Disclaimer legal: Todo lo descrito en este artículo se realizó exclusivamente en entornos controlados y autorizados de TryHackMe. No apliques estas técnicas en sistemas sin permiso explícito por escrito. El hacking no autorizado es ilegal en prácticamente todos los países.

Tiempo de lectura estimado: 15 minutos


Tabla de contenidos

  1. Qué vas a aprender aquí
  2. Por qué TryHackMe es el punto de entrada correcto
  3. Sala 1: Linux Fundamentals
  4. Sala 2: Basic Pentesting
  5. Sala 3: Pre-Security Path
  6. Concepto de seguridad detrás de cada flag
  7. Errores comunes y cómo evitarlos
  8. Próximos pasos
  9. FAQ

Qué vas a aprender aquí (y qué necesitas antes de empezar)

Este writeup de TryHackMe para salas de principiantes en español no es uno donde te pego las flags y te vas. Si buscas eso, hay mil sitios en inglés que lo hacen. Lo que vas a encontrar aquí es una resolución real de tres salas de TryHackMe orientadas a principiantes — Pre-Security, Linux Fundamentals y Basic Pentesting — con el contexto de por qué cada paso funciona, qué conceptos de seguridad estás tocando sin darte cuenta, y dónde la mayoría de novatos se atascan.

Antes de empezar necesitas:

  • Cuenta gratuita en TryHackMe
  • Kali Linux o Parrot OS (en VM o nativo, no importa)
  • Saber abrir una terminal sin entrar en pánico
  • Tener la VPN de TryHackMe activa — sin esto no llegas a ninguna máquina

Si todavía no tienes el entorno montado, en hackchest.net tenemos una guía específica para montar tu laboratorio de hacking en casa. Vuelve cuando lo tengas listo.

Tiempo real para completar las tres salas que cubro aquí: entre 4 y 7 horas dependiendo de si lees o solo copias comandos.


Por qué TryHackMe es el punto de entrada correcto para aprender hacking ético

La pregunta que me hacen constantemente es: ¿por dónde empiezo? La respuesta honesta es que depende de tu nivel, pero para alguien que viene de cero o casi cero, TryHackMe tiene una ventaja estructural sobre otras plataformas: las máquinas tienen contexto educativo integrado. No te tiran una IP y a ver qué haces — te explican qué concepto estás practicando.

HackTheBox es mejor para practicar hacking real sin guías, pero si no tienes base, vas a pasar más tiempo frustrado que aprendiendo. TryHackMe resuelve ese problema.

Lo que no te dice nadie: la cuenta gratuita tiene limitaciones de tiempo de máquina. Después de un rato, la instancia se apaga y pierdes el progreso si no guardaste notas. Aprende desde el primer día a documentar todo en un bloc de notas o en Obsidian. Ese hábito te va a salvar en CTFs reales.


Sala 1: Linux Fundamentals — La base que nadie puede saltarse

Sé que suena aburrido. No lo es. El 80% de los servidores que vas a atacar en tu carrera de pentesting corren Linux. Si no te mueves con soltura en una terminal, vas a ser lento, vas a cometer errores y vas a depender de herramientas gráficas que no siempre están disponibles.

Esta es una de las salas para principiantes en TryHackMe más importantes en español porque sienta las bases de todo lo que viene después.

Lo que enseña esta sala sin que te des cuenta

Cuando TryHackMe te pide que uses find para localizar un archivo, en realidad te está enseñando reconocimiento local — la misma técnica que usas después de comprometer un sistema para buscar credenciales, archivos de configuración o claves SSH.

# Buscar archivos con permisos SUID — esto lo usarás en escalada de privilegios
find / -perm -u=s -type f 2>/dev/null

# Output real de una máquina TryHackMe:
/usr/bin/newgrp
/usr/bin/sudo
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/pkexec
/usr/bin/su
/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/eject/dmcrypt-get-device

Ese 2>/dev/null al final no es decorativo — redirige los errores de permisos a la nada. Sin él, la terminal te escupe cientos de líneas de Permission denied y no puedes leer los resultados que importan. Es un detalle pequeño que separa a alguien que entiende lo que hace de alguien que copia comandos de Stack Overflow.

El error que cometí y que tú vas a cometer

En uno de los ejercicios de Linux Fundamentals, la sala te pide encontrar una flag dentro de un archivo oculto en el directorio home. Perdí diez minutos buscando con ls normal. El problema: los archivos ocultos en Linux empiezan con punto y ls no los muestra por defecto.

# Esto NO muestra archivos ocultos:
ls /home/usuario/

# Esto SÍ:
ls -la /home/usuario/

# Output:
total 32
drwxr-xr-x 4 usuario usuario 4096 Jan 15 09:23 .
drwxr-xr-x 3 root    root    4096 Jan 15 09:10 ..
-rw------- 1 usuario usuario  220 Jan 15 09:10 .bash_logout
-rw-r--r-- 1 usuario usuario 3526 Jan 15 09:10 .bashrc
drwx------ 2 usuario usuario 4096 Jan 15 09:23 .cache
-rw-r--r-- 1 usuario usuario   38 Jan 15 09:23 .flag.txt
-rw-r--r-- 1 usuario usuario  807 Jan 15 09:10 .profile
drwxr-xr-x 2 usuario usuario 4096 Jan 15 09:15 .ssh

Ahí está .flag.txt. Diez minutos tirados por no usar -la. No te pasa dos veces.


Sala 2: Basic Pentesting — Tu primer contacto real con la metodología

Esta sala es donde la cosa se pone interesante. Tienes una máquina con servicios corriendo y el objetivo es comprometer el sistema. La sala te guía, pero si entiendes qué estás haciendo en cada paso, aprendes el doble. Es el writeup de TryHackMe más completo para principiantes en español que vas a encontrar sobre esta sala.

Enumeración: por qué Nmap primero, siempre

El primer paso en cualquier pentest es saber qué hay. Nmap es la herramienta estándar y hay una razón: combina velocidad, precisión y versatilidad que otras herramientas no igualan en un solo paquete.

nmap -sV -sC -oN scan_inicial.txt 10.10.XX.XX

# Output real (IP anonimizada por política de TryHackMe):
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-15 10:45 UTC
Nmap scan report for 10.10.XX.XX
Host is up (0.045s latency).
Not shown: 995 closed tcp ports (reset)

PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.8
80/tcp   open  http        Apache httpd 2.4.18 ((Ubuntu))
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu
8009/tcp open  ajp13       Apache Jserv (Protocol v1.3)

Service Info: Host: BASIC2; OS: Linux

Lo que ves aquí es una superficie de ataque clara: SSH en 22, HTTP en 80, Samba en 139/445 y AJP en 8009. Cada puerto abierto es una puerta potencial. La versión de OpenSSH (7.2p2) y de Apache (2.4.18) son antiguas — eso ya te dice que hay posibilidades de exploits conocidos.

Observación técnica propia: Mucha gente usa nmap -A porque «escanea todo». El problema es que -A activa OS detection, script scanning, traceroute y version detection simultáneamente, lo que genera muchísimo ruido en la red y tarda más. En un entorno de CTF no importa, pero si algún día haces un pentest real, ese ruido dispara alertas en cualquier IDS decente. Mejor acostumbrarse desde el principio a ser selectivo con los flags.

Enumeración web y el directorio que no esperaba encontrar

Con el puerto 80 abierto, el siguiente paso es enumerar directorios. Usé gobuster porque es más rápido que dirb en la mayoría de escenarios:

gobuster dir -u http://10.10.XX.XX -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html

# Output parcial:
===============================================================
Gobuster v3.6
===============================================================
[+] Url:        http://10.10.XX.XX
[+] Threads:    10
[+] Wordlist:   /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Extensions: php,txt,html
[+] Timeout:    10s
===============================================================
/index.html    (Status: 200) [Size: 930]
/development   (Status: 301) [Size: 315]
/.htaccess     (Status: 403) [Size: 292]
/.htpasswd     (Status: 403) [Size: 292]
===============================================================

El directorio /development no estaba en mi radar inicial. Dentro había dos archivos de texto con notas de desarrollo donde los programadores dejaron credenciales en texto plano. Esto pasa en producción real más de lo que quieres saber.

Escalada de privilegios: el concepto que más cuesta entender

Una vez dentro del sistema con credenciales débiles encontradas en Samba, el objetivo es pasar de usuario normal a root. En esta sala, el vector es un binario con permisos SUID mal configurado.

Lo que enseña este ejercicio: los administradores de sistemas que no auditan permisos regularmente dejan puertas traseras sin saberlo. Un find con los parámetros correctos (los que viste arriba) te muestra exactamente qué binarios tienen SUID. Si alguno de esos binarios puede ejecutar comandos del sistema, tienes escalada.


Sala 3: Pre-Security Path — Conceptos que parecen básicos pero no lo son

El Pre-Security path de TryHackMe cubre redes, sistemas operativos y fundamentos web. Lo que parece teoría aburrida es en realidad la base para entender por qué los ataques funcionan. Para cualquier principiante que empiece su writeup de TryHackMe en español, esta sala es el punto de partida recomendado.

DNS y por qué importa en pentesting

Cuando la sala te explica cómo funciona DNS, no te está dando teoría de redes — te está explicando por qué el DNS enumeration es uno de los primeros pasos en reconocimiento externo. Subdominios mal configurados, registros TXT con información sensible, transferencias de zona habilitadas — todo eso empieza en entender cómo funciona el protocolo.

HTTP y el concepto de cookies de sesión

La sección de HTTP te enseña cómo funcionan las cookies. Ese conocimiento es directamente aplicable a ataques de session hijacking, CSRF y XSS. No es teoría — es el mecanismo exacto que vas a explotar en salas más avanzadas.

Lo que omiten la mayoría de tutoriales: TryHackMe en su versión gratuita no guarda el progreso de las preguntas si cierras la sesión en algunos módulos. Si estás en medio de una sala larga y cierras el navegador, algunas respuestas se pierden aunque la máquina siga activa. Solución: anota las flags en cuanto las obtienes.


Concepto de seguridad detrás de cada flag

Este es el punto que diferencia aprender de memorizar:

Flag obtenidaConcepto real que estás practicando
Flag en archivo oculto LinuxReconocimiento local post-explotación
Credenciales en SambaEnumeración de servicios de red
Flag tras escalada SUIDAbuso de misconfiguraciones de permisos
Flag en directorio web ocultoEnumeración de superficie web
Flag en archivo de configuraciónBúsqueda de credenciales hardcodeadas

Cada vez que obtienes una flag en TryHackMe, pregúntate: ¿en qué escenario real usaría esto? Esa pregunta convierte el ejercicio en conocimiento transferible.


Errores comunes y cómo evitarlos

Error 1: No conectar la VPN antes de intentar acceder a la máquina

Parece obvio, pero es el error número uno. Si intentas hacer nmap a la IP de la máquina sin la VPN activa, o no te responde o escaneas algo que no deberías. Verifica siempre con:

ip a | grep tun0
# Si no aparece tun0, la VPN no está activa

Error 2: Usar rockyou.txt para todo sin pensar

rockyou.txt tiene 14 millones de contraseñas. Es útil, pero en CTFs de principiante, las contraseñas suelen estar en wordlists más pequeñas y específicas. Empezar con rockyou.txt significa esperar horas para un ataque de fuerza bruta que con fasttrack.txt terminaría en minutos. Aprende a elegir la wordlist según el contexto.

Error 3: Ignorar los errores de Nmap

Cuando Nmap dice Host seems down no significa que la máquina esté apagada — a veces significa que está bloqueando pings ICMP. La solución:

nmap -sV -sC -Pn 10.10.XX.XX
# -Pn deshabilita el ping discovery y escanea de todas formas
# Este flag lo necesitarás constantemente en máquinas de TryHackMe y HackTheBox

Error 4: No documentar durante el proceso

Cuando llevas dos horas en una máquina y encuentras la flag final, no recuerdas exactamente qué hiciste en el paso 3. Sin notas, no puedes escribir un writeup, no puedes replicar el proceso y no consolidas el aprendizaje. Usa Obsidian, CherryTree o simplemente un archivo de texto. Lo que importa es que sea inmediato — anota mientras haces, no después.


Próximos pasos

Si completaste estas tres salas y quieres seguir progresando de forma estructurada:

  1. Metasploit para principiantes: guía completa en español — Una vez que entiendes la enumeración manual, Metasploit te enseña a automatizar la explotación. Pero si usas Metasploit sin entender qué hace por debajo, estás construyendo sobre arena. Primero las bases, luego la herramienta.
  2. Cómo montar tu laboratorio de hacking en casa — TryHackMe es excelente, pero tener un laboratorio local donde puedes romper cosas sin límite de tiempo es el siguiente nivel. VulnHub tiene máquinas gratuitas que puedes correr en VirtualBox. La curva de aprendizaje sube considerablemente porque no hay guías integradas, que es exactamente lo que necesitas después de las salas guiadas.
  3. Writeup máquinas Easy HackTheBox para principiantes — Cuando las salas de TryHackMe se sienten cómodas, es momento de pasar a HackTheBox. Las máquinas Easy de HTB son equivalentes a las salas intermedias de THM, pero sin hints. Es el salto que te convierte de alguien que sigue guías a alguien que resuelve problemas.

FAQ

¿Puedo hacer TryHackMe sin saber programar?

Para las salas de principiante, sí. Para llegar a un nivel donde el pentesting sea útil profesionalmente, necesitas al menos Python básico. No para programar exploits desde cero, sino para leer y modificar scripts existentes. Si un exploit en Python falla porque la IP está hardcodeada y no sabes cambiarlo, estás bloqueado. Aprende lo suficiente para leer código, no para ser desarrollador.

¿Es suficiente TryHackMe para conseguir trabajo en ciberseguridad?

No por sí solo. TryHackMe es una parte del camino, no el destino. Las certificaciones como eJPT (para empezar) o OSCP (cuando tengas base sólida) son lo que validan tu conocimiento ante empleadores. TryHackMe es donde practicas para esas certificaciones, no el reemplazo de ellas.

¿Cuánto tiempo se tarda en completar las salas de principiante de TryHackMe?

Depende de tu nivel previo. Las tres salas que cubro en este writeup de TryHackMe para principiantes en español requieren entre 4 y 7 horas si lees y entiendes cada paso. Si solo copias comandos, puedes terminarlas en 2 horas, pero no habrás aprendido nada transferible.

¿TryHackMe es gratis?

Tiene una capa gratuita con acceso a muchas salas para principiantes. La suscripción de pago desbloquea todas las salas, máquinas sin límite de tiempo y rutas de aprendizaje completas. Para empezar, la versión gratuita es más que suficiente.

¿Por qué las flags de TryHackMe tienen el formato THM{…}?

Es un identificador de plataforma. En CTFs competitivos, cada competición define su propio formato (CTF{…}, FLAG{…}, etc.) para que el sistema de scoring pueda validar automáticamente si la respuesta es correcta. No tiene implicación técnica — es solo convención. Lo que importa es el proceso para llegar a ella, no el texto dentro de las llaves.

¿Cuál es la diferencia entre TryHackMe y HackTheBox para principiantes?

TryHackMe está diseñado para principiantes absolutos: tiene guías integradas, contexto educativo y salas estructuradas por nivel. HackTheBox asume que ya tienes base y te lanza directamente a resolver máquinas sin pistas. El orden correcto para la mayoría de personas es TryHackMe primero, HackTheBox después.


¿Tienes dudas sobre algún paso específico o te atascaste en alguna sala de TryHackMe? Déjalo en los comentarios — respondo a todos.