Nuevos labs cada semana — Accede a todos desde 5€/mes
Ver labs →BBLabs vs PortSwigger Academy — Labs de Bug Bounty vs Web Security 2026
La pregunta no es cuál elegir, sino cómo combinarlos. Comparativa honesta y actualizada a mayo de 2026.
TL;DR
PortSwigger Web Security Academy es la mejor referencia gratuita del mundo para aprender la teoría de vulnerabilidades web. En inglés. BBLabs reproduce reportes reales de bug bounty pagados en HackerOne y Bugcrowd, en español, por 5€/mes. No son competidores: son complementarios. Aprende la técnica en PortSwigger, practícala en bugs reales en BBLabs.
Comparativa detallada
| Feature | BBLabs | PortSwigger Academy |
|---|---|---|
| Precio | 5€/mes | Gratis |
| Modelo | Suscripción + lifetime | Free, sin login obligatorio |
| Idioma | Español 100% | Inglés (sin traducción) |
| Enfoque | Bug bounty (reportes reales) | Web security teórica |
| Tipo de labs | Apps reales replicando bugs pagados | Ejercicios sintéticos por técnica |
| Entornos | ZIP descargable (Docker local) | Online en navegador (sandbox) |
| Profundidad teórica | Academy en español + writeups | Excelente — referencia mundial |
| Bugs realistas | Sí (HackerOne/Bugcrowd reales) | No (ejercicios académicos) |
| Burp Suite integration | Compatible (uso libre) | Diseñado alrededor de Burp |
| Certificación | Track record + ranking | BSCP (Burp Suite Certified Practitioner) |
| Comunidad | Discord español activo | Foros oficiales en inglés |
| Nuevo contenido | Cada lunes | Esporádico (1-2× al año) |
| Writeups oficiales | Sí, cada lab | Solutions disponibles |
| Bug bounty oriented | Sí (es el core) | Parcialmente (orientado a Burp) |
Por qué son complementarios, no competidores
PortSwigger Web Security Academy nace del equipo de research de PortSwigger (los autores de Burp Suite y de The Web Application Hacker's Handbook). Su enfoque es académico-técnico: explican cada vulnerabilidad web a un nivel de detalle inigualable, con ejercicios sintéticos diseñados para enseñar la mecánica exacta de la explotación.
BBLabs nace del bug bounty real. Cada lab es la reproducción de un disclosed report concreto: la app vulnerable exacta, el contexto del programa, el bounty otorgado, el writeup que envió el hunter ganador. Lo que aprendes en PortSwigger te da la capacidad técnica; lo que practicas en BBLabs te da el criterio para aplicar esa capacidad en programas activos. Es la diferencia entre saber jugar al ajedrez y haber jugado partidas reales contra rivales.
Idioma: el factor decisivo para hispanohablantes
PortSwigger Academy está exclusivamente en inglés y no tiene plan de localización. Si tu inglés técnico ya es fluido, no hay problema. Pero si todavía estás construyendo vocabulario técnico, leer enunciados de explotación de race conditions o prototype pollution en inglés añade horas semanales de fricción cognitiva. BBLabs es la única plataforma de bug bounty labs íntegramente en español: UI, labs, writeups, Academy gratuita, Discord. Si combinas, puedes leer la teoría en PortSwigger cuando ya tengas el contexto en español de BBLabs — el inglés se vuelve más digerible.
Tipo de labs: sintéticos vs reportes reales
Los labs de PortSwigger son ejercicios académicos: aplicaciones web reducidas, diseñadas con un único vector explotable, donde el flujo de explotación está claro porque el contexto está limpio. Eso es perfecto para aprender la técnica. No es realista respecto a un programa de bug bounty real, donde la app tiene cientos de endpoints, lógica de negocio compleja y el bug está enterrado entre código legítimo.
BBLabs reproduce el contexto real: la aplicación que pagó el bounty, con su funcionalidad real (registro, login, perfil, búsqueda…), donde encontrar el bug requiere reconnaissance, hipótesis y verificación. Cuando terminas un lab de BBLabs, has replicado el camino que hizo el hunter original para encontrar el bug — no solo la explotación final. Más sobre el modelo en reportes de bug bounty.
Frecuencia de contenido y actualización
PortSwigger Academy se actualiza esporádicamente — añaden labs nuevos 1-2 veces al año cuando publican research nueva (Web Cache Deception, Web LLM Attacks, etc.). BBLabs publica un nuevo lab cada lunes, basado en disclosed reports recientes de HackerOne, Bugcrowd e Intigriti. Si quieres mantener un ritmo semanal de práctica con bugs actuales del mercado, BBLabs te empuja a volver cada semana; PortSwigger es referencia que consultas cuando necesitas profundizar en un tema concreto.
La estrategia recomendada: combinar ambas
- Semanas 1-4: trabaja PortSwigger Academy en los temas core (XSS, SQLi, IDOR/Authz, SSRF). Lee el material teórico, completa los labs guiados.
- Semanas 2-8: en paralelo suscríbete a BBLabs (5€/mes) y resuelve los labs por categoría — cada uno reproduce un bug real de esa vulnerabilidad. Lee los writeups después.
- Semanas 4-12: empieza a leer disclosed reports en HackerOne y Bugcrowd. BBLabs te da el filtro mental para entenderlos.
- Mes 3+: entra a programas reales (HackerOne, Bugcrowd, Intigriti). El track record que vas construyendo en BBLabs (flags + ranking público) suma a tu credibilidad como hunter.
Coste total: 5€/mes. Hay quien encuentra su primer bounty antes del mes 3 con esta combinación. Para más roadmap detallado, guía completa de aprender bug bounty.
Para quién es cada uno
Elige BBLabs si...
- • Quieres practicar bugs reales pagados en bounty
- • Hablas español o lo prefieres
- • Quieres ranking público + comunidad ES
- • Buscas labs basados en reportes concretos
- • Necesitas ritmo semanal de práctica
- • Quieres track record demostrable
Usa PortSwigger Academy si...
- • Quieres referencia teórica gratuita
- • Hablas inglés con fluidez
- • Buscas profundidad académica por vector
- • Vas a presentar el BSCP
- • Usas Burp Suite Pro intensivamente
- • Quieres research de vanguardia (PortSwigger Research)
La respuesta honesta: úsalas las dos. Son los dos recursos más infrautilizados juntos por hunters principiantes.
Preguntas frecuentes
¿BBLabs y PortSwigger Academy son competidores?
No, son complementarios. PortSwigger Web Security Academy es la mejor referencia gratuita del mundo para aprender la teoría de cada vulnerabilidad web (XSS, SQLi, SSRF, deserialización, etc.). BBLabs reproduce reportes reales de bug bounty pagados. La combinación ideal es: aprende la técnica en PortSwigger Academy → practícala en bugs reales en BBLabs. No tienes que elegir.
¿Si PortSwigger Academy es gratis, por qué pagar 5€/mes por BBLabs?
Porque resuelven problemas distintos. PortSwigger te enseña qué es un XSS y cómo se explota en un ejercicio sintético. BBLabs te enseña cómo encontrar XSS en una aplicación real que pagó un bounty de $X en HackerOne. Una vez dominas la técnica con PortSwigger, BBLabs te da la práctica realista que conecta con encontrar bugs en programas activos. Es la diferencia entre estudiar gramática inglesa y mantener una conversación real.
¿PortSwigger Academy está en español?
No. Toda la teoría, los labs y la documentación están en inglés. PortSwigger es una empresa británica y no tiene roadmap de localización. Para hispanohablantes con inglés técnico fluido es perfecto; para quienes prefieren español o están aún construyendo vocabulario técnico, BBLabs ofrece toda la Academy gratis en español, además de los labs de práctica.
¿PortSwigger Academy tiene más profundidad teórica que BBLabs?
Sí, en cobertura académica. La Web Security Academy de PortSwigger es la referencia global de la industria — cubre vulnerabilidades web con un nivel de detalle académico inigualable, escrito por su equipo de research (autores del libro 'The Web Application Hacker's Handbook'). BBLabs Academy es deliberadamente más práctica y compacta: 16 categorías clave para bug bounty, en español, con tips para hunters reales. Si quieres profundidad académica enciclopédica, complementa con PortSwigger.
¿Necesito Burp Suite Pro para usar BBLabs?
No. Los labs de BBLabs funcionan con Burp Suite Community (gratis) o cualquier proxy alternativo (Caido, ZAP). PortSwigger Academy está diseñada alrededor de su producto Burp Suite Pro y muchos labs avanzados se benefician de funcionalidades Pro (intruder, repeater avanzado). En BBLabs eres libre de usar el toolkit que prefieras.
¿Cuál preparar antes para conseguir mi primer bounty?
Estrategia recomendada: 1) Empieza con PortSwigger Academy para entender cada vulnerabilidad (gratis, semanas 1-4). 2) En paralelo, suscríbete a BBLabs y resuelve labs de XSS, IDOR, SSRF, SQLi (semanas 2-8). 3) Lee disclosed reports en HackerOne/Bugcrowd. 4) Empieza a hunting en programas activos. PortSwigger te da la base teórica, BBLabs te da la práctica realista, y la combinación reduce drásticamente el tiempo hasta tu primer bounty.
¿La certificación BSCP de PortSwigger es útil para bug bounty?
Es respetada para roles de pentester web profesional, pero el bug bounty no requiere certificación. Lo que importa en bounty es track record demostrable: bugs encontrados, bounties cobrados, reputación en plataformas. BBLabs te ayuda a construir ese track record con flags capturadas, ranking público y un perfil que puedes enseñar. Si tu objetivo es trabajo corporativo: BSCP suma. Si tu objetivo es bounty: track record real pesa más.
Otras comparativas
Combina PortSwigger Academy con BBLabs
La teoría con PortSwigger (gratis), la práctica realista con BBLabs (5€/mes). El stack que reduce tiempo hasta tu primer bounty.