¿Quieres aprender DFIR? ¡Practica con CTF!

8 de septiembre de 2025 Por 4 Comments

La respuesta ante incidentes es una parte de la ciberseguridad apasionante, pero que tiene un problema: ¿cómo la entrenas? Si trabajas en un SOC vas a estar gestionando alertas y aprendiendo todos los días, si estás en un área de hacking ético tu día a día es romper cosas… pero ¿qué sucede si no hay incidentes?

Lógicamente, la mejor forma de entrenar y mejorar tus habilidades en DFIR es … teniendo incidentes. Aquí va a depender de dónde estés: irónicamente, si estás en una organización que se toma la ciberseguridad en serio y que lo tiene todo bien montado, puede que no toques un incidente serio en meses o años.  El otro extremo lo tienes en las consultoras de ciberseguridad (como S2GRUPO), que gestionamos más de 100 incidentes serios todos los años.

El problema es que cuando venga el incidente, tienes que estar ahí a tu mejor nivel ¿Y cómo puedes hacerlo? Una forma muy interesante es resolviendo CTF DFIR. Todo el mundo conoce los CTF clásicos “jeopardy”, en los que tienes un mix de hacking web, cripto, forense, reversing, web … pero que no tienen un hilo conductor. En un CTF DFIR, sin embargo, las preguntas suelen contar una historia: cada reto es una pieza más del puzzle, de modo que al terminar el CTF deberías de poder contar “qué narices ha pasado” con el incidente.

Este tipo de CTF DFIR son muy interesantes, porque además de poder practicar con las herramientas clásicas (la “memoria muscular” que hace que muchos comandos y herramientas te salgan solas), te permite aprender nuevas cosas (“¿qué es RustDesk? ¿de verdad hay tantas herramientas RMM sueltas por el mundo? Skynet llévame pronto”) y sobre todo, aprender a cómo investigar sistemas (una habilidad fundamental si quieres dominar IR).

Por todo esto, hemos realizado una lista bastante jugosa con un montón de CTF DFIR que puedes emplear para practicar, mejorar y afilar tus skills. [NOTA: hay CTF más antiguos, pero he puesto aproximadamente de año de corte 2019 para que tener los más modernos. Los que están y son más antiguos, es porque hay un buen motivo para ello  ;-) ]

Primer bloque: los imprescindibles

Si ya sabes algo de DFIR en Windows (que si te dedicas a esto, va a ser el 80-90% de tu día a día fácilmente) y quieres practicar, estos son los CTF DFIR por los que deberías empezar a afinar tus habilidades… !sobre todo porque tienes solución de todos ellos!

RATas inminentes

Un CTF sencillito y juguetón, ideal para empezar poco a poco. Poquitas preguntas y razonablemente fáciles, el nivel de dificultad es más que asequible. Si ya sabes algo de DFIR, salta directamente al siguiente, pero si es tu primer CTF … ¡a por él!

BaklavaCTF

Un CTF la mar de entretenido hecho por mis compañeros Andrés Yedra y Arturo Jiménez, que refleja un caso de ransomware más que asequible (hay un par de preguntas de “idea feliz”, pero el caso se resuelve casi casi en una tarde, muy recomendable).

Ransomware ate my network

Un CTF muy redondo, viendo un caso de ransomware totalmente realista y actual de principio a final. El primer nivel es el más complicado, si lo superas lo tienes todo hecho. Y si lo quieres jugar en modo DIFICIL, no tengas en cuenta que los equipos tienen Sysmon…

Vientos Remotos, tempestades locales

Otro de los clásicos: una intrusión en una red con un posible acceso a información clasificada en un entorno seguro. Mucho Windows, giros de guión y alguna que otra pregunta para darle de comer al coco.

Bolas de cocido

Mi primer CTF DFIR, ¡cómo pasa el tiempo! Hasta el año pasado era el CTF de formación interna de S2 Grupo, y al pobre se le notan los años (Windows 7, pocas TTP actualizadas, etc…). Sin embargo, es una gozada ver cómo van encajando las piezas a medida que se avanza el CTF, y el brillito en la gente cuando ve un Mimikatz, o cuando de repente se dan cuenta de que no solo SABEN lo que ha pasado, sino que además PUEDEN demostrarlo. No tiene solución por ahora (y tiene alguna pregunta endemoniadamente complicada), pero solo por la nostalgia a lo mejor me animo… 

DEFCON DFIR CTF 2019

“Old but gold” sería la forma de describir este CTF: un mix de Windows, Linux, RAM … en un monstruo de 83 preguntas (con alguna “idea feliz” de por medio, eso sí) pero altamente interesante. Muy muy recomendable.

The Stolen Szechuan Sauce

Uno de los CTF DFIR clásicos (y con estética de Rick & Morty). Totalmente recomendable para afilar los cuchillos investigadores.

Segundo bloque: los especialistas

En este bloque están los CTF DFIR que, por el motivo que sea, están especializados en algo que no sea puro DFIR Windows (que de todo hay que saber en esta vida). Hay pocos, por lo que son ocasiones únicas para aprender en profundidad algo de un tema concreto.

Los peligros de andar por las nubes (mucho O365)

Un CTF diseñado específicamente para O365, con todas las TTP clásicas de una estafa al CEO + algunos extras juguetones. Dado que NO HAY, es una “rara avis” y un recurso fantástico para apender DFIR en O365.

GrrCON 2022

Uno de los pocos CTF DFIR que únicamente se dedica al análisis de RAM. Para cogerlo con paciencia y ganas, pero también para aprender una barbaridad.

Belkasoft CTF DFIR 7 (2025) – Stranger DFINGS

Recién salido del horno, el último CTF DFIR de Belkasoft mezcla RAM con móviles … y “cosas extrañas”. Una cantidad de preguntas “locas” quizás mayor de lo apetecible, pero tiene su gracia.

Ali Hadi (Linux)

Mr Hadi tiene una buena pila de workshops la mar de interesantes, con la particularidad de que tiene unos cuantos casos prácticos altamente interesantes:

Hal Pomeranz Linux Forensic Workshop

Hal Pomeranz es un pope de forense en Linux desde hace mucho tiempo. El curso de forense en Linux es introductorio, pero gratis, y los casos prácticos muy, muy jugables.

Belkasoft  Capture the Flag: Kidnapper Case (Linux)

Tanto Belkasoft como Magnet son dos pedazo de compañías con productos estupendos… pero que además casi todos los años sacan un CTF DFIR que puedes jugar en el momento (hay premios), o puedes jugarlo con la solución a tu ritmo. No hay ninguno malo, así que dales caña a tu gusto.

Belkasoft Capture the Flag: Bogus Bill (móviles)

Magnet CTF DFIR 2024 (móviles)

Belkasoft Capture the Flag: Drug Dealer Case (móviles)

Agujas, pajares e imanes (malware)

Uno de mis primeros CTF, bastante orientado a malware pero desde el punto de vista de respuesta ante incidentes (si quieres meterle el IDA o el Radare puedes, pero no es para reversers). Es denso, pero desentrelazar la matrioska de todo lo hecho da mucho gustito J

Magnet CTF DFIR 2021 (MacOS):

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO”

No te voy a mentir: este CTF DFIR ha quedado prácticamente obsoleto porque se basa en una estafa al CEO vista desde un Exchange on-prem. Tiene un nivel de detalle onanista, baja a un nivel MUY BAJO de cómo está montado Exchange, y en general a día de hoy solo merece la pena si quieres comprender el dolor de analizar logs y sistemas Exchange y entender lo dañados que están algunos especialistas DFIR de una cierta edad… xDDDD

Tercer bloque: MOAR CTF

Si quieres más CTF DFIR, no hay problema, aquí tienes una pila inmensa. Suficientes como para entretenerte durante una temporada bien larga de análisis (y no es malo, porque lo interesante es que tienes CASOS y CASOS, justo lo que necesitas para generar “memoria muscular” de analista).

[NOTA: de este bloque he jugado solo unos pocos, así que mi feedback no es completo … pero los de Belkasoft son bastante asequibles y sobre todo cortitos, puedes jugarte uno entero prácticamente en un día. Los de Magnet molan porque son extensos pero tocan diferentes tecnologías (y aprendes a correlar evidencias), y los de Digital Corpora son “clásicos clásicos].

Belkasoft Capture the Flag: Party Girl—MISSING

Belkasoft Capture the Flag: Meet the Boss

Belkasoft Capture the Flag: Kidnapper Case

Belkasoft Capture the Flag: Insider

Magnet CTF DFIR 2025 (Android Takout, Chromebook Takeout)

Magnet CTF DFIR 2023 (iOS, W11, VMDK)

Magnet CTF DFIR 2022 (Pixel, Windows, Google Takeout)

Magnet CTF DFIR 2021 (Chomebook, iPhone, Mac)

Digital Corpora – Scenarios

La gente de Digital Corpora tiene unos cuantos escenarios bastante interesantes (sobre todo el de Narcos), e imágenes forenses base de algunas cosas, así que échale un ojo:

  • URL: https://digitalcorpora.org/corpora/scenarios/
  • Nivel de dificultad: Medio.
  • Jugable como CTF: No.
  • Solución: Algunos tienen solución, pero solo te la dan si eres profesor de una enseñanza reglada (pero responden con agilidad razonable, así que pide).

bios CTF – Batman Investigation Series by @Azr43lKn1ght – 

Una serie de seis CTF DFIR con dificultad variable, pero entre DIFICIL y LOCURA TOTAL. Juégalos a tu cuenta y riesgo si quieres ver cosas nuevas (si no recuerdo mal tienen reversing, tienes que hacerte scripts a medida, varias “ideas felices” … así que si luego no digas que no he avisado).

DFIR-LABS – CTF completos de @Azr43lKn1ght

El sitio web donde están los de Batman de antes, y como 20+, con dificultad variable y donde tenéis material para … un buen rato de DFIR J

Ali Hadi – CTF DFIR

Hadi no tiene solo casos de Linux, de hecho tiene una buena pila de “mini casos” que pueden encajar muy bien en algunas prácticas, así que échale un ojo:

Cuarto bloque: CTF DFIR IoT

Hay un bloque especial, que es el de “los cacharros”. Encontrar evidencias de prueba de dispositivos IoT o ICS es prácticamente imposible, así que solo por eso merecen la pena. Lo malo: ni uno de ellos tiene solución publicada (al menos que la haya encontrado), por lo que si quieres aprender te vas a tener que arremangar…

DFRWS Forensic Challenge 2023 – ICS – The Troubled Elevator (PLC, CCTV)

URL: https://github.com/dfrws/dfrws2023-challenge

DFRWS Forensic Challenge 2021 – IoT (Raspberry, Samsung smartphone, QNAP NAS) 

URL: https://dfrws.org/dfrws-2021-challenge/

DFRWS Forensic Challenge 2018 – IoT (Samsung smartphone, iSmartAlarm, Arlo, WinkHub, Amazon Echo)

URL: https://github.com/dfrws/dfrws2018-challenge/blob/master/challenge-details.md

Evidencias: https://github.com/dfrws/dfrws2018-challenge

DFRWS Forensic Challenge 2017 – IoT (Raspberry, Samsung Note x2, Google OnHub, Amazon Echo, Smarthome app)

https://github.com/dfrws/dfrws2017-challenge

Quinto bloque: los de pago (pero que merecen la pena)

Si ya has arrasado con todos los anteriores, o si quieres ir directamente a “lo más tope de gama / moderno / Wow” te va a tocar sacar la cartera. Si te planteas dedicar (o ya te dedicas) profesionalmente a DFIR, merece la pena porque en muchos casos tampoco te van a costar un riñón, y la calidad es EXCELENTE.  Lo malo: que no tienen solución publicada (así que te los vas a tener que currar a sangre y fuego, que también es la idea)

Xintra Labs

CTF de grupos APT, ransomware, intrusiones complejas… hechos con las ultimísimas TTP, con mucho cariño y amor. No he hecho ninguno (lo tengo en mi lista para cuando me de la vida), pero solo he oído ma-ra-vi-llas. A 45$/mes (con un 15% de descuento si eres estudiante), los CTF son AVANZADOS, pero son un verdadero LUJAZO.

TheDFIRreport Labs

Si trabajas en DFIR y no has oído hablar de TheDFIRreport, sal de tu cueva y toma un poco el aire.  Los informes de su blog (casi todos de ransomware) son ORO PURO para un analista DFIR, y lo mejor de todo es que ahora los puedes jugar. Tienen dos modelos: compra cada CTF por separado (tienen 15), o una subscripción que por 17$/mes te deja jugar un CTF al mes. Lo único malo: que cuando empiezas a jugarlo, tienes un tiempo límite para terminarlo (lo que puede causar problemas dada la mala vida del DFIR). Pero a ese precio, sigue siendo una verdadera ganga.

Entrenamientos DFIR – Securizame

Los cursos de DFIR de Securízame son de lo mejor calidad/precio de España, y con diferencia. Lo que no sabe mucha gente es que Lorenzo tiene casos prácticos dentro de su pack de formación, y que si le das la brasa, es posible que te deje apuntar… ;)

  • URL:  https://cursos.securizame.com/
  • Nivel de dificultad: Medio.
  • Jugable como CTF: No, te vas a Madrid, compartes sudor, batallitas, pizza y risas con Lorenzo, que merece la pena. [Nota: me dice Lorenzo que los puedes hacer online en tiempo real desde tu casa en las fechas en las que se imparten]

Hack the box – Sherlocks 

Una de las plataformas de hacking ético más conocidas también tiene máquinas de DFIR (que llaman Sherlocks). Si ya tienes cuenta, ahí las tienes … y si no, puedes coger una cuenta de prueba de 14 días, y probarlos

Let’s defend – DFIR Challenges

Una de las plataformas para Blue Team más conocidas, tiene una buena cantidad de contenido de respuesta ante incidentes, forense, malware, etc… Tiene muchas cosas de acceso gratuito, y la subscripción es de 40$/mes:

CyberDefenders.org

Otra plataforma dedicada al entrenamiento del BlueTeam, tiene una buena cantidad de recursos gratis dedicados a DFIR (pero no he sido capaz de saber lo que cuesta el acceso Premium):

Comments

  1. Pedro says
    9 de septiembre de 2025 at 12:56 pm

    Gran recopilación actualizada, gracias.

  2. Iker says
    21 de enero de 2026 at 1:46 pm

    Hola
    gracias por la recopilación muy completa! He usado algún CTF en clase y parece que los estaban alojados en ctf.unizar.es ya no están accesibles. No sé a quién se podría preguntar, ¿sabes si definitivamente han dado de baja el subdominio o es momentáneo? ¿O a quién se puede contactar?

    ¡Muchas gracias!

  3. Antonio says
    22 de enero de 2026 at 3:18 pm

    Muy buenas, Iker

    Ya los tienes de nuevo en pie :)

    Saludos,

    Antonio

  4. Iker says
    23 de enero de 2026 at 11:49 am

    Muchas gracias Antonio!
    Y gracias por toda la información que ofrecéis por aquí, muy valiosa de verdad
    Un saludo
    Iker

Speak Your Mind

*