hacking / marzo 25, 2026 / 13 min de lectura / 👁 108 visitas

El horizonte de 2026: ¿Por qué prepararse ya?

A veces uno se levanta, abre X (el antiguo Twitter, que nos cuesta a todos horrores llamarlo por su nuevo nombre) y se encuentra con esos pequeños gestos que mantienen viva la comunidad técnica. Me refiero a ese simple «repost» que, aunque parezca una nimiedad, ayuda a que el conocimiento circule. El otro día, Alonso Eduardo Caballero Quezada daba las gracias a @jesrup2017 por compartir su curso de Hacking de Aplicaciones Web enfocado a 2026. Y la verdad es que, más allá de la cortesía, esto me hizo pensar en lo rápido que está cambiando el patio en el mundo de la ciberseguridad aquí en España.

No es solo una cuestión de herramientas. Es que el panorama de amenazas para las empresas españolas, desde la pequeña tienda online de Murcia hasta las grandes del IBEX, está mutando a una velocidad que asusta. Si echamos la vista atrás, hace diez años con saber cuatro cosas de SQL Injection ya eras el rey del mambo. Hoy, si no entiendes cómo funciona una API compleja o cómo se comporta un microservicio en la nube, estás más perdido que el Submarino Peral en un desierto. Y ojo, que menciono el Peral porque aquí en Cartagena sabemos un par de cosas sobre innovación que se queda olvidada en los cajones.

Muchos se preguntarán por qué un curso se etiqueta ya con el año 2026. No es marketing barato, o al menos no solo eso. La realidad es que los ciclos de desarrollo de software y las normativas europeas, como la directiva NIS2, están obligando a las empresas a mirar a medio plazo. Para cuando lleguemos a 2026, el hacking de aplicaciones web no se parecerá en casi nada a lo que estudiábamos en 2015. La inteligencia artificial ya no será una «promesa», sino el motor que los atacantes usarán para encontrar vulnerabilidades en milisegundos.

La verdad es que el perfil del «pentester» o auditor de seguridad está evolucionando. Ya no vale con lanzar el Burp Suite, darle al botón de escanear y esperar a que salgan las lucecitas de colores. Ahora hace falta entender la lógica de negocio. Y es ahí donde entra el valor de compartir estos cursos. La comunidad hispana, y especialmente la española, siempre ha tenido un talento brutal para el «cacharrreo» y la seguridad, pero a veces nos falta ese empujón de visibilidad que dan los reposts y la colaboración abierta.

La anatomía de un ataque moderno (y por qué lo de antes ya no sirve)

Para que nos entendamos, antes el hacking web era como intentar entrar en una casa forzando la cerradura de la puerta principal. Hoy en día, la puerta principal es de acero blindado, tiene cámaras y un guardia jurado. Pero, ¡ay amigo!, resulta que han dejado una ventana abierta en el tercer piso porque el que instaló el aire acondicionado se olvidó de cerrarla. Esa ventana es una API mal configurada o un token de autenticación que dura más de la cuenta.

Vaya, que el enfoque ha pasado de lo técnico puro a lo arquitectónico. Vamos a ver un ejemplo rápido de lo que quiero decir. Imaginad un código sencillo en Node.js que maneja la sesión de un usuario. Antes, el problema podía ser un simple bypass. Ahora, el lío suele estar en cómo se gestionan los objetos en memoria o en las dependencias de terceros.

// Un ejemplo de código que parece inofensivo pero es un coladero
app.get('/api/user/:id', (req, res) => {
  const userId = req.params.id;
  // El error clásico: confiar ciegamente en lo que viene del cliente
  db.query(`SELECT * FROM users WHERE id = ${userId}`, (err, result) => {
    if (err) throw err;
    res.send(result);
  });
});

Cualquiera que sepa un poco dirá: «Eso es una inyección SQL de manual». Y sí, lo es. Pero en 2026, el problema no será solo la inyección, sino que ese `userId` podría estar vinculado a un sistema de identidad descentralizada que, si no se valida correctamente, permite una escalada de privilegios en toda la infraestructura cloud de la empresa. Es un efecto dominó que antes no existía.

La importancia de la comunidad en el ecosistema español

Me gusta que gente como Alonso Eduardo Caballero agradezca públicamente estos gestos. En España, el sector de la ciberseguridad es relativamente pequeño. Nos conocemos casi todos, o al menos nos suenan las caras de vernos en la RootedCON o en eventos más locales. Ese «buenrollismo» es fundamental porque los malos sí que están organizados. Ellos no se dan las gracias en Twitter, ellos venden exploits en la Dark Web por miles de euros.

Además, hay que tener en cuenta que el talento en España está muy repartido. No todo pasa en Madrid o Barcelona. Aquí en Cartagena, por ejemplo, tenemos a la UPCT (Universidad Politécnica de Cartagena) sacando gente muy preparada. El talento local es oro puro, pero si no compartimos los recursos, si no hacemos ese «repost» al curso de turno, nos quedamos aislados en nuestra burbuja. Y en tecnología, estar aislado es el primer paso para quedar obsoleto.

¿Qué debería tener un curso de hacking web hoy?

Si estás pensando en meterte en este mundillo o quieres actualizarte, no busques solo «cómo hackear Facebook» (que, por cierto, no es tan fácil como dicen los vídeos de YouTube de tres minutos). Un buen temario para los próximos años debería tocar estos palos:

  • Seguridad en APIs (REST, GraphQL, gRPC): Porque hoy todo se comunica así. Si no sabes romper un esquema de GraphQL, te estás perdiendo la mitad de la fiesta.
  • Seguridad en entornos Cloud Native: Docker, Kubernetes y cómo una mala configuración de un contenedor puede dejar en bragas a toda una corporación.
  • Ataques de Lógica de Negocio: Esto es lo más difícil de automatizar y donde los humanos seguimos ganando a las máquinas. Es encontrar ese fallo en el proceso de compra que permite comprar un iPhone por un euro.
  • IA aplicada a la defensa y al ataque: Cómo usar modelos de lenguaje para auditar código más rápido, pero también cómo proteger esos mismos modelos de ataques de «prompt injection».

La verdad es que el reto es mayúsculo. Y por eso, cuando alguien se toma la molestia de estructurar un curso y otro se toma la molestia de difundirlo, el círculo se cierra de forma positiva. Al final del día, lo que queremos es que nuestras aplicaciones sean más seguras y que no nos roben los datos a la primera de cambio.

Un vistazo a la realidad de las empresas en España

A veces pecamos de optimistas pensando que todas las empresas están al día. Pero la realidad de la calle, la que veo yo cuando hablo con gente del sector aquí en la Región de Murcia, es otra. Hay muchas PYMES que todavía están lidiando con servidores Windows Server 2012 (que ya no tienen soporte, ojo con esto) y aplicaciones web escritas en PHP 5.6 que se mantienen con pinzas.

Para estas empresas, hablar de «Hacking Web 2026» suena a ciencia ficción. Pero es precisamente por eso por lo que necesitamos estos cursos. Necesitamos profesionales que sepan traducir lo complejo a lo sencillo. Que lleguen a un gerente y le digan: «Mira, si no parcheas esto, mañana tu web no existe». Y para eso, la formación continua es la única vacuna.

Ojo, que no todo es negativo. España es uno de los países que mejor está puntuando en los índices de ciberseguridad de la Unión Europea. Tenemos organismos como el INCIBE que hacen una labor de divulgación brutal. Pero el eslabón más débil sigue siendo el mismo: el factor humano y la falta de especialistas técnicos que bajen al barro del código.

El papel de Cartagena en el mapa tecnológico

No puedo evitar barrer para casa. Cartagena no es solo procesiones, cartagineses y romanos o un puerto precioso. Es un polo industrial y tecnológico de primer orden. Con el Navantia Training Centre y la apuesta por la digitalización del puerto, la ciberseguridad se ha vuelto un tema de conversación recurrente en los cafés de la Calle Mayor.

Si mal no recuerdo, hace poco se hablaba de la necesidad de proteger las infraestructuras críticas. Una aplicación web mal protegida en una empresa que gestiona logística portuaria puede liar un «pifostio» monumental. Por eso, que el conocimiento sobre hacking web circule por las redes sociales es vital incluso para la economía local. Un repost de @jesrup2017 puede acabar en la pantalla de un estudiante de la UPCT que, el día de mañana, evitará un ataque a una empresa estratégica de la zona.

Hablemos de herramientas (sin sonar a comercial)

Si te vas a meter en el curso que mencionaba Alonso, seguramente te hablen de herramientas. Pero no te obsesiones. Las herramientas son como los cuchillos para un cocinero: ayudan, pero el sabor lo pone el chef. Aun así, hay cosas que en 2026 van a ser el pan de cada día:

  1. Burp Suite Professional: Sigue siendo el estándar de oro. Si no lo manejas con soltura, es como intentar ser mecánico sin saber usar una llave inglesa.
  2. Caido: Un nuevo jugador en el campo de los proxies interceptores que está ganando mucha tracción por ser más ligero y rápido. Escrito en Rust, que está muy de moda (y con razón).
  3. Nuclei: Para automatizar el escaneo de vulnerabilidades basadas en plantillas. Es una maravilla cómo la comunidad comparte «templates» casi en tiempo real cuando sale un nuevo CVE.
  4. Scripts propios en Python o Go: Al final, el mejor hacker es el que sabe programar sus propias herramientas cuando las comerciales no llegan.

Para que nos entendamos, el hacking no es darle a un botón. Es entender el protocolo HTTP mejor que el que lo programó. Es saber que una cabecera `X-Forwarded-For` mal gestionada puede ser la llave para saltarse un firewall. Y eso se aprende con horas de vuelo, leyendo mucho y, sí, haciendo cursos como el que se estaba promocionando en X.

¿Es ético todo esto?

Siempre sale la misma pregunta en las cenas familiares cuando digo que me interesa el hacking: «¿Pero eso no es ilegal?». Vamos a ver, que nos aclaremos. El hacking ético es como ser un cerrajero. El cerrajero sabe abrir puertas, pero lo hace porque tú le has llamado porque te has dejado las llaves dentro. El delincuente lo hace para llevarse la tele.

En España, el Código Penal es bastante claro en su artículo 197 bis. Acceder a un sistema informático sin autorización es delito, punto. Por eso, estos cursos siempre ponen mucho énfasis en el entorno de laboratorio. No se trata de ir hackeando la web del ayuntamiento para hacer la gracia, sino de aprender en entornos controlados (como Hack The Box o TryHackMe) para luego aplicar ese conocimiento en auditorías profesionales contratadas y legales.

La curva de aprendizaje: No te desesperes

Si estás empezando y ves estos posts sobre «Hacking 2026», puede que te entre un poco de ansiedad. «¡Si aún no sé ni qué es una cookie y ya me están hablando de ataques a modelos de IA!». Tranquilidad. Esto es una carrera de fondo, no un sprint de cien metros.

La verdad es que nadie nace sabiendo. Incluso los más grandes del sector en España empezaron rompiendo su propio router o instalando Linux y cargándose la partición de Windows por error (un clásico que todos hemos vivido, no mintáis). Lo importante es mantener la curiosidad. El gesto de compartir un curso es precisamente para eso: para que el que está un paso por detrás pueda encontrar el camino un poco más despejado.

Además, la ventaja de la ciberseguridad es que es un campo donde se premia mucho el esfuerzo personal. No importa tanto si tienes tres másteres o si eres autodidacta, lo que importa es si eres capaz de encontrar el fallo y, sobre todo, de explicar cómo arreglarlo. Porque esa es otra: un informe de auditoría que nadie entiende no sirve para nada.

Un pequeño truco para los que auditan código

Ya que estamos en plan didáctico, os dejo una reflexión sobre algo que se ve mucho en las aplicaciones web actuales: el abuso de la confianza en las APIs. A veces, el programador protege la interfaz visual (el frontend) pero se olvida de que cualquiera con una consola de desarrollador puede ver las peticiones que van al servidor.

Vaya, que si ocultas un botón de «Borrar» para que el usuario normal no lo vea, pero la API sigue aceptando peticiones `DELETE /api/user/123`, tienes un problema serio. Esto se llama IDOR (Insecure Direct Object Reference) y sigue siendo uno de los fallos más comunes y peligrosos. Y lo mejor de todo es que no necesitas ninguna herramienta sofisticada para encontrarlo, solo un poco de sentido común y curiosidad.

El papel de las redes sociales en la formación técnica

Mucha gente critica a Twitter (o X) por ser un nido de polémicas, pero para el mundo tech sigue siendo el sitio donde estar. Es donde te enteras de la última vulnerabilidad de «zero-day» antes de que salga en las noticias. Es donde puedes interactuar directamente con los creadores de las herramientas que usas a diario.

El repost de @jesrup2017 a Alonso Eduardo Caballero es un ejemplo de cómo se debe usar la plataforma. Menos ruido y más contenido de valor. Al final, la red social es lo que nosotros hagamos de ella. Si seguimos a gente que aporta, nuestro «feed» se convierte en una clase magistral gratuita cada día.

Y ojo, que esto también aplica a LinkedIn, aunque allí el tono sea a veces un poco más… digamos, «corporativo» de más. Pero la esencia es la misma: compartir para crecer. En España tenemos una comunidad de ciberseguridad en Telegram y Discord que es canela en rama. Si no estás en esos grupos, te estás perdiendo la verdadera acción.

¿Qué podemos esperar de aquí a 2026?

Si tuviera una bola de cristal (o un algoritmo de predicción muy avanzado), diría que vamos hacia una automatización total de las defensas básicas. Esto significa que los ataques «tontos» dejarán de funcionar. Los hackers del futuro tendrán que ser más creativos, más analíticos y tener una base de programación mucho más sólida.

También veremos un aumento de la importancia de la «Supply Chain Security». Ya no basta con que tu código sea seguro; tienes que asegurarte de que las 500 librerías que te has bajado de npm también lo sean. ¿Os acordáis de lo que pasó con Log4j? Pues eso, pero multiplicado por diez.

Para que nos entendamos, el trabajo no se va a acabar, pero va a cambiar de forma. Por eso, estar agradecido por un repost a un curso actualizado no es solo educación, es reconocer que necesitamos estar unidos para no quedarnos atrás.

Reflexión final sobre el aprendizaje compartido

La conclusión que saco de todo esto es que la ciberseguridad es, por encima de todo, un deporte de equipo. Sí, el auditor está solo frente a la pantalla, pero se apoya en el trabajo de miles de personas que han documentado fallos, creado herramientas y compartido sus conocimientos de forma altruista.

Agradecer un repost es un detalle pequeño, pero significativo. Es decir: «Oye, gracias por ayudarme a que este mensaje llegue a más gente». Y en un mundo donde a veces parece que solo importa el ego, esos gestos se agradecen. Así que, ya sabéis, la próxima vez que veáis algo interesante en vuestro muro, no os cortéis. Dadle al botón de compartir. No os cuesta nada y podéis estar ayudando a alguien a descubrir su verdadera vocación o a salvar a su empresa de un desastre informático.

Y si pasáis por Cartagena, no dejéis de visitar el museo del Teatro Romano, pero también echadle un ojo al ambiente tecnológico que se respira. Que aquí, entre historia y piedras milenarias, también estamos construyendo el futuro digital, bit a bit. Al final del día, se trata de eso: de no dejar de aprender y de echar una mano al que viene detrás. Porque en esto del hacking, hoy eres el maestro, pero mañana sale una tecnología nueva y vuelves a ser el aprendiz. Y eso es, precisamente, lo que lo hace tan entretenido.

Productos recomendados en Amazon

Esterilla Yoga Antideslizante TPE

Esterilla Yoga Antideslizante TPE

€16,30
Esterilla Yoga Good Nite

Esterilla Yoga Good Nite

€16,56
AmazonBasics Cuerda Saltar

AmazonBasics Cuerda Saltar

€9,99
Tags:

¿Te ha gustado este artículo?

unpokitodxfavor

Propietario de aquinohayquienviva.es, web de noticias relacionadas con la ciencia, tecnología, y cultura en general.

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Resuelve la operación para enviar el comentario * Time limit is exhausted. Please reload the CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.