01
🌐
Fundamentos de redes y HTTP
Cómo viaja realmente una petición HTTP, headers, cookies, sesiones, autenticación y autorización. Sin estas bases, todo lo demás es magia.
Formación 100% online
•
Labs reales
•
De 0 a Pro
Curso de Ciberseguridad Ofensiva.
De 0 a pentester con laboratorios reales.
Aprende ciberseguridad ofensiva con un curso centrado en práctica real: hacking ético, pentesting y web hacking con laboratorios que reproducen escenarios reales de auditoría. Ruta guiada paso a paso, sin saltos ni relleno.
¿Qué es la ciberseguridad ofensiva?
Pensar como un atacante para defender mejor
La ciberseguridad ofensiva es la disciplina que estudia cómo identificar, explotar y documentar vulnerabilidades en sistemas digitales con autorización explícita. A diferencia de la seguridad defensiva, que se centra en proteger y monitorizar, la ofensiva adopta el punto de vista del atacante para encontrar fallos antes de que los encuentre alguien con malas intenciones.
Engloba varias áreas: hacking ético como marco general, pentesting como metodología de auditoría reproducible, web hacking centrado en aplicaciones, red team para simular ataques completos contra organizaciones, y análisis de vulnerabilidades a nivel de código y configuración.
Un buen curso de seguridad ofensiva no se queda en la teoría: te enseña a identificar el fallo, explotarlo en un entorno controlado, validar el impacto con evidencia reproducible y comunicarlo con un informe profesional. Esa cadena completa es lo que diferencia a un curso introductorio de una formación que prepara para auditar de verdad.
Contenido
¿Qué aprenderás en un curso de ciberseguridad ofensiva?
Las habilidades técnicas y metodológicas que se trabajan en SixHack Academy.
02
🛠️
Burp Suite y herramientas profesionales
El stack que se usa de verdad: Burp Suite, DevTools, curl, utilidades de enumeración. No herramientas de juguete: las que tendrás delante el primer día como pentester.
03
💉
OWASP Top 10 explotado en real
SQL injection, XSS, IDOR, SSRF, path traversal, file upload, autenticación rota, deserialización. No teoría: cada vulnerabilidad practicada en un laboratorio real.
04
🔗
Cadenas de explotación avanzadas
Combinar varias vulnerabilidades pequeñas para conseguir un compromiso grande. Pensar en escenarios completos, no en fallos aislados. Esto es lo que separa a un junior de un senior.
05
📱
Pentesting de aplicaciones móviles
Análisis estático y dinámico de Android e iOS, bypass de protecciones, comunicaciones API, almacenamiento inseguro y técnicas específicas del ecosistema móvil.
06
📝
Del hallazgo al informe
Validar la vulnerabilidad con evidencia reproducible, calcular impacto realista, priorizar y redactar entregables profesionales. La parte que no se ve en los CTFs pero que es el día a día.
Para quién
¿Para quién es este curso?
Perfiles que encajan especialmente bien con la metodología de SixHack Academy.
Quien empieza desde cero
Sin experiencia previa en seguridad. La ruta WXJ está pensada para construir la base técnica desde cero, sin asumir conocimientos.
Desarrolladores que quieren entender seguridad
Programadores que ya escriben código y quieren saber qué fallos buscar y cómo se explotan. Aprender a romper para aprender a construir mejor.
Sysadmins y devops reorientándose
Perfiles técnicos que buscan especializarse en ofensiva sin pasar por un máster de un año. Aprovecha tu base de redes y sistemas.
Estudiantes de informática
Universidad y FP. Material complementario a tus estudios para tener el perfil técnico real que buscan las empresas en pentesting junior.
Pentesters en activo que quieren consolidar base
Profesionales que ya hacen auditorías pero quieren afianzar metodología, ampliar técnicas y resolver lagunas concretas en web hacking u OWASP Top 10.
Bug hunters principiantes
Si quieres iniciarte en bug bounty pero te falta criterio sobre dónde buscar y cómo reportar, este curso te da el método antes de saltar a programas reales.
Metodología
Por qué los laboratorios marcan la diferencia
El 70% del tiempo en este curso se trabaja sobre entornos reales. No es un detalle menor.
La mayoría de cursos de ciberseguridad ofensiva en español son grabaciones de pantalla donde alguien explica una técnica con diapositivas y enseña un ejemplo en vídeo. El alumno mira. Cuando termina, tiene la sensación de "lo entiendo" pero al sentarse delante de una aplicación real no sabe por dónde empezar.
En SixHack Academy invertimos esa proporción. La explicación es directa y al grano, pero el peso real del aprendizaje cae en los laboratorios: aplicaciones vulnerables diseñadas específicamente para reproducir situaciones que te vas a encontrar en una auditoría. Tú abres Burp, exploras, fallas, vuelves a intentarlo y al final encuentras la flag.
Esa fricción es el aprendizaje. No se sustituye con vídeo. Por eso decimos que los labs son el eje central del curso, no el añadido al final del tema.
Plan de estudios
La ruta de SixHack Academy
Tres cursos progresivos de seguridad ofensiva, diseñados para encadenarse y construir habilidad real.
Activo
WXJ
Web eXploitation Junior
El punto de entrada. Asume cero experiencia. Cubre redes, HTTP/HTTPS, Burp Suite, OWASP Top 10 y vulnerabilidades reales (SQLi, XSS, IDOR, SSRF). Al acabar tienes criterio para auditar aplicaciones web a nivel junior.
Activo
WXE
Web eXploitation Expert
Continuación lógica de WXJ. Técnicas avanzadas de explotación, cadenas complejas de vulnerabilidades, escenarios realistas de auditoría web profesional. Para quien ya tiene base y quiere subir de nivel.
Activo
MXS
Mobile eXploitation Specialist
Pentesting de aplicaciones móviles. Análisis estático y dinámico, fallos habituales y técnicas de explotación específicas en Android e iOS. Complementa la ruta web con el ecosistema móvil completo.
Salidas profesionales y certificaciones
La ciberseguridad ofensiva es uno de los perfiles más demandados del sector tecnológico. Las salidas más directas tras un curso de este tipo son pentester (junior, semi-senior o senior), auditor de aplicaciones web, miembro de equipos red team, analista de vulnerabilidades, bug hunter y consultor de seguridad.
Cada curso de SixHack Academy entrega su propia certificación con identificador único verificable públicamente vía QR y token en cert.sixhackacademy.com. Esto te permite acreditar el nivel alcanzado ante reclutadores y empresas con un enlace directo y comprobable, sin depender de terceros.
Prueba la metodología gratis con los CTF Labs
Antes de matricularte en cualquier curso, puedes entrenar gratis con nuestros CTF Labs: retos reales de hacking web con diferentes niveles de dificultad, ranking global y acceso libre tras un registro sencillo. Una forma directa de comprobar cómo enseñamos antes de invertir en formación.
SQL injection, XSS, IDOR, SSRF y más técnicas OWASP en un entorno controlado y legal.
FAQ
Preguntas frecuentes sobre el curso
Las dudas más habituales antes de empezar formación en seguridad ofensiva.
¿Qué es la ciberseguridad ofensiva?
Es la disciplina que estudia cómo identificar, explotar y documentar vulnerabilidades
en sistemas para mejorar su seguridad. A diferencia de la defensiva (centrada en proteger),
la ofensiva piensa como un atacante real y aprende a auditar sistemas con autorización.
Engloba hacking ético, pentesting, web hacking, red team y análisis de vulnerabilidades.
¿Necesito conocimientos previos para empezar?
No. La ruta empieza con WXJ, que parte de los fundamentos de redes, HTTP y aplicaciones
web antes de tocar técnicas ofensivas. Cada módulo introduce los conceptos necesarios
antes de pasar al siguiente, sin saltos ni asunciones.
¿Cuánto dura el curso de ciberseguridad ofensiva?
No hay duración fija. Los cursos son de acceso completo sin fecha límite. La mayoría
de alumnos completa WXJ entre 1 y 2 meses con dedicación part-time, y otros lo hacen
en 2-3 semanas dedicando más tiempo al día. Lo importante es asentar bien la base.
¿Qué herramientas se aprenden?
Las que se usan en auditorías profesionales reales: Burp Suite, DevTools, curl,
herramientas de enumeración, análisis estático y dinámico para móvil, frameworks
de explotación. El enfoque es metodológico, no de memorizar comandos.
¿Es legal practicar lo que se enseña?
Sí, completamente. Los laboratorios están alojados en entornos aislados creados
específicamente para aprender. Las técnicas se practican exclusivamente sobre sistemas
propios o explícitamente autorizados, igual que un pentester profesional.
¿Se entrega certificado al terminar?
Sí. Al completar el curso y superar su examen práctico, se emite un certificado
con identificador único verificable públicamente mediante QR y token en
cert.sixhackacademy.com. Cualquier reclutador puede comprobar que es legítimo.
¿Qué salidas profesionales hay?
Las más directas: pentester junior/senior, auditor web, red team, analista de
vulnerabilidades, bug hunter, consultor de seguridad. Cada curso de SixHack Academy
entrega además una certificación propia con identificador único verificable
públicamente, lo que te permite acreditar tu nivel ante reclutadores.
Empieza tu camino en ciberseguridad ofensiva
El primer paso es WXJ: fundamentos sólidos y laboratorios reales desde el día uno.