Seguridad web y recompensas por errores: aprenda a realizar pruebas de penetración

Publicado: lunes, jul. 21, 2025 - Post actualizado: lunes, jul. 21, 2025

Categoría: Programación Y Desarrollo Zero to Mastery

@ Consiguelogratis

Web Security & Bug Bounty: Learn Penetration Testing

Empieza una carrera o genera ingresos adicionales convirtiéndote en Cazador de Recompensas de Errores. No necesitas experiencia previa; te enseñamos todo desde cero. Hackea sitios web, corrige vulnerabilidades, mejora la seguridad web y mucho más. ¡Aprenderás pruebas de penetración desde cero y dominarás las herramientas y las mejores prácticas de pentesting más modernas!

Lo que aprenderás

• Aprenda a realizar pruebas de penetración desde cero para convertirse en un cazador de recompensas de errores y un experto en seguridad web.
• Configuración de su laboratorio de hacking: Kali Linux y máquinas virtuales (compatible con Windows, Mac y Linux)
• Descubra, aproveche y mitigue todo tipo de vulnerabilidades web. Proteja sus futuras aplicaciones con las mejores prácticas.
• Cómo ganar dinero con la caza de recompensas por errores y hacer de ello una carrera
• Aprenda a hackear y atacar sistemas con vulnerabilidades conocidas
• Enumeración de sitios web y recopilación de información
• Bug Hunter y la herramienta Burpsuite
• Inyecciones HTML
• Inyección/ejecución de comandos
• Autenticación rota, control de acceso roto
• Ataques de fuerza bruta
• Mala configuración de seguridad
• Secuencias de comandos entre sitios (XSS)
• Inyección SQL, XML, inyección XPath, XXE
• Mejores prácticas de registro y monitoreo
• Fundamentos de la Web, Fundamentos de Redes, Fundamentos de la Terminal Linux

Este curso se centra en aprender haciendo, no en ver tutoriales interminables sin resultados. Aprenderás cómo funcionan las pruebas de penetración practicando las técnicas y métodos que utilizan los cazadores de recompensas de errores.

Y aprenderás en buena compañía.

Al inscribirte hoy, también podrás unirte a nuestra exclusiva [aula comunitaria en línea en] vivo para aprender junto con miles de estudiantes, exalumnos, mentores, asistentes de cátedra e instructores.

Lo más importante es que aprenderá de expertos de la industria (Aleksa y Andrei) que tienen experiencia real trabajando en seguridad para grandes empresas y sitios web/aplicaciones con millones de visitantes.

Sin importar sus antecedentes, experiencia previa o su trabajo actual, hacemos que este curso sea accesible para usted al brindarle dos caminos.

1 ¿Aún no sabes codificar?

No hay problema. Hemos incluido tres secciones adicionales para que te pongas al día y puedas empezar a realizar pruebas de penetración enseguida.

2. ¿Ya sabes codificar?

Genial. Comenzarás de inmediato creando tu propio laboratorio virtual de hacking para asegurarnos de que tu computadora esté segura durante todo el curso y configurada correctamente para las pruebas de penetración.

Esto es lo que cubrirá el curso para llevarlo de cero a dominar la seguridad web.

Le garantizamos que este es el curso en línea más completo, moderno y actualizado sobre búsqueda de recompensas por errores, pruebas de penetración y seguridad web.

A diferencia de muchos otros tutoriales que encontrará en línea, no vamos a perder su tiempo enseñándole técnicas y temas obsoletos.

1. Introducción a Bug Bounty:

En esta sección, responderemos a las preguntas “¿Qué es un Bug Bounty?” y “¿Qué son las pruebas de penetración?”. También exploraremos la [trayectoria profesional] de un Pen Tester.

2. Nuestra configuración de laboratorio virtual:

Crea el laboratorio virtual que usaremos durante el curso (máquina Kali Linux). Instala una máquina virtual vulnerable llamada OWASPBWA que atacaremos. Crea una cuenta en la plataforma de capacitación en ciberseguridad TryHackMe.

Con casi todas las vulnerabilidades, cubriremos un ejemplo en TryHackMe y también en nuestra VM vulnerable.

3. Enumeración de sitios web y recopilación de información:

Aquí es donde comenzamos con las pruebas prácticas de Bug Bounty/Pruebas de Penetración de Sitios Web. Abarcamos numerosas tácticas y herramientas que nos permiten recopilar la mayor cantidad de información posible sobre un sitio web específico.

Para ello utilizamos diferentes herramientas como Dirb, Nikto, Nmap.

También utilizamos Google Hacking, que es una habilidad útil cuando no hay herramientas disponibles.

4. Introducción a Burpsuite:

Esta es una herramienta muy importante para un cazador de errores. Casi todos los cazadores de errores la conocen (y probablemente la usan). Cuenta con numerosas funciones que facilitan la búsqueda de errores. Algunas de estas funciones incluyen el rastreo de páginas web, la interceptación y modificación de solicitudes HTTP, ataques de fuerza bruta y más.

5. Inyección HTML:

Este es nuestro primer error. También es uno de los más sencillos, así que empezamos con él. La inyección de HTML consiste básicamente en encontrar una entrada vulnerable en la página web que permita la inyección de código HTML. Ese código se renderiza posteriormente en la página como HTML real.

6. Inyección/ejecución de comandos:

Nuestro primer error peligroso. Es posible inyectar comandos cuando el servidor ejecuta nuestra entrada sin filtrar en su sistema. Esto podría ser algo como una página web que nos permite hacer ping a otros sitios web, pero no comprueba si hemos introducido un comando diferente a la dirección IP que necesita.

Esto nos permite ejecutar comandos en el sistema, comprometer el sistema a través de un shell inverso y comprometer cuentas en ese sistema (y todos los datos).

7. Autenticación rota:

Esta es otra vulnerabilidad que ocurre en sitios web. Se refiere esencialmente a una debilidad en dos áreas: la gestión de sesiones y la gestión de credenciales. Permite al atacante suplantar la identidad de usuarios legítimos en línea. Mostramos diferentes ejemplos a través de valores de cookies, solicitudes HTTP, la página de olvido de contraseña, etc.

8. Ataques de fuerza bruta:

Esto puede ser un problema incluso si el sitio web es seguro. Si el cliente tiene una contraseña fácil y sencilla, también será fácil de adivinar. Analizamos diferentes herramientas que se utilizan para enviar muchas contraseñas en la página web y así acceder a una cuenta.

9. Exposición de datos sensibles:

Esto no se trata de una vulnerabilidad del sistema. Se trata de cuando los desarrolladores olvidan eliminar información importante durante la producción que puede usarse para un ataque. Presentamos un ejemplo en el que un desarrollador olvida eliminar toda la base de datos para que los usuarios habituales no puedan acceder a ella.

10. Control de acceso roto:

El control de acceso aplica políticas que impiden que los usuarios actúen fuera de sus permisos. Las fallas suelen provocar la divulgación no autorizada de información, la modificación o destrucción de todos los datos, o la realización de una función empresarial fuera de los límites del usuario.

Aquí abordamos una vulnerabilidad denominada “referencia directa a objeto insegura”. Un ejemplo sencillo sería una aplicación que contiene identificadores de usuario en la URL. Si no almacena ni gestiona correctamente dichos identificadores, un atacante podría modificarlos y acceder a la información de otro usuario.

11. Configuración incorrecta de seguridad:

Hemos añadido esto como una sección aparte. Sin embargo, todas las vulnerabilidades anteriores también pertenecen a ella. Aquí mostramos un ejemplo de una vulnerabilidad en la que los administradores de sitios web no han cambiado las credenciales predeterminadas de una aplicación que se ejecuta en su servidor.

12. Secuencias de comandos entre sitios (XSS):

Esta es una vulnerabilidad grave y muy común en muchos sitios web. Permite ejecutar código JavaScript en la página web.

Esto se debe a que la entrada del usuario no se filtra correctamente ni se procesa como código JavaScript. Existen tres tipos principales de XSS: almacenado, reflejado y basado en DOM. Abordamos estos tres, además de algunos inusuales.

13. Inyección SQL:

Existe otra vulnerabilidad grave y realmente peligrosa. Muchos sitios web se comunican con la base de datos, ya sea una base de datos que almacena información de productos o de usuarios.

Si la comunicación entre el usuario y la base de datos no está filtrada y controlada, podría permitir al atacante enviar una consulta SQL y comunicarse con la propia base de datos, lo que le permitiría extraer toda la base de datos o incluso eliminarla.

Hay un par de tipos de inyección SQL, como la inyección SQL basada en errores o la inyección SQL ciega.

14. XML, inyección XPath, XXE:

XXE o Entidad Externa XML es una vulnerabilidad que permite a un atacante interferir con un sitio web que procesa datos XML. Podría permitirle ejecutar un shell inverso o leer archivos en el sistema objetivo, lo que la convierte en otra vulnerabilidad grave.

15. Componentes con vulnerabilidades conocidas:

Aunque el sitio web no sea vulnerable, el servidor podría estar ejecutando otros componentes o aplicaciones con una vulnerabilidad conocida que aún no se ha corregido. Esto podría permitirnos realizar diversos tipos de ataques según la vulnerabilidad.

16. Registro y monitoreo insuficientes:

El registro y la monitorización deben realizarse siempre desde una perspectiva de seguridad. El registro nos permite realizar un seguimiento de todas las solicitudes e información que pasan por nuestra aplicación.

Esto puede ayudarnos a determinar si se está produciendo un ataque específico. O, si ya ocurrió, nos permite analizarlo con mayor profundidad, identificar de qué se trata y aplicar ese conocimiento para modificar la aplicación y evitar que vuelva a ocurrir.

17. Monetización de la búsqueda de recompensas por errores:

Después de practicar y cubrir todas las vulnerabilidades, le mostraremos cómo puede ganar dinero con sus nuevos conocimientos y habilidades.

Te brindamos diferentes plataformas que puedes usar para comenzar tu carrera como Bug Hunter y usamos una plataforma como ejemplo para mostrar cómo funciona un programa de recompensas por errores y a qué prestar atención al postularte.

18. Bono - Fundamentos del desarrollador web:

Esta sección es para cualquier persona que no tenga conocimientos básicos en Desarrollo Web o no sepa exactamente cómo funcionan y están estructurados los sitios web.

19. Bono - Terminal Linux:

Esta sección es para quienes no tengan conocimientos básicos de la Terminal de Linux. Es importante, ya que la usaremos a lo largo del curso.

20. Bono - Networking:

Fundamentos de redes y algunos términos básicos a conocer como Penetration Testers y Bug Bounty hunters.

¿Cuál es el resultado final?

Este curso no se trata de hacerte codificar sin entender los principios, de modo que cuando termines el curso no sepas qué hacer más que ver otro tutorial… ¡No!

Este curso te impulsará y te desafiará a pasar de ser un principiante absoluto a alguien que puede ganar ingresos como Pentester o Bug Bounty Hunter y convertirse en un experto en seguridad web 💪.

Y si realmente quieres comenzar una carrera a tiempo completo en Ethical Hacking, puedes tomar este curso como parte de nuestra [Ruta de Carrera de Ethical Hacker paso a paso].

¿Cómo lo sabemos?

Porque miles de [graduados de Zero To Mastery] han sido contratados y ahora trabajan en empresas como Google, Tesla, Amazon, Apple, IBM, JP Morgan, Facebook, Shopify y otras empresas tecnológicas líderes.

También trabajan como freelancers destacados y reciben un salario mientras trabajan de forma remota en todo el mundo.

Y provienen de diferentes orígenes, edades y experiencias. Muchos incluso empezaron como principiantes absolutos.

Así que no hay razón para que no puedas ser tú también.

Y no tienes nada que perder. Porque puedes empezar a aprender ahora mismo y, si este curso no es todo lo que esperabas, te reembolsaremos el 100 % en 30 días. Sin complicaciones ni preguntas.

¿Cuál es el mejor momento para empezar? ¡Hoy!

Nunca es mal momento para aprender habilidades muy demandadas. Pero cuanto antes, mejor. Empieza a aprender hoy mismo uniéndote a la Academia ZTM. Tendrás una hoja de ruta clara para desarrollar las habilidades necesarias para conseguir empleo y progresar en tu carrera.