Aprender ciberseguridad sin gastar dinero es posible, pero no todos los recursos gratis sirven para lo mismo. Si el objetivo es entrar en hacking ético, hace falta una ruta que combine fundamentos, práctica segura y laboratorios donde puedas equivocarte sin tocar sistemas reales. En esta guía separo lo útil de lo accesorio y te explico qué elegir en España si partes desde cero.
Lo esencial para empezar sin pagar y avanzar con criterio
- INCIBE es una puerta de entrada muy sólida en castellano si quieres base, contexto local y hábitos seguros.
- PortSwigger Web Security Academy es mi primera opción para aprender hacking web con laboratorios reales y gratuitos.
- TryHackMe y HTB Academy funcionan mejor si aprendes haciendo, aunque su capa gratis tiene límites concretos.
- OWASP WebGoat y OWASP Juice Shop te dejan practicar vulnerabilidades en un entorno controlado y legal.
- La combinación más rentable suele ser un curso base + una plataforma de labs + notas propias.
Qué necesita de verdad quien quiere empezar gratis
La intención detrás de esta búsqueda es muy práctica: la persona quiere empezar ya, sin pagar, y necesita saber qué recurso le sirve de verdad. No busca teoría académica ni una lista infinita de enlaces; busca una ruta clara para aprender lo básico, practicar y no perder tiempo en contenido hueco.
Yo lo leo así: primero hay que entender el mapa general, después elegir un entorno seguro donde practicar y, por último, pasar a tareas que se parezcan al trabajo real. Cuando un recurso no cubre al menos una de esas tres piezas, suele quedarse corto aunque suene atractivo. Esa es la diferencia entre ver ciberseguridad y empezar a aprenderla en serio, y con ese criterio ya se entiende mejor por qué algunas plataformas sí merecen tiempo y otras no.
Las opciones gratuitas que sí merecen tiempo
Si tuviera que ordenar el panorama, separaría los recursos en tres capas: formación general, laboratorios de web y plataformas de práctica guiada. Esa división evita comparar un curso de concienciación con un entorno ofensivo, que es justo el error que más confunde a quien empieza.
| Recurso | Coste | Mejor para | Límite real |
|---|---|---|---|
| INCIBE | Gratis | Base en castellano, privacidad, hábitos seguros y contexto español | Menos profundidad ofensiva; funciona mejor como punto de partida que como formación avanzada |
| Cisco Networking Academy | Gratis | Ruta Junior Cybersecurity Analyst, con 6 cursos gratuitos y preparación para nivel inicial | Sigue siendo una base introductoria y bastante general |
| PortSwigger Web Security Academy | Gratis | Hacking web, bug bounty y pentesting de aplicaciones | Está centrada en seguridad web, no en todo el espectro de la disciplina |
| TryHackMe | Gratis con límites | Aprender haciendo con labs guiados y gamificados | La capa gratuita es buena, pero la herramienta gratuita de laboratorio tiene una ventana limitada |
| HTB Academy | Gratis para empezar | Ruta más técnica y estructurada, con enfoque ofensivo y defensivo | Los módulos más profundos se desbloquean con cubes o suscripción |
| OWASP WebGoat / Juice Shop | Gratis y open source | Practicar vulnerabilidades comunes en local o en entorno controlado | Exigen más montaje por tu parte; no vienen tan masticados como una academia |
En números, PortSwigger destaca porque no se queda corto: su academia incluye laboratorios actuales y muy centrados en vulnerabilidades concretas, como SQL injection, XSS, CSRF o XXE, con decenas de ejercicios por tema. TryHackMe, por su parte, supera los 500 laboratorios gratuitos, aunque el acceso a la caja de ataque gratuita está limitado a una vez al día durante una hora. Y HTB Academy permite empezar con 30 Cubes gratis y trabajar en el navegador, con una Pwnbox gratuita de dos horas al día.
Si lo que quieres es una ruta más larga y orientada al empleo, el certificado de ciberseguridad de Google en Coursera arranca sin experiencia previa, reúne 9 cursos y unas 170 horas de instrucción. Yo no lo pondría como primera parada si tu prioridad absoluta es gastar cero, pero sí como un siguiente escalón cuando ya tengas base y quieras estructura. Con eso en mente, el siguiente filtro es elegir por nivel, no por marketing.
Cómo elegir el recurso correcto según tu nivel y tu objetivo
La elección correcta depende menos del nombre de la plataforma y más de tu punto de partida. Si empiezas de cero, prioriza claridad; si ya manejas Linux o redes, busca labs; si te atrae el hacking web, ve directo a vulnerabilidades y no pierdas semanas en material demasiado general.
| Tu situación | Empieza por | Por qué funciona | Qué no haría yo |
|---|---|---|---|
| Sin base técnica | INCIBE o Cisco | Te dan vocabulario, contexto y hábitos seguros sin abrumarte | No saltaría de inmediato a laboratorios de explotación |
| Te interesa la web y el bug bounty | PortSwigger + WebGoat o Juice Shop | Aprendes con vulnerabilidades reales en entorno legal y controlado | No empezaría por herramientas avanzadas sin entender HTTP y sesiones |
| Aprendes mejor resolviendo retos | TryHackMe | La progresión es guiada y visual, ideal para coger ritmo | No me quedaría solo en el sistema de puntos o badges |
| Quieres algo más cercano a una ruta profesional | HTB Academy | La estructura por módulos y paths obliga a avanzar con orden | No mezclaría módulos sueltos sin una hoja de ruta |
| Buscas contexto local y en español | INCIBE | Reduce fricción lingüística y te sitúa mejor en el mercado español | No dependería solo de recursos en inglés desde el primer día |
Si yo empezara hoy, haría una combinación muy simple: un recurso base en castellano, una plataforma de labs y una libreta de notas. Esa combinación te evita la trampa más habitual, que es estudiar demasiado sin tocar nada. Y justo ahí es donde se nota la diferencia entre saber nombres y saber actuar.
Qué aprenderás de verdad y qué se queda fuera
Un curso gratuito puede enseñarte bastante, pero conviene poner el listón donde toca. Lo que más valor tiene no es acumular conceptos, sino salir con criterio para leer una red, interpretar una petición web y entender por qué una vulnerabilidad aparece.
Lo que sí deberías sacar
- Redes y sistemas, para entender puertos, servicios, autenticación básica y el recorrido del tráfico.
- Seguridad web, para reconocer patrones como XSS, SQL injection, CSRF o SSRF.
- Linux y línea de comandos, porque en laboratorio vas a necesitarte mover con soltura.
- Hardening, que significa endurecer un sistema para que sea menos vulnerable.
- Riesgo e impacto, para dejar de pensar solo en cómo explotar y empezar a pensar en qué proteger y por qué falla.
Cuando hablo de vulnerabilidades web, me refiero a patrones concretos: XSS permite ejecutar código en el navegador de la víctima; SQL injection altera consultas a bases de datos; CSRF fuerza acciones no deseadas desde una sesión ya iniciada; y SSRF hace que el servidor consulte recursos que no debería. Si no puedes explicar eso con tus propias palabras, todavía estás en la primera capa.
Lee también: SOC externalizado - ¿Cuándo vale la pena para tu empresa?
Lo que suele faltar
Lo normal es que un curso gratuito no te dé acompañamiento intenso, revisión de trabajos ni una certificación con peso por sí sola. Tampoco suele cubrir en profundidad el informe de pentest, que es la parte donde muchos principiantes descubren que saben romper cosas pero aún no saben explicarlas. Esa fricción no es un fallo del aprendizaje gratuito; es su límite natural.
Por eso yo valoro mucho los recursos que te obligan a escribir un mini informe al terminar cada reto. Si puedes describir el vector de entrada, la prueba de explotación y la corrección posible, entonces estás aprendiendo de verdad. Y con esa base, la ruta de 30 días tiene bastante más sentido.
La ruta que yo seguiría en 30 días
- Días 1-7: elige un curso base y estudia 45-60 minutos al día. Toma notas sobre la triada CIA, amenazas, riesgos, tipos de ataque, redes básicas y terminología. No busques profundidad todavía; busca claridad.
- Días 8-14: abre una plataforma de labs y resuelve un ejercicio corto por sesión. Si te atascas, escribe qué parte no entendiste: la petición HTTP, la sesión, el parámetro o la validación.
- Días 15-21: céntrate en una sola familia de fallos, por ejemplo SQL injection o XSS. Repite el mismo tipo de laboratorio hasta que puedas explicar el patrón sin mirar la solución.
- Días 22-30: crea una carpeta con tres write-ups breves, una checklist de hardening y un glosario personal de 20 términos. Ese material vale más que diez horas de vídeo sin práctica.
Si solo dispones de media hora al día, reduce teoría y no recortes los ejercicios. En ciberseguridad, la práctica corta pero constante suele rendir mejor que las sesiones maratonianas de fin de semana. Cuando te acostumbras a ese ritmo, el progreso deja de ser teórico y empieza a notarse en cómo razonas un caso.
Los errores que más veo en principiantes
- Confundir consumo con aprendizaje: ver vídeos y no hacer ejercicios da una falsa sensación de avance.
- Ir demasiado pronto a herramientas complejas: si no entiendes HTTP, sesiones o redes, la herramienta solo te tapa las lagunas.
- No trabajar en entorno legal: en hacking ético, el permiso no es un detalle; es la línea que separa aprender de meterte en problemas.
- No escribir nada: si no dejas notas, repetirás la misma lección cada vez que vuelvas al tema.
- Perseguir badges en lugar de criterio: una insignia ayuda, pero no sustituye a saber explicar un fallo y una mitigación.
Yo suelo resumirlo así: si un recurso gratis te da teoría, pero no te obliga a practicar ni a pensar, sirve menos de lo que promete. Y si te deja practicar, pero no te ayuda a entender por qué falló algo, también se queda corto. Esa combinación de práctica y explicación es la que prepara para hacking ético con sentido.
La ruta más corta para empezar hoy mismo en España
Mi recomendación, si quieres avanzar sin dispersarte, es muy simple: empieza con un recurso base en castellano, añade una plataforma de laboratorios y reserva un rato fijo para escribir lo que aprendes. En España, ese arranque encaja muy bien con la formación de INCIBE; si te atrae el web hacking, PortSwigger debería entrar pronto en tu rutina; y si aprendes mejor resolviendo retos, TryHackMe o HTB Academy te darán la dosis justa de práctica.
- Base: un curso general para entender vocabulario, contexto y buenas prácticas.
- Práctica: un laboratorio legal para repetir vulnerabilidades sin riesgo.
- Registro: notas breves, capturas y write-ups para no olvidar el proceso.
Si haces solo eso durante un mes, ya tendrás una base mucho más sólida que la mayoría de personas que han visto un curso pero nunca han tocado un laboratorio. Y a partir de ahí podrás decidir con criterio si tu camino va hacia pentesting web, la parte defensiva o respuesta a incidentes, que es justo la clase de decisión que merece un aprendizaje serio.
