Modo aprendizaje
El modo aprendizaje ofrece escenarios de ataque interactivos paso a paso en un entorno de navegador simulado. Recorre cadenas de ataque del mundo real para entender cómo se explotan las vulnerabilidades y cómo prevenirlas.
Cómo funciona
El modo aprendizaje utiliza una interfaz de pantalla dividida guiada en la que sigues un escenario de ataque interactivo:
Panel izquierdo — Guía del escenario
Instrucciones paso a paso, contexto del escenario y un narrador que te guía a través de toda la cadena de ataque. Cada paso te indica exactamente qué hacer.
Panel derecho — Entorno simulado
Un navegador, dispositivo móvil o simulación de proxy totalmente interactivo en el que realizas acciones: haces clic en botones, rellenas formularios y observas las respuestas en tiempo real.
Interfaz del modo aprendizaje
Así es como se ve la pantalla dividida del modo aprendizaje durante un escenario:
Cambia el id en la URL de /profile/1 a /profile/2. Observa que la aplicación devuelve los datos del segundo usuario sin comprobar la titularidad.
params.id como fuente de verdad en lugar de comprobar la sesión.Estructura del escenario
Cada escenario sigue un patrón coherente de cinco etapas que refleja las evaluaciones de seguridad del mundo real:
Entornos simulados
El modo aprendizaje usa tres tipos de simulación según la categoría de vulnerabilidad:
| Entorno | Se usa para | Descripción |
|---|---|---|
| SimBrowser | Vulnerabilidades web | Una simulación de navegador web totalmente interactiva con barra de URL, navegación, formularios y respuestas dinámicas. Se usa para XSS, CSRF, SQL Injection y otros ataques web. |
| SimMobilePhone | Vulnerabilidades móviles | Simulación de dispositivo iOS y Android con elementos nativos de UI, barra de estado e interacciones táctiles. Se usa para almacenamiento inseguro, inyección en WebView y escenarios de certificate pinning. |
| SimWebProxy | Vulnerabilidades de API | Proxy de petición/respuesta HTTP que muestra llamadas a la API en crudo, cabeceras y payloads. Se usa para BOLA, mass assignment, autenticación rota y otros escenarios de seguridad de API. |
Seguimiento del progreso
Cada escenario hace seguimiento de tu progreso para que puedas retomarlo justo donde lo dejaste:
| Métrica | Descripción |
|---|---|
| Paso actual / Total de pasos | Muestra tu posición en el escenario, p. ej. "Paso 8 de 14" |
| Estado de finalización | in_progress o completed |
| Soporte para reanudar | Puedes cerrar un escenario y volver más tarde: se reanuda desde tu último paso |
Progreso del escenario
Tu lista de escenarios muestra el progreso actual de un vistazo:
Cuando un escenario guiado enseña lo que un desafío de revisión de código no puede
Un desafío de revisión de código en Modo práctica te entrega un fragmento autónomo. Es una representación justa de cómo se ven las vulnerabilidades a nivel de línea, pero la mayoría de las vulnerabilidades reales no están en una sola línea. Viven entre ficheros, entre servicios o en el límite entre cliente y servidor. IDOR es el ejemplo canónico: el código malo no es la consulta a la base de datos, es la comprobación de autorización ausente tres capas más arriba en la pila. El modo aprendizaje es el formato que puede mostrarte esa brecha, porque pone toda la aplicación delante de ti.
Lo mismo ocurre con cualquier vulnerabilidad cuya explotación dependa del estado de la sesión, de flujos de petición de varios pasos o de timing controlado por el atacante. El XSS almacenado solo importa cuando el payload viaja de un usuario a otro. El mass assignment solo importa cuando la capa de modelo confía en claves del body de la petición que nunca debería haber expuesto. Un fragmento no puede mostrar esa cadena. Un escenario sí, porque inicias sesión, realizas acciones, observas respuestas y ves cómo una vulnerabilidad se convierte en una brecha en tiempo real. La estructura de cinco etapas del escenario, descrita arriba, está diseñada exactamente alrededor de ese arco.
Cómo usar el modo aprendizaje si ya eres senior
Los desarrolladores senior y los ingenieros de seguridad a veces se saltan el modo aprendizaje porque el narrador y las instrucciones paso a paso les resultan lentos. Es razonable para clases de vulnerabilidad que has explotado personalmente decenas de veces. El uso adecuado del modo aprendizaje para perfiles senior es selectivo, no completista. Lee por encima la Introducción, lee por encima Descubrimiento y reduce el ritmo en Explotación solo cuando la superficie de ataque te resulte desconocida. Un ingeniero backend que nunca ha escrito código iOS aprenderá más de un único escenario de almacenamiento inseguro en móvil que de veinte desafíos del modo práctica de la misma categoría, porque la parte desconocida es la plataforma, no el concepto.
El otro caso de uso senior es cerrar brechas de lenguaje. Si te incorporas a un equipo que usa un stack que no conoces bien, los escenarios de aprendizaje en ese stack sirven de recorrido rápido por la forma de la aplicación y la superficie de ataque que vas a revisar. Combínalo con práctica alineada con el stack desde Preferencias de stack para ponerte al día con un nuevo código base más rápido que solo leyendo documentación.
Los cursos personalizados combinan Aprender y Practicar en un solo paquete
Los administradores de organización pueden construir secuencias con nombre que mezclen escenarios de aprendizaje y temas de práctica en un único camino curado: consulta Cursos personalizados para el flujo de creación. Cuando se te asigna un curso personalizado, lo consumes en /learn/custom/<courseId> como si fuera un curso integrado, y los elementos aparecen en el orden definido por el administrador. Los elementos de práctica siguen puntuando y otorgando XP como en el modo práctica; los elementos de aprendizaje siguen escribiendo el progreso por escenario como aquí.