SixHack Academy Formación ofensiva
ES Español EN English
Entrar
CTF Labs · Gratis

Retos reales de hacking web. Para todos.

Plataforma gratuita de CTF de hacking web. Pon a prueba lo que sabes contra entornos reales. Cada reto es una vulnerabilidad auténtica que tienes que encontrar, explotar y documentar. Con niveles de dificultad, puntuación desde el primer solve y un ranking global donde se ve quién llega primero.

Acceder a CTF Labs Cómo funciona
Retos disponibles
20+
Acceso
100% gratis

Una plataforma para aprender hacking web haciendo

Los CTF Labs de SixHack Academy son una colección de retos de hacking web reales, diseñados para que puedas practicar técnicas ofensivas en un entorno controlado y completamente legal. No son ejercicios "de libro" con vulnerabilidades artificiales: cada reto reproduce un escenario real del tipo que aparece en auditorías profesionales.

La plataforma cubre las técnicas más importantes del OWASP Top 10: SQL Injection, Cross-Site Scripting (XSS), IDOR, SSRF, path traversal, file upload y otras vulnerabilidades web habituales. Cada reto está pensado para que aprendas algo concreto: detección, explotación, evidencia y validación.

Funciona en tu navegador, sin instalaciones ni configuración. Te registras, lanzas un entorno y empiezas a buscar la flag. Perfecto si quieres iniciarte en hacking ético, si ya eres desarrollador o sysadmin y quieres ver el lado ofensivo, o si te preparas para un proceso de selección técnica en ciberseguridad.

Vulnerabilidades

Qué tipos de retos vas a encontrar

Una selección de las vulnerabilidades web más relevantes y demandadas en el sector.

SQL Injection

Inyección SQL

Retos para aprender a detectar y explotar errores de validación que permiten inyectar SQL en consultas. Desde inyección clásica hasta ciega y blind time-based.

XSS

Cross-Site Scripting

Practica XSS reflejado, almacenado y DOM-based. Aprende a saltar filtros, codificar payloads y construir cadenas que permitan explotar el contexto del usuario.

IDOR

Insecure Direct Object Reference

Detecta fallos de control de acceso cambiando identificadores en la URL o el cuerpo de las peticiones. Una de las vulnerabilidades con más impacto real en producción.

SSRF

Server-Side Request Forgery

Aprende a explotar funcionalidades que hacen peticiones desde el servidor para acceder a recursos internos, leer metadatos cloud o pivotar dentro de la red interna.

Path Traversal

Path Traversal y LFI

Retos donde tienes que romper la lógica de servir archivos para acceder a rutas no permitidas, leer ficheros sensibles del sistema o llegar a inclusión de archivos local.

File Upload

Subida de archivos maliciosos

Aprende a saltar validaciones de tipo MIME, extensión o magic bytes para subir ficheros que terminan ejecutándose en el servidor o explotando el navegador del usuario.

Cómo funciona

De cero a tu primera flag en cuatro pasos

Sin configuración, sin instalaciones. Entras, lanzas el entorno y te pones a hackear.

01

Regístrate gratis

Crea tu cuenta en la plataforma. Sin coste, sin tarjeta de crédito, sin compromiso de ningún tipo.

02

Elige un reto

Selecciona el nivel que encaje con tu experiencia: Easy si empiezas, Medium si ya sabes, Hard si quieres ponerte a prueba.

03

Encuentra la flag

Explora, analiza, explota. Cada reto tiene una flag oculta que valida que has resuelto el desafío correctamente.

04

Sube en el ranking

Cada flag válida suma puntos. Los primeros en resolverlo se llevan el First Blood y aparecen destacados.

Niveles

Tres niveles de dificultad

Desde retos de iniciación hasta desafíos que pondrán a prueba a los más experimentados.

🟢 Easy

Para empezar

Vulnerabilidades fundamentales y patrones reconocibles. Ideales si estás aprendiendo o quieres calentar antes de pasar al siguiente nivel.

🟡 Medium

Para quien ya sabe

Escenarios más complejos que requieren combinar técnicas o entender mejor el contexto. El punto de inflexión donde empieza el aprendizaje real.

🔴 Hard

Para los que quieren sufrir

Retos diseñados para poner a prueba pensamiento crítico y conocimiento profundo. Cadenas de vulnerabilidades, bypasses creativos. No todos llegan.

Diferenciales

Qué son y qué no son los CTF Labs

Para que sepas exactamente con qué te encuentras antes de registrarte.

Lo que sí son

  • Retos de hacking web reales con flags concretas
  • Entornos aislados, controlados y legales
  • Ranking global con sistema de puntos y First Blood
  • Acceso gratuito sin tarjeta de crédito
  • Vulnerabilidades del OWASP Top 10 reales
  • Buen punto de entrada al hacking ético

× Lo que no son

  • No son un curso estructurado de pentesting
  • No incluyen explicación previa de cada vulnerabilidad
  • No reemplazan formación profesional ni certificaciones
  • No son retos de programación o algoritmos
  • No es un programa de bug bounty con recompensas
  • No requieren instalar herramientas complejas
⚖️

Hacking ético, legal y responsable

Todos los retos se ejecutan en entornos aislados específicamente diseñados para aprender. Tú lanzas tu propio entorno cuando inicias el reto. No estás atacando sistemas reales de terceros, no hay riesgo legal y el marco ético del hacking forma parte de la formación. Las técnicas que aprendas aquí solo deben usarse sobre sistemas propios o con autorización expresa por escrito.

FAQ

Preguntas frecuentes sobre los CTF Labs

Lo que más se suele preguntar antes de registrarse en la plataforma.

¿Qué es un CTF de hacking?
Un CTF (Capture The Flag) de hacking es una competición de seguridad informática donde los participantes deben encontrar vulnerabilidades en aplicaciones controladas y obtener una flag (texto secreto) que prueba que han resuelto el reto. En SixHack Academy nuestros CTF se centran en hacking web: SQL Injection, XSS, IDOR, SSRF, path traversal y más técnicas del OWASP Top 10.
¿Los CTF Labs son realmente gratuitos?
Sí, totalmente gratis. Solo necesitas registrarte sin tarjeta de crédito ni compromiso. La plataforma se mantiene como herramienta de captación: si te gusta la metodología, puedes ampliar formación con los cursos completos de la academia.
¿Qué es un First Blood en un CTF?
El First Blood es un reconocimiento a la primera persona que resuelve un reto desde su publicación. En el ranking global queda registrado quién consiguió cada First Blood, lo que añade un componente competitivo extra para los más rápidos.
¿Qué es una flag en un CTF?
Una flag es una cadena de texto secreta que solo se obtiene tras explotar correctamente la vulnerabilidad del reto. Suele tener un formato reconocible (por ejemplo SIXHACK{...}) y se introduce en la plataforma para validar que has resuelto el desafío y sumar puntos al ranking.
¿Cómo funciona el ranking global?
Cada reto resuelto suma puntos según su dificultad (Easy / Medium / Hard). El ranking global se actualiza en tiempo real y muestra a todos los usuarios ordenados por puntuación. Quien consigue First Blood en un reto recibe puntos adicionales, lo que premia la velocidad y el nivel técnico.
¿Después de los CTF puedo seguir aprendiendo en la academia?
Por supuesto, esa es la idea. Los CTF Labs te dan una muestra de la metodología y te ayudan a ver dónde están tus lagunas. Para una formación estructurada de 0 a auditor profesional están los cursos WXJ y WXE, que cubren el OWASP Top 10 completo, metodología de auditoría e informe profesional, con soporte directo del instructor.

¿Te ha gustado el formato? Esto es solo el comienzo

Los CTF Labs son una muestra de cómo enseñamos en SixHack Academy. Los cursos completos están construidos con la misma filosofía pero con explicación estructurada, metodología profesional, soporte directo del instructor y certificación verificable al final.

Ver cursos

¿A qué esperas?

Registro gratuito. Acceso inmediato. Sin tarjeta de crédito, sin compromiso, sin letra pequeña.

Entrar a CTF Labs Ver ranking en directo