Las 30+ mejores webs para practicar hacking web y CTF (2026)

Respuesta rápida: La mejor forma de aprender hacking web es practicar en entornos legales y deliberadamente vulnerables. Para empezar en español con fallos reales, BBLABS; para teoría web gratuita, PortSwigger Web Security Academy; para máquinas tipo boot2root, Hack The Box y TryHackMe. Abajo tienes 30+ opciones ordenadas por nivel y tipo, con para qué sirve cada una.

Cómo elegir dónde practicar (y no perder el tiempo)

Hay decenas de plataformas, pero no todas sirven para lo mismo. Antes de la lista, tres reglas:

1. Practica solo en entornos legales. Hackear una web sin permiso es delito. Todas las de esta lista están diseñadas para que las ataques.
2. Especialízate por objetivo. Si quieres bug bounty web, prioriza labs de aplicación web y APIs, no máquinas Windows de Active Directory.
3. Ve en orden de dificultad. Saltar a lo difícil sin fundamentos es la forma más rápida de frustrarte y abandonar.

Vamos con las plataformas.

Para empezar con fallos reales (en español)

1. BBLABS — labs de reportes reales, en español

Empiezo por la propia casa porque resuelve el problema concreto de practicar bug bounty web en español con casos reales: cada lab de BBLABS reproduce una vulnerabilidad sacada de un reporte público real, lo lanzas directamente en el navegador (sin montar máquinas ni Docker) y lo recorres en orden con el roadmap del hunter, de fácil a difícil sin saltarte fundamentos. Si vienes de cero, combínalo con la ruta Aprender bug bounty. Es el punto de partida más directo si tu objetivo es reportar bugs de verdad, no solo resolver retos académicos.

Teoría web + labs guiados (imprescindibles)

2. PortSwigger Web Security Academy

Gratuita y posiblemente el mejor recurso de teoría web que existe. La hace la gente detrás de Burp Suite. Labs por temas (SQLi, XSS, SSRF, JWT, race conditions...) con dificultad creciente. Imprescindible.

3. Hack The Box (HTB)

La plataforma más conocida de máquinas vulnerables. Tiene módulos guiados (Academy) y máquinas estilo CTF. Más orientada a pentest de sistemas, pero con buena parte web.

4. TryHackMe

La opción más amable para empezar. Salas (rooms) guiadas paso a paso, muchas gratuitas, con explicación incluida. Ideal si nunca has tocado una terminal.

5. PentesterLab

Ejercicios muy centrados en web y código, con "badges" por temática. Excelente para entender el porqué de cada fallo, no solo el cómo.

6. Root Me

Plataforma francesa (también en inglés) con cientos de retos cortos por categoría: web, criptografía, esteganografía, forense. Muy buena para sesiones rápidas.

7. Hacker101 (HackerOne)

Vídeos + CTF gratuito de HackerOne. Resolver sus retos puede darte invitaciones a programas privados. Pensado específicamente para bug bounty.

8. Bugcrowd University

Material formativo gratuito de Bugcrowd: metodología, tipos de fallo y consejos de reporte. Bien para entender cómo piensa una plataforma.

9. YesWeHack Dojo

Retos de la plataforma europea YesWeHack centrados en vulnerabilidades web concretas. Útil y en clave bug bounty real.

Apps deliberadamente vulnerables (self-hosted)

Estas las montas tú (Docker o local) y las rompes sin límites. Perfectas para trastear sin miedo:

10. OWASP Juice Shop

La app vulnerable moderna por excelencia (JavaScript). Decenas de retos con tablero de puntuación. Mantenida por OWASP.

11. DVWA (Damn Vulnerable Web Application)

El clásico en PHP/MySQL. Niveles de seguridad (low/medium/high) para ver cómo cambia la explotación. Ideal para entender SQLi y XSS desde cero.

12. OWASP WebGoat

Lecciones interactivas de OWASP en Java. Más didáctico que Juice Shop, con explicación integrada.

13. bWAPP / bee-box

"Buggy Web Application": más de 100 vulnerabilidades catalogadas. Veterana pero completísima como referencia.

14. OWASP Mutillidae II

App PHP con fallos mapeados directamente al OWASP Top 10. Buena para practicar categoría a categoría.

15. Gin and Juice Shop (PortSwigger)

Web vulnerable pensada para probar escáneres y practicar recon sobre una tienda realista.

Máquinas y CTFs estilo boot2root

16. VulnHub

Repositorio enorme de máquinas vulnerables descargables (VMs) creadas por la comunidad. Gratis. Te las montas en VirtualBox y vas a por root.

17. picoCTF

CTF educativo de la Carnegie Mellon. Gratuito, con retos para principiantes. Muy bueno para fundamentos.

18. OverTheWire (Bandit / Natas)

Wargames por SSH y web. Natas es la serie web: aprendes lógica de explotación nivel a nivel. Bandit te enseña Linux.

19. HackThisSite

Una de las webs de retos más antiguas. Misiones de dificultad creciente, comunidad veterana.

20. CTFtime

No es una plataforma de práctica en sí, sino el calendario de todos los CTF del mundo. Para cuando quieras competir en eventos reales por equipos.

21. CTFlearn

Retos CTF permanentes por categorías, con dificultad para principiantes. Buen complemento a picoCTF.

Retos web puntuales (XSS, etc.)

22. Google XSS Game / Firing Range

Retos oficiales de Google para entender XSS paso a paso. Cortos y muy didácticos.

23. PwnFunction XSS Game

Retos de XSS modernos y entretenidos para afilar el ojo con payloads.

24. Intigriti — Reto XSS mensual

Cada mes, Intigriti publica un reto de XSS público. Excelente para practicar bypasses creativos y compararte con la comunidad.

25. PortSwigger Web Security Academy (modo "expert")

Los labs de nivel experto de PortSwigger (ya citados) merecen mención aparte: race conditions, HTTP request smuggling, prototype pollution. Estado del arte.

APIs y GraphQL

26. crAPI (OWASP)

"Completely Ridiculous API": app vulnerable centrada en el OWASP API Security Top 10. Imprescindible si quieres especializarte en APIs.

27. VAmPI

API deliberadamente vulnerable (Flask) para practicar IDOR, autenticación rota y más, a nivel de endpoint.

28. Damn Vulnerable GraphQL Application (DVGA)

Para aprender a atacar GraphQL: introspección, inyección, IDOR en resolvers. Nicho con poca competencia en bug bounty.

29. APIsec University

Cursos gratuitos sobre seguridad de APIs con labs incluidos. Teoría + práctica bien estructurada.

Móvil, binario y "extra"

30. Metasploitable 2/3

VM Linux llena de servicios vulnerables. Más de red/sistemas que web, pero referencia obligada para recon y explotación de servicios.

31. pwnable.kr / pwnable.tw

Retos de explotación binaria (pwn). Si quieres ir más allá de la web hacia el binario, empieza aquí.

32. Damn Vulnerable iOS App (DVIA) / InsecureBankv2

Apps móviles vulnerables para quien quiera entrar en bug bounty de Android/iOS.

33. HackMyVM

Otra fuente de máquinas tipo boot2root, con ranking y comunidad activa. Alternativa fresca a VulnHub.

¿Por cuál empiezo? (ruta recomendada)

Si te abruma la lista, este es el orden que recomiendo para bug bounty web:

1. Fundamentos web: PortSwigger Web Security Academy (gratis) para la teoría.
2. Patrón de fallos reales: labs de BBLABS en español, en orden con el roadmap.
3. Soltura general: TryHackMe o Hack The Box para no oxidarte con la terminal.
4. Especialización: crAPI/DVGA si vas a por APIs, los retos de Intigriti/Google si vas a por XSS.
5. A reportar: cuando reconozcas los patrones, salta a un programa real. La teoría base está en Aprender bug bounty.

La clave no es cuántas plataformas tocas, sino practicar en orden y de forma constante hasta que el fallo te salte a la vista solo.

Preguntas frecuentes (FAQ)

¿Es legal practicar en estas webs?
Sí. Todas las de esta lista están diseñadas para ser hackeadas o son labs propios. Lo ilegal es atacar sistemas de terceros sin un programa o permiso explícito.

¿Cuál es la mejor para empezar de cero?
Para teoría web, PortSwigger (gratis). Para fallos reales en español sin montar nada, BBLABS. Para soltarte con la terminal, TryHackMe.

¿Gratis o de pago?
Hay muchísimo gratuito (PortSwigger, picoCTF, Juice Shop, OverTheWire). Las de pago suelen aportar rutas guiadas, soporte y contenido en orden, que ahorra muchísimo tiempo cuando empiezas.

¿Practicar labs sirve para ganar dinero en bug bounty?
Sirve para reconocer patrones, que es el 80 % del trabajo. Cuanto más se parezcan los labs a fallos reales (como los de reportes), menos distancia hay entre practicar y reportar de verdad.

Conclusión

No te hace falta probar las 30+: te hace falta elegir tres o cuatro y ser constante. Empieza por la teoría de PortSwigger, entrena el patrón con labs de casos reales en BBLABS siguiendo el roadmap, y cuando los fallos te resulten familiares, da el salto a un programa real con la base de Aprender bug bounty. La diferencia entre quien practica y quien cobra no es la plataforma: es la constancia.