para los fundamentos, pasa a tu propio laboratorio con Kali + Metasploitable para practicar sin guía, y luego prueba VulnHub y HackTheBox para desafíos reales. En 6-12 meses de práctica constante (1-2 horas diarias), tendrás un nivel suficiente para optar a un puesto junior en ciberseguridad.
Preguntas frecuentes
¿Es legal practicar hacking en un laboratorio casero?
Sí, completamente. Todo sucede en tu hardware, en tu red virtual, con máquinas que tú controlas. No accedes a ningún sistema ajeno sin permiso. Lo que es ilegal es atacar sistemas sin autorización, independientemente de tu intención. Plataformas como HackTheBox y TryHackMe también son legales: te dan permiso explícito para atacar sus máquinas.
¿16 GB de RAM son suficientes?
Para correr Kali + 1-2 VMs vulnerables, sí. Asigna 4 GB a Kali, 1-2 GB a cada VM vulnerable, y reserva 6-8 GB para tu sistema operativo host. Si quieres montar escenarios más complejos (Active Directory con 3-4 máquinas Windows), necesitarás 32 GB.