Curso online de Seguridad en Aplicaciones Web y OWASP TOP 10 para Empresas bonificado

💻 Software

• Burp Suite Community Edition — gratis, cubre el 90% de los ejercicios del curso. Descárgalo desde portswigger.net. Burp Suite Professional (~400 €/año) NO es obligatorio.
• Kali Linux — gratis, incluye nmap, sqlmap, OWASP ZAP, Nikto y las demás herramientas usadas en el curso.
• VirtualBox — gratis, para montar el laboratorio local con máquinas vulnerables (DVWA, WebGoat, Juice Shop).
• OWASP Juice Shop o DVWA — gratis, aplicaciones deliberadamente vulnerables para practicar sin riesgo legal.
• Docker Desktop — gratis (uso personal/educativo), alternativa más ligera a las VMs para lanzar los entornos de prácticas.

?️ Hardware

• RAM: 8 GB mínimo (necesitas correr al menos una VM con Kali o los contenedores Docker a la vez).
• CPU: cualquier procesador de los últimos 6-7 años con virtualización habilitada en BIOS/UEFI (Intel VT-x o AMD-V).
• Disco: 20 GB libres para las VMs e imágenes Docker.
• Conexión a internet para acceder a TryHackMe o PortSwigger Academy si usas sus labs online.

🔑 Cuentas

• Cuenta gratuita en PortSwigger Web Security Academy — labs interactivos alineados con OWASP TOP 10.
• Cuenta gratuita en TryHackMe — máquinas vulnerables guiadas para practicar.

📚 Conocimientos previos

• Entender qué es HTTP: petición, respuesta, cabeceras, métodos GET/POST.
• Nociones básicas de HTML y algún lenguaje de back-end (PHP, Python, Java o similar) — no hace falta ser desarrollador experto.
• Saber instalar un programa y moverte por carpetas en Windows o Linux.

Cada bloque del curso termina con un ejercicio práctico sobre entornos vulnerables reales. Estos son los proyectos principales que realizarás:

1. Auditoría completa de DVWA con Burp Suite: configuras el proxy, interceptas peticiones y explotas las diez categorías del OWASP TOP 10 sobre DVWA en nivel bajo, medio y alto. Caso de uso: simula la revisión de seguridad previa al despliegue de una aplicación corporativa.
2. Explotación y remediación de inyección SQL: usas sqlmap y Burp Intruder para extraer datos de una base de datos de prueba, luego aplicas consultas parametrizadas en el código fuente para cerrar la brecha. Caso de uso: reproduce el escenario del portal de clientes de logística descrito en los objetivos.
3. Robo de sesión mediante XSS almacenado: inyectas un payload en un campo de comentarios de Juice Shop, capturas la cookie de sesión de un usuario simulado y demuestras el impacto. Caso de uso: justifica ante el equipo de desarrollo por qué es urgente escapar salidas HTML.
4. Ataque CSRF y protección con tokens: construyes una página maliciosa que realiza una transferencia de fondos en nombre de un usuario autenticado en un lab controlado, y después implementas el token anti-CSRF. Caso de uso: revisión de seguridad de una pasarela de pago en e-commerce.
5. Análisis de seguridad en API REST con JWT: usas Burp Repeater para manipular tokens JWT mal configurados (algoritmo none, secreto débil) en una API de Juice Shop y escalas privilegios. Caso de uso: auditoría de una API de microservicios en entorno empresarial.
6. Informe de auditoría ejecutivo: redactas un informe profesional con hallazgos, puntuación CVSS, evidencias y recomendaciones de remediación priorizadas. Caso de uso: entregable real para un cliente o para un programa de bug bounty.

Estos son los tropiezos más frecuentes al aprender auditoría web y desarrollo seguro. Conocerlos de antemano te ahorra horas de frustración:

• Probar técnicas en aplicaciones reales sin permiso: explotar vulnerabilidades en webs de terceros sin autorización escrita es un delito penal en España (art. 197 bis CP), aunque «solo estés practicando». Usa siempre DVWA, Juice Shop o los labs de PortSwigger/TryHackMe.
• Confiar en la validación solo en el cliente (JavaScript): cualquier validación que ocurre en el navegador puede saltarse con Burp en dos segundos. La validación real debe estar siempre en el servidor.
• Construir consultas SQL concatenando strings: el error clásico. Las consultas parametrizadas o los ORM bien configurados eliminan este riesgo; la concatenación directa lo crea sistemáticamente.
• Almacenar contraseñas en texto plano o con MD5: MD5 y SHA-1 no son aptos para contraseñas. Usa bcrypt, Argon2 o scrypt con sal.
• Tokens JWT con algoritmo «none» o secreto débil: un JWT firmado con algoritmo none o con el secreto «secret» se manipula trivialmente. Verifica siempre el algoritmo en el servidor y usa secretos largos y aleatorios.
• Exponer mensajes de error detallados en producción: un stack trace con la versión del framework, la ruta del servidor o la query SQL fallida es un regalo para el atacante. Los errores de producción deben ser genéricos.
• Configurar CORS con Access-Control-Allow-Origin: * en APIs con datos sensibles: permite que cualquier web lea la respuesta de tu API desde el navegador del usuario. Restringe siempre a los orígenes concretos que necesitas.
• No renovar el ID de sesión tras el login: si el ID de sesión no cambia al autenticarse, un atacante que capture la sesión anónima previa puede secuestrar la cuenta (session fixation).
• Instalar componentes y dependencias sin revisar versiones: usar librerías con CVEs conocidos es la vulnerabilidad A06 del OWASP TOP 10. Revisa tus dependencias con npm audit, pip-audit o equivalentes antes de desplegar.
• Subir el archivo .env con credenciales a Git: ocurre más de lo que parece. Añade .env al .gitignore desde el primer commit y usa variables de entorno del sistema o un gestor de secretos en producción.

Recursos gratuitos y comunidades que complementan el curso y te acompañarán mucho más allá de él:

?️ Entornos de práctica

• PortSwigger Web Security Academy (portswigger.net/web-security) — los mejores labs gratuitos de vulnerabilidades web, creados por los propios autores de Burp Suite. Cubre todos los temas del curso con ejercicios interactivos.
• OWASP Juice Shop — aplicación vulnerable oficial de OWASP, perfecta para practicar localmente sin límites.
• TryHackMe (tryhackme.com) — rutas guiadas de seguridad web con máquinas vulnerables en el navegador, sin instalar nada.
• HackTheBox Free Tier (hackthebox.com) — máquinas más desafiantes para cuando domines lo básico.

📑 Referencias técnicas esenciales

• OWASP Top 10 (owasp.org/www-project-top-ten) — documentación oficial con descripción, ejemplos y contramedidas de cada vulnerabilidad.
• OWASP Testing Guide — metodología completa de auditoría web, descargable gratis en owasp.org.
• CVE Details (cvedetails.com) — base de datos de vulnerabilidades conocidas para investigar CVEs de componentes que uses.
• NIST NVD (nvd.nist.gov) — repositorio oficial de vulnerabilidades con puntuación CVSS.

⌨️ Atajos y comandos clave

• Ctrl+R en Burp — envía la petición al Repeater para modificarla y reenviarla.
• Ctrl+I en Burp — envía al Intruder para ataques de fuerza bruta o fuzzing.
• sqlmap -u "URL" --dbs — enumera bases de datos en un objetivo vulnerable (solo en labs propios).
• ' OR '1'='1 — payload básico para verificar si un campo es vulnerable a SQLi.
• <script>alert(1)</script> — payload básico para detectar XSS reflejado.

👥 Comunidades y canales

• r/netsec y r/AskNetsec en Reddit — noticias y dudas técnicas de seguridad ofensiva y defensiva.
• OWASP Slack — comunidad oficial con canales por proyecto y área geográfica.
• Discord de TryHackMe y HackTheBox — miles de usuarios activos donde resolver dudas de los labs en tiempo real.

📰 Fuentes de actualización

• INCIBE (incibe.es) — avisos de seguridad y recursos en español del Instituto Nacional de Ciberseguridad.
• CCN-CERT (ccn-cert.cni.es) — alertas y guías de seguridad del Centro Criptológico Nacional.
• OWASP Blog y listas de correo — para estar al día de cambios en el OWASP TOP 10 y nuevos proyectos.