SixHack Academy nació con un objetivo claro: formar profesionales de ciberseguridad ofensiva que sepan lo que hacen y por qué lo hacen. No memorizar listas de vulnerabilidades. No ver vídeos interminables con fondo negro. Aprender haciendo, con laboratorios reales y criterio técnico.
Este blog es la extensión natural de esa filosofía. Aquí hablaremos de técnica, de metodología, de CTFs, de bug bounty y de todo lo que rodea al mundo de la ciberseguridad ofensiva. Sin relleno.
Técnica y teoría que importa
No todo es práctica. Hay conceptos que, si los entiendes bien, cambian radicalmente la forma en que atacas y defiendes. Entender por qué funciona una vulnerabilidad es muy diferente a saber explotarla siguiendo un tutorial. Hablaremos de cómo funcionan los protocolos por dentro, por qué ciertos fallos aparecen una y otra vez en aplicaciones distintas, y cómo desarrollar la capacidad de razonar ante un entorno desconocido en lugar de ejecutar herramientas a ciegas esperando que algo salga.
Writeups de CTF
Los CTF Labs de SixHack Academy tienen retos reales basados en vulnerabilidades auténticas. Cuando un reto lleve suficiente tiempo activo, publicaremos writeups detallados: no solo la solución, sino el proceso de pensamiento completo, los callejones sin salida, los falsos positivos y lo que se aprende de cada uno. No es solo para quien no lo haya resuelto. Es especialmente útil si lo resolviste de otra forma y quieres ver enfoques distintos.
Novedades de la plataforma
Nuevos cursos, nuevos retos CTF, cambios en la plataforma, funcionalidades en desarrollo. Lo contaremos aquí antes que en ningún otro sitio, con contexto sobre las decisiones que tomamos y por qué.
Hacking web en profundidad
El hacking web es el núcleo de lo que enseñamos en SixHack Academy, y es también uno de los campos donde más matices hay. SQL injection, XSS, IDOR, SSRF, SSTI, lógica de negocio rota, cabeceras mal configuradas, APIs expuestas, autenticación débil... Cada vulnerabilidad tiene más profundidad de la que parece a primera vista. Una inyección SQL no es solo un payload que funciona: hay tipos, contextos, filtros, WAFs, técnicas ciegas, técnicas basadas en tiempo. Aquí exploraremos esa profundidad.
Bug bounty y mentalidad ofensiva
La diferencia entre alguien que resuelve laboratorios y alguien que encuentra bugs en producción no es solo técnica. Es mentalidad. La capacidad de priorizar dónde buscar, de no rendirse cuando el entorno es hostil, de documentar con precisión y de escribir un reporte que el equipo de seguridad pueda entender y reproducir. Hablaremos de todo eso: cómo construir un flujo de trabajo real, cómo gestionar la frustración, cómo aprender de los rechazos y cómo desarrollar el criterio para saber dónde está el valor.
Recursos y referencias
No todo el contenido que circula en ciberseguridad merece tu tiempo. Aquí señalaremos lo que sí: libros con criterio real y no solo teoría de manual, papers que cambian cómo piensas sobre un problema, investigadores que publican con rigor y consistencia, y charlas de conferencias que siguen siendo igual de relevantes años después de haberse dado. La idea no es hacer listas largas, sino señalar lo que de verdad vale la pena leer, ver o estudiar.
Para quien está empezando y quiere entender de verdad, no solo aprobar certificaciones. Para quien ya tiene base y quiere ir más lejos en áreas concretas. Para quien lleva años en esto y quiere un espacio que hable con precisión técnica sin rodeos ni contenido de relleno.
Si estás aquí, probablemente ya sabes que en ciberseguridad ofensiva no hay atajos reales. Pero sí hay formas más inteligentes de aprender. Eso es lo que intentamos construir con este blog.
Bienvenido.