Cómo montar un laboratorio virtual en tu ordenador con máquinas virtuales para aprender redes, Linux y ciberseguridad

Un laboratorio virtual es una forma segura y flexible de practicar redes, Linux y ciberseguridad sin tocar tu sistema principal ni depender de equipos físicos. Con unas cuantas máquinas virtuales (VM) puedes simular una empresa pequeña, levantar servicios, configurar routers, probar reglas de firewall y entrenar procedimientos defensivos. Lo mejor es que puedes volver atrás con instantáneas, repetir ejercicios y documentar lo aprendido como si fuese un entorno profesional.

Requisitos del ordenador y planificación mínima

Antes de instalar nada, conviene ajustar expectativas según tu hardware. Un laboratorio básico funciona en casi cualquier equipo moderno, pero aprenderás más si puedes ejecutar varias VMs a la vez.

CPU: 4 núcleos es un mínimo razonable; 6 u 8 núcleos mejora la experiencia al usar varias VMs simultáneas.
RAM: 16 GB permite un laboratorio cómodo (por ejemplo, 3 a 6 VMs ligeras). Con 8 GB también es posible, pero tendrás que ejecutar menos máquinas o usar distribuciones muy livianas.
Almacenamiento: SSD recomendado. Reserva al menos 80 a 150 GB para imágenes, discos virtuales y capturas. Si planeas montar más servicios, 250 GB o más te dará margen.
Virtualización: Asegúrate de tener habilitada la virtualización en BIOS/UEFI (Intel VT-x o AMD-V).

Planifica tu laboratorio como si fuese un proyecto: define objetivos (Linux básico, administración, redes, seguridad ofensiva o defensiva), número de redes y qué servicios quieres (DNS, web, directorio, monitorización). Esta claridad reduce tiempo perdido reinstalando.

Elegir el hipervisor: qué usar y por qué

El hipervisor es el software que ejecuta las VMs. Para un laboratorio en un PC personal, estas opciones suelen ser las más prácticas:

VirtualBox: fácil de usar, multiplataforma, ideal para empezar. Suele ir bien para laboratorios de aprendizaje.
VMware Workstation Player/Pro: muy sólido para redes virtuales y rendimiento. Si ya lo usas en clase o en empresa, tiene sentido mantenerlo.
Hyper-V (Windows): integrado y estable. Muy útil si quieres practicar administración Windows y redes. Puede interferir con otros hipervisores según configuración.
QEMU/KVM (Linux): excelente rendimiento en Linux, más técnico, muy apreciado si tu host es Linux.

Elige uno y mantén consistencia. Cambiar de hipervisor a mitad del laboratorio complica exportaciones, redes y automatización. Si tu objetivo principal es redes y seguridad, prioriza el que te dé un buen editor de redes virtuales y soporte de snapshots.

Diseño de red del laboratorio: NAT, puente y redes internas

La red es el corazón de un buen laboratorio. La mayoría de hipervisores ofrecen varios modos. Entenderlos te permitirá aislar ejercicios de ciberseguridad sin riesgos.

NAT: la VM sale a Internet a través del host. Es el modo más sencillo y suele ser suficiente para actualizar paquetes o descargar herramientas.
Puente (Bridged): la VM aparece como un equipo más en tu red física. Útil para practicar con dispositivos reales, pero reduce aislamiento.
Red interna/Host-only: VMs comunicadas entre sí (y a veces con el host), sin Internet. Ideal para laboratorios seguros y escenarios de ataque/defensa.

Para aprender ciberseguridad con seguridad, una arquitectura típica es:

Red interna para el entorno vulnerable y las prácticas ofensivas.
NAT solo para máquinas que requieran actualizaciones, o una VM dedicada a actuar como router y proxy.
Host-only si quieres administrar desde tu equipo principal (por ejemplo, SSH/RDP) sin exponer las VMs a la LAN doméstica.

Consejo práctico: crea un esquema de IPs y apúntalo. Por ejemplo, 10.10.10.0/24 para el laboratorio, con un router virtual en 10.10.10.1 y servidores a partir del .10. Esto te ayuda a depurar DNS, rutas y reglas de firewall.

Máquinas virtuales recomendadas según objetivos

Un laboratorio útil no necesita 20 VMs. Con 3 a 6 bien elegidas puedes cubrir muchísimo. Aquí tienes un conjunto equilibrado:

1) Una distribución Linux de servidor

Un servidor Linux será tu base para practicar administración: usuarios, permisos, SSH, servicios, logs, cron, systemd, firewall y scripting. Opciones habituales: Debian, Ubuntu Server o Rocky/Alma Linux.

Recursos sugeridos: 1-2 vCPU, 1-2 GB RAM, 20 GB disco para empezar.
Servicios para practicar: SSH, Nginx/Apache, DNS (Bind), DHCP, base de datos (MariaDB/PostgreSQL).

2) Una máquina de escritorio Linux

Te permite practicar uso real, herramientas gráficas, navegación por red y análisis básico. También es útil como “usuario” dentro del laboratorio.

Recursos sugeridos: 2 vCPU, 2-4 GB RAM, 25 GB disco.

3) Una máquina de ataque y diagnóstico

Una distribución orientada a auditoría te facilita tener herramientas de red y seguridad agrupadas. Úsala siempre en redes aisladas y con objetivos controlados.

Recursos sugeridos: 2 vCPU, 2-4 GB RAM, 30 GB disco.
Uso: reconocimiento, enumeración, pruebas controladas y análisis de tráfico.

4) Una máquina objetivo vulnerable (deliberadamente)

Para aprender, necesitas objetivos. Usa VMs vulnerables diseñadas para prácticas (y mantenlas aisladas). Así entrenas sin poner en riesgo tu red ni tu equipo.

Recursos sugeridos: 1 vCPU, 1-2 GB RAM, 10-20 GB disco.

5) Un router/firewall virtual (opcional, pero muy valioso)

Una VM que actúe como router entre redes internas y NAT te enseña routing, NAT, segmentación, VPN, reglas y registros. Además, te permite “cerrar” el laboratorio y controlar qué entra y sale.

Recursos sugeridos: 1-2 vCPU, 1 GB RAM, 10 GB disco.

Configuración paso a paso: de cero a laboratorio funcional

Paso 1: instala el hipervisor y crea una carpeta de laboratorio

Define un directorio para todo: ISOs, discos virtuales, snapshots y notas. Mantener el laboratorio ordenado te ahorra horas cuando tengas varias versiones.

Paso 2: crea las redes virtuales antes de crear las VMs

Configura al menos una red interna (por ejemplo, LAB-INT) y, si quieres administración desde el host, una host-only (LAB-HOST). Deja NAT para cuando realmente haga falta.

Paso 3: instala primero el servidor Linux

Es tu “piedra angular”. Durante la instalación:

Asigna un hostname claro (por ejemplo, srv-lab).
Configura IP estática en la red interna (por ejemplo, 10.10.10.10).
Activa SSH para administrarlo desde otras VMs o desde el host si aplica.

Tras instalar, actualiza paquetes, crea un usuario administrativo y configura el firewall para permitir solo lo necesario (SSH desde tu red de laboratorio).

Paso 4: instala el cliente Linux y verifica conectividad

Comprueba:

Ping entre cliente y servidor.
Resolución de nombres si ya tienes DNS, o prepara un archivo hosts temporal.
Acceso SSH al servidor.

Paso 5: añade la VM de router/firewall si vas a segmentar

Dale dos interfaces: una a NAT (salida a Internet) y otra a la red interna (LAB-INT). Configura NAT y reglas. Esto te permite actualizar VMs puntualmente sin exponerlas en puente a tu red doméstica.

Paso 6: crea snapshots en puntos clave

Haz una instantánea tras:

Instalación limpia y actualizada.
Configuración básica de red y acceso remoto.
Antes de ejercicios agresivos (escaneo masivo, explotación, cambios de firewall).

Con snapshots, puedes repetir prácticas y comparar resultados. Pon nombres descriptivos y fechas.

Ejercicios prácticos para aprender redes en tu laboratorio

Segmentación y enrutamiento

Crea dos redes internas: una de usuarios y otra de servidores. Coloca el router virtual en medio. Objetivos:

Configurar rutas y comprobar que cada red llega a la otra solo por el router.
Aplicar reglas para permitir solo puertos necesarios (por ejemplo, permitir DNS y HTTP hacia servidores).
Registrar tráfico bloqueado para entender qué intenta hacer cada máquina.

Servicios esenciales: DNS y DHCP

Monta un DNS interno en tu servidor Linux y crea un dominio de laboratorio (por ejemplo, lab.local). Luego:

Crea registros A para srv-lab, web-lab y tu máquina cliente.
Comprueba resolución desde el cliente.
Si te animas, monta DHCP para automatizar direcciones en la red de usuarios.

Captura y análisis de tráfico

Instala un analizador en una VM y observa:

Consultas DNS.
Handshake TCP al acceder por SSH o HTTP.
Diferencias entre tráfico permitido y bloqueado al cambiar reglas de firewall.

Este ejercicio es clave para entender redes de verdad: ves el efecto de cada configuración y aprendes a diagnosticar.

Ejercicios de Linux y administración de sistemas

Usuarios, permisos y endurecimiento básico

Crea usuarios con roles distintos (admin, dev, auditor).
Practica permisos POSIX y umask.
Configura acceso por clave SSH y desactiva autenticación por contraseña en el servidor.
Revisa logs de autenticación y aprende a detectar intentos fallidos.

Servicios web y despliegue controlado

Levanta un servicio web simple y luego añade capas:

Instala un servidor web y publica una página de prueba.
Configura un virtual host y separa contenido por usuario/grupo.
Activa logs detallados y aprende a interpretarlos.

Ejercicios de ciberseguridad: ofensiva y defensiva sin riesgos

La regla de oro: practica solo dentro de tu laboratorio aislado y con objetivos que controlas. Evita el modo puente para VMs vulnerables.

Reconocimiento y enumeración con objetivos definidos

Descubre hosts activos en la red interna.
Enumera puertos y servicios del servidor y del objetivo vulnerable.
Relaciona hallazgos con la configuración real (por ejemplo, un puerto abierto corresponde a un servicio que tú instalaste).

El valor educativo está en entender el porqué: qué servicio responde, qué versión, qué riesgo supone y cómo mitigarlo.

Hardening y verificación

Después de enumerar, aplica defensas y verifica que funcionen:

Cierra puertos innecesarios en el firewall.
Desinstala servicios que no uses.
Activa políticas de contraseñas y bloqueo temporal ante intentos repetidos.
Repite el escaneo para confirmar reducción de superficie de ataque.

Monitorización básica y respuesta a incidentes

Simula un mini SOC doméstico dentro del laboratorio:

Centraliza logs del servidor y del router en una VM de registro.
Configura alertas simples basadas en eventos (múltiples fallos de SSH, cambios de configuración, nuevas conexiones).
Define un procedimiento: detectar, aislar (bloquear IP), recopilar evidencias (logs), restaurar (snapshot) y documentar.

Buenas prácticas para que el laboratorio sea sostenible

Control de recursos y rendimiento

Evita asignar demasiada RAM a una sola VM; reparte para poder ejecutar varias a la vez.
Desactiva servicios innecesarios en VMs de práctica.
Usa discos dinámicos con prudencia y vigila el espacio real en tu SSD.

Gestión de cambios y documentación

Mantén un archivo de notas con IPs, credenciales de laboratorio, servicios y reglas aplicadas.
Nombra snapshots con un patrón: fecha + objetivo + estado (por ejemplo, 2026-04_srv-lab_pre-firewall).
Cuando algo falle, no reinstales de inmediato: diagnostica primero con logs y herramientas de red.

Seguridad del host y aislamiento

Separa el laboratorio de tu red doméstica siempre que puedas (red interna y router virtual).
No reutilices contraseñas reales; crea credenciales solo para el laboratorio.
Desactiva carpetas compartidas si vas a usar VMs vulnerables o herramientas ofensivas.
Si necesitas Internet en una VM vulnerable, habilítalo temporalmente y vuelve a deshabilitarlo al terminar el ejercicio.

Laboratorios tipo que puedes replicar en una tarde

Escenario A: Oficina pequeña

1 router virtual con NAT y firewall.
1 servidor Linux con DNS y web interna.
1 cliente Linux como usuario.

Practicas: DNS, políticas de firewall, logs, despliegue web, permisos y backups.

Escenario B: Práctica de vulnerabilidades controladas

1 VM de ataque.
1 VM vulnerable.
1 red interna aislada sin salida a Internet.

Practicas: enumeración, análisis de tráfico, explotación en un entorno cerrado, restauración con snapshots y hardening posterior.

Escenario C: Segmentación y detección

2 redes internas (usuarios y servidores).
1 router virtual con reglas y logging.
1 servidor de logs.

Practicas: segmentación, rutas, listas de control, monitoreo, investigación a partir de eventos y verificación de mitigaciones.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.