En ciberseguridad existe una tentación muy común cuando se empieza:
“Solo voy a probar un poco, no voy a romper nada”.
Herramientas como curl, Postman, Burp o simples peticiones HTTP hacen que testear una web parezca trivial. Sin embargo, aquí aparece una de las lecciones más importantes de toda la profesión:
👉 Que algo sea técnicamente posible no significa que sea legal.
La regla de oro de la ciberseguridad
Nunca pruebes la seguridad de un sistema que no es tuyo sin autorización explícita.
No importa:
que sea “solo por aprender”
que no haya daño
que no se roben datos
que el fallo sea evidente
que la petición sea un simple GET
📌 La legalidad no depende de la herramienta ni de la intención, depende del permiso.
¿Qué NO es legal hacer?
No es legal que un estudiante (ni un profesional) pruebe vulnerabilidades en:
Páginas web “random” de Internet
APIs públicas que no son suyas
Paneles /admin, /api/users, /orders?id=2 de terceros
Aplicaciones reales sin consentimiento del propietario
Aunque:
solo se cambie un ID
solo se mire la respuesta
no se modifique nada
no se guarde información
📌 Acceder a recursos que no te corresponden ya es un problema legal, aunque el servidor “te deje”.
El error mental más común
“Pero solo hice una petición HTTP…”
Un error muy habitual es pensar que:
GET = legal
POST / PUT / DELETE = ilegal
Esto es falso.
La ley no distingue métodos HTTP, distingue:
quién es el dueño del sistema
si tienes autorización
si accedes a información o funciones fuera de tu rol
Un solo GET a un recurso privado puede ser ilegal. Un DELETE en un entorno autorizado puede ser perfectamente legal.
¿Qué dice la ley?
En España y la Unión Europea, probar sistemas ajenos sin permiso puede encajar en:
Acceso no autorizado a sistemas informáticos
Interferencia en sistemas de información
Tratamiento ilícito de datos personales (si hay datos reales)
Esto se aplica aunque no haya daño, porque el delito no es “romper”, es acceder sin derecho.
¿Cuándo SÍ es legal practicar?
Hay escenarios completamente válidos y profesionales:
✔️ Sistemas propios
Servidores propios
Máquinas virtuales
Docker
Laboratorios locales
Infraestructura del centro educativo
✔️ Laboratorios diseñados para ser atacados
Plataformas educativas y entornos vulnerables creados expresamente para practicar.
Aquí hay algo clave: consentimiento explícito.
✔️ Bug Bounty (con reglas muy claras)
Algunas empresas permiten pruebas, pero:
solo ciertos dominios
solo ciertos tipos de ataques
con límites muy estrictos
No es recomendable como punto de partida para estudiantes.
✔️ Autorización escrita
Un correo, contrato o documento que indique:
qué se puede probar
hasta dónde
en qué condiciones
Esto es lo que separa a un auditor profesional de un aficionado imprudente.
La ciberseguridad no va de ser más listo que el sistema, va de ser responsable con el conocimiento.
Un buen profesional no es quien encuentra más vulnerabilidades, sino quien sabe cuándo tiene derecho a buscarlas.
La ética no es “relleno académico”: es una competencia técnica tan importante como saber usar una herramienta.
