Introducción: Por Qué Necesitas un Laboratorio de Seguridad
En este post, mostraré cómo construir un laboratorio de seguridad completo que integra herramientas de pentesting con un stack empresarial de Microsoft, todo virtualizado en Hyper-V.
Este laboratorio te permitirá simular ataques reales, probar defensas empresariales, y entender cómo funcionan las herramientas de seguridad modernas en un entorno que replica una infraestructura corporativa real.
Arquitectura General del Laboratorio

El Concepto Principal
Nuestro laboratorio está diseñado con tres principios fundamentales:
- Segregación de red mediante VLANs para aislar el tráfico malicioso del corporativo
- Integración con servicios cloud de Azure para aprovechar capacidades empresariales de detección y respuesta
- Flexibilidad para escenarios de Red Team y Blue Team permitiendo tanto ataques como defensas
La arquitectura se basa en Microsoft Hyper-V como hipervisor principal, ejecutándose en un host físico que gestiona toda la infraestructura virtualizada. Desde aquí, desplegamos múltiples máquinas virtuales organizadas en diferentes segmentos de red, cada uno con un propósito específico.
Componentes Clave de la Infraestructura
1. El Núcleo: Microsoft Hyper-V
Microsoft Hyper-V actúa como el corazón de nuestro laboratorio. Configurado con:
- Rango de red principal: 10.96.12.0/24
- Interfaz WAN: 10.96.12.X (asignada dinámicamente)
- Servidor DHCP integrado para gestión automática de IPs
Hyper-V nos proporciona la flexibilidad de crear switches virtuales, permitiéndonos simular una red empresarial completa con múltiples segmentos aislados.
2. La Primera Línea de Defensa: pfSense Firewall
Entre el hipervisor y nuestras redes internas, implementamos pfSense como firewall principal. Esta solución open source nos ofrece:
- Control granular del tráfico entre VLANs
- Capacidades de NAT y port forwarding
- Logs detallados para análisis forense
- Reglas de firewall que simulan políticas empresariales reales
pfSense actúa como el punto de control central, permitiéndonos observar y controlar todo el tráfico que fluye entre los diferentes segmentos de nuestra red.
Segmentación de Red: VLANs con Propósito
VLAN 1: El Arsenal de Pentesting (10.10.1.0/25)
Esta VLAN está dedicada exclusivamente a herramientas ofensivas y debe estar completamente aislada del resto de la infraestructura corporativa. Aquí desplegamos:
Kali Linux | Caldera - BloodHound (10.10.1.126)
- La distribución de pentesting por excelencia (Kali)
- Preconfigurada con cientos de herramientas de seguridad (Kali)
- Ideal para realizar pruebas de penetración, análisis de vulnerabilidades y explotación (Kali)
- Plataforma de emulación de adversarios desarrollada por MITRE (Caldera)
- Permite automatizar cadenas de ataque complejas. (Caldera)
- Excelente para simular APTs y técnicas del framework ATT&CK. (Caldera)
- Herramienta open-source para mapear y visualizar rutas de ataque en Active Directory/Azure AD mediante teoría de grafos (Neo4j). (BloodHound)
- SharpHound recolecta relaciones de privilegios (usuarios, grupos, ACLs, sesiones) para descubrir caminos a cuentas sensibles (p. ej., Domain Admin). (BloodHound)
OpenWebUI
- Interfaz web para gestión centralizada
- Facilita el acceso a herramientas sin necesidad de CLI
- Útil para generar scripts o métodos de LLM modificadas.
VLAN 10: El Entorno Corporativo (10.10.10.0/25)
Esta VLAN simula una red empresarial típica con todos los componentes que encontrarías en un entorno de producción real:
Active Directory Domain Controller
- Corazón de la infraestructura de identidad
- Configurado con políticas de grupo empresariales
- Rango DHCP: 10.10.10.50-100 para clientes del dominio
Estaciones de Trabajo Windows
- Windows 11 y Windows 10 con diferentes niveles de parcheo
- Unidas al dominio con usuarios de diferentes privilegios
- Configuradas con Defender for Endpoint para detección de amenazas
Servicios de Gestión
- Microsoft Intune para MDM/MAM
- Entra Connect (anteriormente Azure AD Connect) para sincronización híbrida
- Defender for Identity monitoreando el tráfico de autenticación
Integración con el Stack de Seguridad de Microsoft
La Nube como Centro de Comando
Una de las características más poderosas de este laboratorio es su integración con los servicios de seguridad de Microsoft. Esto no solo nos permite probar tecnologías empresariales reales, sino también entender cómo funcionan las arquitecturas híbridas modernas.
Entra ID
- Gestión de identidades cloud.
- Single Sign-On para aplicaciones SaaS.
- Políticas de acceso condicional basadas en riesgo.
Microsoft Sentinel
- SIEM y SOAR en la nube.
- Correlación de eventos de múltiples fuentes.
- Playbooks automatizados para respuesta a incidentes.
- Análisis con machine learning para detección de anomalías.
Microsoft Defender XDR
- Plataforma unificada de detección y respuesta.
- Correlación de alertas entre endpoints, identidades, email y aplicaciones cloud.
- Investigación automatizada de incidentes.
- Capacidades de hunting proactivo.
- Monitoreo especializado de Active Directory, detectando ataques como Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash, Golden Ticket y movimientos laterales anómalos.
Defender for Cloud Apps
- Visibilidad y control sobre aplicaciones SaaS.
- Detección de Shadow IT.
- Políticas de prevención de pérdida de datos (DLP).
Copilot for Security
- Asistente de IA para análisis de amenazas.
- Generación automática de informes de incidentes.
- Recomendaciones basadas en inteligencia de amenazas global.
Casos de Uso Prácticos
Escenario 1: Simulación de Ransomware
Desde la VLAN 1, utilizamos Kali Linux para lanzar un ataque de ransomware simulado contra las estaciones Windows en la VLAN 10. Observamos cómo:
- Defender for Endpoint detecta y bloquea el comportamiento malicioso.
- Sentinel correlaciona los eventos y genera un incidente.
- Copilot for Security proporciona contexto y recomendaciones de remediación.
Escenario 2: Movimiento Lateral con Caldera
Configuramos Caldera para emular las técnicas de un APT intentando moverse lateralmente en la red corporativa:
- Comenzamos con un compromiso inicial en una estación de trabajo.
- Intentamos escalar privilegios y movernos hacia el Domain Controller.
- Defender for Identity detecta los patrones anómalos de autenticación.
- Microsoft XDR correlaciona todas las alertas en una única línea temporal del ataque.
Escenario 3: Exfiltración de Datos
Simulamos un intento de exfiltración de datos sensibles:
- Creamos archivos con información falsa pero marcada como confidencial.
- Intentamos subirlos a servicios cloud no autorizados.
- Defender for Cloud Apps detecta y bloquea la transferencia.
- Las políticas de DLP generan alertas y evidencia forense.
Guía de Implementación Paso a Paso
Fase 1: Preparación del Host
Requisitos de Hardware:
- Mínimo 32GB RAM (recomendado 64GB)
- Procesador con virtualización habilitada (Intel VT-x o AMD-V).
- Al menos 500GB de almacenamiento SSD.
- Dos tarjetas de red (una para management, otra para las VMs).
Instalación de Hyper-V:
- Habilitar el rol de Hyper-V en Windows Server o Windows 10/11 Pro.
- Crear switches virtuales para cada VLAN.
- Configurar la red de management.
Fase 2: Despliegue del Firewall
Instalación de pfSense:
- Descargar ISO de pfSense.
- Crear VM con 2GB RAM y 20GB disco.
- Asignar interfaces para WAN y cada VLAN.
- Configurar reglas iniciales de firewall.
Configuración de VLANs:
- Crear VLAN 1 (10.10.1.0/25) para pentesting.
- Crear VLAN 10 (10.10.10.0/25) para red corporativa.
- Configurar DHCP para cada segmento.
- Implementar reglas de aislamiento.
Fase 3: Despliegue del Entorno de Pentesting
Kali Linux:
- Descargar última versión de Kali.
- Asignar 4GB RAM y 40GB disco.
- Configurar IP estática: 10.10.1.126.
- Actualizar todas las herramientas.
Caldera:
- Clonar repositorio de GitHub.
- Instalar en Ubuntu Server o directamente en Kali.
- Configurar agentes para Windows.
- Importar adversarios del framework ATT&CK.
BloodHound
- Prep. VM y red: Kali, 4 GB RAM, 2 vCPU, 40 GB; IP estática en VLAN de ataque (10.10.1.0/25) y DNS apuntando al DC.
- Instalación: Neo4j (puertos 7474/7687, cambiar contraseña) + BloodHound CE; conectar la app a Neo4j.
- Recolección (AD): en un Windows unido al dominio ejecutar SharpHound (EXE/PowerShell); si aplica, exclusión temporal en Defender/EDR.
- Importar y analizar: cargar el ZIP en la GUI, ejecutar consultas integradas/Cypher, exportar rutas críticas y plan de remediación.
Fase 4: Construcción del Dominio Active Directory
Domain Controller:
- Instalar Windows Server 2025
- Promover a Domain Controller
- Configurar DNS y DHCP
- Crear estructura de OUs y GPOs
Estaciones de Trabajo:
- Desplegar Windows 10 y 11
- Unir al dominio
- Crear usuarios con diferentes niveles de privilegio
- Instalar aplicaciones corporativas típicas
Fase 5: Integración con Microsoft Secure
Configuración de Entra Connect:
- Instalar en el DC o servidor dedicado
- Configurar sincronización de hash de contraseñas
- Habilitar writeback de dispositivos
Onboarding a Microsoft Defender:
- Registrar dispositivos en Defender for Endpoint
- Configurar Defender for Identity en el DC
- Habilitar integración con Sentinel
Configuración de Sentinel:
- Crear workspace de Log Analytics
- Conectar data sources (Windows Security Events, Defender, etc.)
- Importar reglas de detección de la comunidad
- Configurar playbooks de respuesta
Mejores Prácticas y Consideraciones de Seguridad
Aislamiento y Segmentación
- Nunca conectes la VLAN de pentesting directamente a tu red de producción
- Utiliza ACLs estrictas en el firewall para controlar el flujo de tráfico.
- Implementa logging exhaustivo en todos los puntos de la red.
- Considera usar una VPN para acceso remoto al laboratorio.
Gestión de Recursos
- Implementa snapshots antes de cada sesión de testing.
- Documenta todas las configuraciones y cambios.
Cumplimiento y Legalidad
- Asegúrate de tener licencias válidas para todo el software.
- Nunca utilices herramientas de pentesting contra sistemas que no te pertenecen.
- Implementa políticas de retención de logs según tus necesidades.
Expansiones Futuras
Añadiendo Complejidad
Una vez que tengas el laboratorio base funcionando, considera estas expansiones:
- Segmento DMZ con aplicaciones web vulnerables (DVWA, WebGoat).
- Red IoT/OT para simular entornos industriales.
- Kubernetes cluster para practicar seguridad en contenedores.
Recursos y Herramientas Adicionales
Herramientas Recomendadas
- Mimikatz: Para testing de credenciales.
- PowerShell Empire: Framework de post-explotación.
- Atomic Red Team: Biblioteca de pruebas atómicas.
Recursos de Aprendizaje
- Microsoft Learn para configuración de servicios.
- MITRE ATT&CK Framework para técnicas de ataque.
- SANS Reading Room para papers de seguridad.
- GitHub Security Lab para vulnerabilidades y exploits.
Conclusión
Este laboratorio te proporciona un entorno completo para practicar tanto técnicas ofensivas como defensivas en un contexto empresarial realista. La integración con servicios seguridad de Microsoft te permite experimentar con tecnologías que encontrarás en entornos de producción reales, mientras que la segregación mediante VLANs garantiza que tus experimentos permanezcan seguros y controlados.
Recuerda que la seguridad es un campo en constante evolución. Mantén tu laboratorio actualizado, experimenta con nuevas herramientas y técnicas, y sobre todo, úsalo de manera ética y responsable.
Próximos Pasos
- Comienza con la configuración básica y ve expandiendo gradualmente.
- Documenta tus experimentos y hallazgos.
- Comparte tu conocimiento con la comunidad.
- Mantente actualizado con las últimas amenazas y defensas.
Nota Legal: Este laboratorio es únicamente para fines educativos y de investigación. Nunca utilices estas herramientas o técnicas contra sistemas que no te pertenezcan o sin autorización explícita. El mal uso de estas herramientas puede tener consecuencias legales graves.