Desde que empezamos a construir SixHack Academy teníamos claro que los laboratorios eran el eje central. No los vídeos, no las diapositivas, no los cuestionarios. Los labs. La única forma real de aprender a atacar es atacando, y la única forma de entender una vulnerabilidad es explotándola en un entorno que se comporte como producción.
CTF Labs nació de esa convicción. Y hoy ya está disponible para todo el mundo.
Qué es CTF Labs
CTF Labs es el sistema de retos de hacking web de SixHack Academy. Cada reto es una aplicación web real con una vulnerabilidad real. No hay pistas visuales obvias, no hay botones de "ir al siguiente paso". Hay una aplicación, hay un objetivo y hay que encontrar el camino.
El objetivo de cada reto es encontrar y explotar la vulnerabilidad para conseguir una flag: un token único que demuestra que has llegado hasta el final. Cuando envías una flag correcta, el sistema la valida, suma los puntos a tu cuenta y actualiza tu posición en el ranking global.
Cómo están organizados los retos
Los retos están clasificados por dificultad en tres niveles:
Easy — Vulnerabilidades fundamentales. Ideales para quien está aprendiendo o quiere asentar conceptos antes de subir de nivel. No son triviales, pero el camino hacia la flag es más directo.
Medium — El nivel donde empieza el aprendizaje real. Los retos Medium requieren combinar técnicas, pensar en el contexto de la aplicación y no rendirse cuando el primer enfoque no funciona.
Hard — Retos diseñados para poner a prueba a quienes ya dominan los fundamentos. Requieren pensamiento lateral, conocimiento profundo y paciencia. No todo el mundo llega.
El ranking global
Cada flag correcta suma puntos. Los puntos se acumulan en tu perfil y determinan tu posición en el ranking global, que es público y se actualiza en tiempo real.
El ranking ya tiene movimiento. Hay hackers que llevan días resolviendo retos, compitiendo por las primeras posiciones y reclamando el First Blood de cada reto nuevo: la distinción que se lleva el primero en resolverlo.
Qué vulnerabilidades encontrarás
Los retos de CTF Labs cubren las vulnerabilidades web más relevantes del panorama actual, incluyendo las categorías del OWASP Top 10 y más allá:
SQL Injection — Inyecciones clásicas, ciegas, basadas en tiempo y error-based en contextos distintos.
XSS — Cross-Site Scripting reflejado, almacenado y basado en DOM, con distintos niveles de filtrado.
IDOR — Insecure Direct Object Reference: acceso a recursos que no te pertenecen manipulando referencias directas.
SSRF — Server-Side Request Forgery: hacer que el servidor haga peticiones en tu nombre hacia destinos que no debería alcanzar.
Autenticación rota — Fallos en la lógica de sesiones, tokens predecibles, bypass de autenticación y más.
Lógica de negocio — Vulnerabilidades que no aparecen en ningún escáner porque requieren entender cómo se supone que funciona la aplicación para encontrar cómo hacer que haga lo que no debería.
Y esto es solo el principio. El catálogo de retos seguirá creciendo.
Acceso completamente gratuito
CTF Labs es gratis. Cualquier persona puede registrarse en SixHack Academy, activar su cuenta y empezar a resolver retos el mismo día. Sin suscripción, sin tarjeta de crédito, sin límite de intentos.
La idea es que el acceso no sea el obstáculo. El obstáculo es el reto.
Por qué lo hemos construido así
Los CTF tradicionales suelen tener dos problemas: o son demasiado gamificados y pierden el contacto con la realidad, o son tan complejos que resultan inaccesibles para quien está aprendiendo.
Nosotros hemos intentado encontrar el punto medio. Retos que se parezcan a lo que te encontrarás en un pentest o en un programa de bug bounty, pero con una progresión que permite entrar sin experiencia previa y llegar tan lejos como el conocimiento te lleve.
Cada reto está diseñado con una vulnerabilidad específica en mente, en un entorno que la contextualiza de forma realista. No es un reto de CTF clásico donde hay que adivinar la intención del autor. Es una aplicación con un fallo real que tienes que encontrar.
Empieza ahora
El ranking ya está activo. Hay retos sin resolver, hay First Bloods disponibles y hay una posición en el ranking esperándote.
Regístrate de forma gratuita y entra a CTF Labs desde el primer día.
Buena suerte.