Quieres aprender hacking pero no sabes en qué entorno practicar. Si lo haces en tu propio equipo, te lo puedes cargar. Si lo haces sobre sistemas ajenos, es ilegal. Y si no practicas, no aprendes.
La solución es un laboratorio de hacking con máquinas virtuales. Es lo primero que tienes que montar si quieres empezar a aprender ciberseguridad de verdad. Y es más fácil de lo que crees.
En este artículo te voy a enseñar qué es una máquina virtual, por qué es imprescindible, cómo montar tu laboratorio paso a paso con VirtualBox y Kali Linux, y las configuraciones clave que necesitas conocer para practicar de forma segura.
Qué es una máquina virtual y por qué la necesitas
De forma muy sencilla: una máquina virtual es un ordenador dentro de tu ordenador. Funciona con software. Le asignas un trozo de tu memoria RAM, un trozo de tu disco duro, unos cuantos procesadores, y tienes un sistema operativo completo corriendo dentro de una ventana.
Puedes instalar uno, dos, cinco sistemas operativos virtuales dentro de tu equipo real. Puedes tener un Windows, un Ubuntu y un Kali Linux corriendo al mismo tiempo si tu equipo tiene recursos suficientes.
Y lo más importante: lo que hagas dentro de la máquina virtual no afecta a tu equipo real. Puedes romper cosas, instalar herramientas, probar ataques, y si algo se rompe, la borras y empiezas de nuevo. Sin consecuencias.
¿Por qué esto importa para ti? Porque si quieres aprender hacking, necesitas un entorno donde practicar. No quieres practicar sobre tu propio equipo y cargarte Windows en el proceso. La máquina virtual te da un espacio seguro y aislado para aprender.
Y no pienses que esto es solo cosa de principiantes. En mi día a día como pentester, sigo usando entornos virtualizados para replicar infraestructuras de clientes, para probar exploits en un sandbox antes de lanzarlos en una auditoría, para analizar malware sin riesgo. Es parte del flujo real de trabajo profesional.
Tipos de virtualización: lo que necesitas saber
No toda virtualización funciona igual. Hay tres tipos principales y te los explico rápido porque te va a ayudar a entender qué estás haciendo realmente.
Virtualización completa: todo el hardware está virtualizado. La máquina virtual no sabe que es virtual, cree que está hablando con hardware real. Es la que usamos normalmente con VirtualBox y VMware. Para ti, es la opción estándar.
Paravirtualización: aquí el sistema operativo invitado sabe que está virtualizado y puede acceder al hardware de forma más eficiente. Se usa en entornos de servidor donde necesitas exprimir el rendimiento al máximo.
Virtualización parcial: solo algunas partes del hardware están virtualizadas y otras no. Es menos común y normalmente no te la vas a encontrar en tu día a día.
Hypervisores tipo 1 vs tipo 2
Con VirtualBox o VMware usas lo que se llaman hypervisores de tipo 2: se instalan encima de tu sistema operativo, como un programa más. Los hypervisores de tipo 1, en cambio, se instalan directamente sobre el hardware, sin sistema operativo por debajo. Esos son los que usan Amazon, Microsoft y Google para sus servidores en la nube.
Para aprender hacking, tipo 2 es todo lo que necesitas. Si algún día trabajas en una empresa grande gestionando infraestructura, ahí te encontrarás con tipo 1. Pero eso ya será en otro nivel.
VirtualBox vs VMware: cuál elegir
Para crear máquinas virtuales necesitas un programa que las gestione el hypervisor. Los dos más populares para tu equipo son VirtualBox y VMware.
VirtualBox: gratuito, de código abierto, lleva años en el mercado y funciona muy bien en Windows. Es con el que la mayoría de gente empieza y es la opción más segura si estás empezando.
VMware (Workstation Player): también tiene versión gratuita para uso personal. Algunos lo prefieren porque el rendimiento puede ser ligeramente mejor en ciertas configuraciones.
Yo he usado los dos y sinceramente voy por momentos. Hay épocas en las que uso más VMware y otras VirtualBox.
Mi recomendación si estás empezando: VirtualBox. Gratis, funciona bien, y cuando busques ayuda en internet el 90% de los tutoriales usan VirtualBox. Eso importa cuando te quedas atascado.
Por qué Kali Linux y no otra distribución
Hay muchas distribuciones de Linux: Ubuntu, Parrot, Arch, Fedora. ¿Por qué Kali?
Kali Linux está diseñado específicamente para pentesting y hacking ético. Viene con cientos de herramientas preinstaladas: nmap para escaneo de redes, Burp Suite para auditoría web, Metasploit para explotación, Wireshark para análisis de tráfico. Todo listo para usar.
¿Podrías instalar estas herramientas una por una en Ubuntu? Sí. Pero Kali te ahorra ese trabajo. Y además, es la distribución que vas a encontrar en la mayoría de cursos, certificaciones y entornos profesionales de ciberseguridad. Es el estándar de la industria.
Instalación paso a paso: VirtualBox + Kali Linux
Vamos con la parte práctica.
Requisitos de tu equipo
Antes de empezar, esto es lo que necesitas:
- Un equipo con Windows, Mac o Linux
- Mínimo 4 GB de RAM, aunque con 8 GB vas mucho más cómodo
- Espacio en disco: al menos 30 GB libres
Recuerda que vas a compartir la RAM entre tu sistema real y la máquina virtual. Si tienes 4 GB y le das 2 a la VM, te quedas con 2 para Windows. Y vas justo.
Paso 1 – Instalar VirtualBox
Abre el navegador y ve a virtualbox.org. Descarga la versión para tu sistema operativo.
La instalación es directa: siguiente, siguiente, te avisa de que puede desconectarte la red un momento, siguiente, instalar. Listo.
Nota para Mac con chip M1/M2/M3: VirtualBox puede dar problemas en Macs con Apple Silicon. En ese caso, VMware Fusion o UTM son mejores opciones.
Paso 2 – Descargar la ISO de Kali Linux
Ve a kali.org y ve a la sección de descargas. Hay varias opciones:
- ISO para instalar desde cero — ves todo el proceso de instalación
- Imagen preconfigurada para VirtualBox — la importas y ya tienes Kali funcionando
La imagen preconfigurada es más rápida. Pero si quieres aprender el proceso completo, usa la ISO. En este tutorial vamos con la ISO para que veas todo el proceso. Si prefieres la versión rápida, tengo un tutorial detallado de cómo instalar Kali Linux en VirtualBox donde te lo explico al detalle.
Paso 3 – Crear la máquina virtual
Abre VirtualBox y pincha en New. Configura estos parámetros:
Nombre: Kali Linux (o el que quieras).
ISO: selecciona la ISO que acabas de descargar.
Memoria RAM: asigna 4 GB si tu equipo tiene 8 o más. Si tienes 4 GB de RAM total, asígnale 2 GB.
Procesadores: 2 está bien. Nunca le pases más de la mitad de los que tiene tu equipo.
Disco duro: 25-30 GB es suficiente para empezar. VirtualBox no los usa todos de golpe, va creciendo a medida que guardas cosas.
Siguiente, siguiente, resumen, finish. Y la máquina arranca.
Paso 4 – Instalar Kali Linux
Sigue los pasos del instalador de Kali: idioma, zona horaria, usuario, contraseña. Nada complicado. Cuando termine, ya tienes tu Kali Linux funcionando dentro de VirtualBox.
Configuraciones clave de tu laboratorio de hacking
Antes de ponerte a hackear, hay configuraciones que necesitas entender. Estas son las que marcan la diferencia entre un laboratorio seguro y uno que te puede dar problemas.
Red en modo NAT
Esto es lo que viene por defecto y es lo que quieres para practicar. NAT aísla tu máquina virtual de tu red local. Si la VM se compromete, tu router y tus otros equipos están a salvo.
No toques esta configuración a menos que sepas lo que haces. Cuando necesites que dos VMs se comuniquen entre sí (por ejemplo, Kali atacando a Metasploitable), usarás red interna, que las conecta entre ellas pero las aísla del mundo exterior.
Snapshots: tu máquina del tiempo
Esta es la función más importante que debes conocer. Antes de hacer algo que pueda romper la VM, creas un snapshot. Si algo sale mal, restauras el snapshot y vuelves al estado anterior. Sin formatear, sin reinstalar nada.
Es como guardar partida en un videojuego.
En VirtualBox: Machine → Take Snapshot. Le pones un nombre descriptivo («Antes de probar exploit X») y listo.
Esto es especialmente útil cuando estás probando exploits o instalando herramientas que no conoces. Guardas, pruebas, y si se rompe, vuelves atrás.
Carpetas compartidas: precaución
VirtualBox te permite compartir carpetas entre tu equipo real y la VM. Mi consejo: no lo hagas en VMs de práctica de hacking. Si rompes algo dentro de la VM y tienes carpetas compartidas, podrías afectar archivos de tu equipo real. Mantén la VM aislada.
Gestionar tus máquinas virtuales
Una vez que tengas tus VMs montadas, estas son las operaciones que vas a usar constantemente:
Pausar y reanudar: si necesitas liberar recursos un momento, puedes pausar la VM. Se congela exactamente donde está y cuando la reanudas, vuelve al mismo punto. Útil cuando tu equipo va justo de RAM.
Guardar estado: es como hibernar. Guardas el estado de la VM con todo lo que tenías abierto, la apagas, y cuando la vuelves a encender está exactamente como la dejaste. Terminal abierta, herramientas corriendo, todo.
Clonar: ¿quieres tener dos Kali iguales pero con configuraciones distintas? Una para pentesting web y otra para análisis de red, por ejemplo. Apagas la VM, clic derecho, Clone. Le das un nombre y tienes dos máquinas idénticas e independientes.
Eliminar: si una VM se ha roto y no quieres arreglarla, clic derecho, Remove, y eliminas todos los archivos. Puedes crear otra desde cero o desde un clon en minutos.
Y algo importante: puedes tener varias máquinas virtuales corriendo al mismo tiempo, siempre que tu equipo tenga recursos suficientes. Esto es clave cuando quieres simular un entorno de red, por ejemplo, un Kali atacando y un Metasploitable como objetivo. Las dos VMs corriendo en paralelo, en la misma red interna. Eso es tu laboratorio real.
Solo ten en cuenta que cada VM que enciendas consume RAM y procesador. Si tu equipo tiene 8 GB de RAM y le das 4 a una VM, te quedan 4 para todo lo demás. Sé consciente de los recursos que asignas.
Y ahora qué: los siguientes pasos
Ya tienes tu Kali Linux montado en una máquina virtual. ¿Y ahora qué?
Ahora tienes el laboratorio. Pero el laboratorio vacío no sirve. Necesitas algo que hackear.
Instala máquinas vulnerables. Metasploitable 2 es la clásica – una VM diseñada para ser hackeada. La instalas en VirtualBox al lado de tu Kali, las pones en la misma red interna, y ya tienes un entorno de práctica real.
Si buscas algo más ligero y que no consuma tantos recursos, Dockerlabs es una alternativa perfecta que usa contenedores en lugar de máquinas virtuales completas.
Y si quieres una guía completa de por dónde empezar y en qué orden aprender, te recomiendo mi guía para iniciar en ciberseguridad.
Montar tu primera máquina virtual es el paso más simple de todo el camino. Pero es el primero. Y sin este paso, todo lo demás se queda en teoría.
Preguntas frecuentes sobre Máquinas virtuales
1. ¿Qué es una máquina virtual?
Una máquina virtual es un ordenador simulado por software que funciona dentro de tu equipo real. Le asignas memoria RAM, disco duro y procesadores, y puedes instalar un sistema operativo completo que corre en una ventana. Lo que hagas dentro de la VM no afecta a tu equipo real, lo que la hace perfecta para practicar hacking de forma segura.
2. ¿Cuánta RAM necesito para montar un laboratorio de hacking?
Con 4 GB de RAM puedes empezar, pero vas justo. Lo ideal son 8 GB para poder asignar 4 GB a la máquina virtual y que tu sistema operativo siga funcionando bien. Si quieres correr dos VMs a la vez (por ejemplo, Kali + Metasploitable), 16 GB es lo recomendable.
3. ¿VirtualBox o VMware? ¿Cuál es mejor para hacking?
Ambos funcionan bien. VirtualBox es gratuito, open source, y la mayoría de tutoriales en internet lo usan, lo que facilita resolver problemas. VMware puede tener mejor rendimiento en algunas configuraciones. Si estás empezando, ve con VirtualBox. Siempre puedes cambiar después.
4. ¿Es legal practicar hacking en máquinas virtuales?
Sí, siempre que practiques sobre máquinas que son tuyas o que están diseñadas para ser hackeadas (como Metasploitable, DVWA o Dockerlabs). Hackear sistemas ajenos sin autorización es ilegal, pero practicar en tu propio laboratorio virtual es completamente legal y es la forma correcta de aprender.
5. ¿Puedo romper mi equipo real usando máquinas virtuales?
En condiciones normales, no. La VM está aislada de tu sistema operativo real. Sin embargo, evita configurar carpetas compartidas en VMs de práctica de hacking, ya que si algo sale mal dentro de la VM, podría afectar los archivos compartidos. Usa siempre modo NAT o red interna para mayor aislamiento.
6. ¿Por qué Kali Linux y no Ubuntu u otra distribución?
Kali Linux viene con cientos de herramientas de pentesting preinstaladas: nmap, Metasploit, Burp Suite, Wireshark y muchas más. Podrías instalarlas una por una en Ubuntu, pero Kali te ahorra ese trabajo. Además, es la distribución estándar en cursos, certificaciones y entornos profesionales de ciberseguridad.
7. ¿Qué son los snapshots y por qué son importantes?
Un snapshot es una «foto» del estado de tu máquina virtual en un momento concreto. Si después de hacer un snapshot algo sale mal (un exploit rompe el sistema, una herramienta corrompe archivos), puedes restaurar el snapshot y volver al estado anterior sin reinstalar nada. Es tu red de seguridad más importante.
8. ¿Puedo instalar Kali Linux en un Mac con chip M1/M2/M3?
VirtualBox tiene soporte limitado para Apple Silicon y puede dar problemas. Para Macs con chip M, las mejores opciones son VMware Fusion (tiene versión gratuita para uso personal) o UTM, un emulador diseñado específicamente para macOS con ARM que funciona muy bien con Kali.
9. ¿Qué máquinas vulnerables puedo instalar para practicar?
Las más populares para empezar son Metasploitable 2 (VM clásica llena de vulnerabilidades), DVWA (Damn Vulnerable Web Application para practicar vulnerabilidades web) y Dockerlabs (laboratorios basados en contenedores que consumen menos recursos). Todas son gratuitas y están diseñadas específicamente para aprender hacking ético.
10. ¿Puedo correr varias máquinas virtuales a la vez?
Sí, siempre que tu equipo tenga recursos suficientes. Cada VM consume RAM y procesador. Con 8 GB de RAM puedes correr dos VMs ligeras. Con 16 GB vas cómodo con tres o cuatro. Correr varias VMs en paralelo es necesario para simular entornos de red reales, como un Kali atacando un Metasploitable.