Montar un laboratorio de pentesting en casa con VirtualBox
Ciberseguridad · Pentesting · Laboratorio casero · 07/04/2026
Cuando empecé el Máster en Ciberseguridad una de las primeras cosas que aprendí es que la teoría sin práctica no sirve de nada en este campo. Montar un laboratorio de pentesting con VirtualBox fue lo primero que hice para pasar de la teoría a la práctica real: puedes saberte de memoria qué es un escaneo de puertos, pero hasta que no lo ejecutas contra una máquina real y ves los resultados en pantalla, no lo has entendido de verdad. El problema es que practicar técnicas ofensivas en sistemas ajenos es ilegal. La solución es montarte tu propio laboratorio de pentesting en casa, y con VirtualBox se puede hacer en una tarde sin gastar un euro. Puedes ver más proyectos de este tipo en la sección de ciberseguridad del blog.
Lo que voy a explicar aquí es exactamente lo que tengo montado yo: dos máquinas virtuales en la misma red aislada, una atacante y una víctima, sin tocar nada fuera del ordenador. Un entorno seguro, legal y suficientemente realista para practicar las técnicas fundamentales del pentesting.
⚠️ Aviso importante — Uso legal y ético
Todo lo que se describe en este artículo está pensado exclusivamente para ejecutarse en un entorno local controlado, sobre máquinas virtuales que tú mismo has creado y que no están conectadas a Internet ni a redes ajenas. Aplicar estas técnicas contra sistemas, páginas web, servidores o redes que no son de tu propiedad — o para los que no tienes un permiso explícito y por escrito — es un delito tipificado en el Código Penal español (artículos 197 bis y 264) y en la legislación de la mayoría de países.
La ciberseguridad ofensiva es una disciplina legítima y muy demandada profesionalmente, pero solo cuando se ejerce con autorización. Si quieres practicar fuera de tu lab local, hazlo en plataformas diseñadas para ello como HackTheBox, TryHackMe o VulnHub, que ofrecen entornos vulnerables de forma legal. Practica siempre dentro de la ley.
¿Qué necesitas para montar el laboratorio de pentesting con VirtualBox?
El requisito principal es tener un ordenador con suficiente RAM. Con 8 GB mínimo puedes funcionar, aunque con 16 GB el lab corre mucho más cómodo. El disco no es crítico si usas instantáneas con cuidado, pero reserva al menos 60 GB libres.
| VirtualBox | Gratuito. Descarga desde virtualbox.org |
| Kali Linux | ISO oficial desde kali.org — la máquina atacante |
| Windows 11 | ISO desde microsoft.com — la máquina víctima |
| Extension Pack | Opcional pero recomendable para USB y mejor rendimiento |
La clave del laboratorio de pentesting: la red solo-anfitrión
El punto más importante de todo el lab es el tipo de red que configuras. No uses NAT ni Red Interna si quieres que las dos máquinas se vean entre sí y que al mismo tiempo estén completamente aisladas de Internet y de tu red doméstica. La opción correcta es Host-Only Adapter (Adaptador solo-anfitrión).
Con esta configuración, VirtualBox crea una red virtual privada que solo existe dentro de tu ordenador. Kali y Windows 11 se ven entre ellas, pero ninguna tiene salida a Internet ni puede alcanzar otros dispositivos de tu casa. Para un laboratorio de pentesting es el escenario ideal.
Configuración de red en VirtualBox
- En VirtualBox, ve a Archivo → Administrador de red de anfitrión
- Crea una nueva red si no existe (por defecto suele ser
192.168.56.0/24) - En cada VM, en Configuración → Red → Adaptador 1, selecciona Adaptador solo-anfitrión
Una vez configurado, en mi caso las IPs quedaron así:
| Kali Linux (atacante) | 192.168.56.102 |
| Windows 11 (víctima) | 192.168.56.103 |
Primeras pruebas: verificar que el laboratorio de pentesting funciona
Antes de lanzar ninguna herramienta ofensiva, lo primero es confirmar que las dos máquinas se ven entre sí. Desde la terminal de Kali:
ping 192.168.56.103Si recibes respuesta, el lab está funcionando. El siguiente paso es un escaneo básico con Nmap para ver qué puertos tiene abiertos la máquina Windows:
nmap -sV 192.168.56.103 El parámetro -sV intenta detectar la versión de los servicios que están corriendo en cada puerto abierto. En una instalación limpia de Windows 11 verás relativamente pocos puertos, pero es suficiente para entender cómo funciona la enumeración de servicios, que es el primer paso de cualquier auditoría real.
Preparar la víctima para practicar pentesting
Una instalación limpia de Windows 11 tiene pocas vulnerabilidades accesibles por defecto, lo cual es realista pero poco didáctico al principio. Para practicar técnicas concretas hay dos opciones: desactivar el firewall y el antivirus de la VM víctima deliberadamente (es tu lab, no hay riesgo real), o instalar versiones antiguas de software con vulnerabilidades conocidas como Apache 2.2 o SMB sin parchear.
Una alternativa que uso yo es tener varias instantáneas de la máquina víctima en distintos estados de configuración. VirtualBox permite guardar el estado exacto de una VM en un momento concreto y volver a él cuando quieras, lo que es ideal para repetir ejercicios desde cero sin reinstalar nada.
Qué puedes practicar con este setup de pentesting en VirtualBox
- Enumeración de servicios y puertos con Nmap
- Análisis de vulnerabilidades con OpenVAS / GVM
- Explotación básica con Metasploit Framework
- Ataques de red: ARP spoofing, sniffing con Wireshark
- Post-explotación: escalada de privilegios, persistencia
- Generación de informes de auditoría siguiendo metodologías como OSSTMM
Todo esto dentro de tu red virtual, sin afectar a nada externo y con total control sobre el entorno. Puedes romper cosas, restaurar la instantánea y volver a empezar. Si quieres ir un paso más allá de forma legal, plataformas como HackTheBox o TryHackMe ofrecen máquinas vulnerables en entornos controlados pensados exactamente para esto. Si te interesa ver cómo llevé esto a la práctica en mis ejercicios del máster, puedes leer más en la sección de ciberseguridad.
Veredicto Draven
Montar un laboratorio de pentesting en casa con VirtualBox es lo más rentable que puedes hacer si estás estudiando ciberseguridad. Sin coste, sin riesgo legal, sin depender de que el profesor tenga montado el entorno del aula. En una tarde tienes algo funcional, y a partir de ahí solo necesitas curiosidad y tiempo. El lab no te enseña — tú aprendes rompiéndolo. Siempre en local, siempre con la ley por delante.
La Página de Draven · Laboratorio de Ciberseguridad · 2026
#Pentesting #VirtualBox #KaliLinux #Ciberseguridad #LaboratorioCasero #HackingÉtico #ASIR #SeguridadInformática
