KHERIOS

Cómo preparar un entorno seguro de Bug Bounty: VirtualBox, Kali Linux, NAT y VPN

Laptop con Kali Linux en máquina virtual protegida con VPN y tráfico NAT

Escrito por

Henry Vargas

en

,

Practicar bug bounty o hacking ético requiere más que solo buenas intenciones: exige responsabilidad, seguridad y preparación.
Antes de comenzar a buscar vulnerabilidades, es fundamental crear un entorno seguro que proteja tanto tu sistema real como tu privacidad.

En esta guía vas a aprender cómo crear un laboratorio seguro usando:

  • VirtualBox como plataforma de virtualización,
  • Kali Linux importando una imagen oficial .ova (no instalación manual al menos que quieras hacerlo),
  • Configuración de red NAT para aislamiento,
  • Y VPN para proteger todo tu tráfico.

Requisitos Previos

Antes de comenzar, asegurate de tener:

  • Una computadora con al menos 8 GB de RAM y 30 GB de espacio libre.
  • Acceso a Internet.
  • Una suscripción a una VPN confiable.
  • Conocimientos básicos de uso de Windows o Linux.

1. Instalá VirtualBox

VirtualBox es una herramienta gratuita para crear y gestionar máquinas virtuales.

Pasos:

  1. Ir a https://www.virtualbox.org/.
  2. Descargar la versión de VirtualBox adecuada para tu sistema operativo (Windows, Linux, macOS).
  3. Instalar VirtualBox siguiendo el instalador por defecto (Siguiente → Siguiente → Instalar).

Listo. No necesitas cambiar configuraciones avanzadas.

2. Descargá la imagen .ova oficial de Kali Linux

Para ahorrar tiempo y errores, no usaremos un ISO ni instalaremos Kali manualmente.
Usaremos una imagen .ova preconfigurada.

Pasos:

  1. Ir a https://www.kali.org/get-kali/.
  2. Buscar la sección de Virtual Machines.
  3. Descargar la imagen para VirtualBox en formato .ova.
  4. La descarga puede tardar (pesa aproximadamente entre 3 GB y 4 GB).

Esta imagen ya trae:

  • Kali actualizado,
  • Usuario preconfigurado (kali / kali),
  • Herramientas instaladas.

3. Importá la máquina virtual en VirtualBox

Una vez descargado el archivo .ova, hay que importarlo en VirtualBox.

Pasos:

  1. Abrí VirtualBox.
  2. Menú: Archivo → Importar servicio virtualizado (appliance).
  3. Seleccioná el archivo .ova descargado.
  4. En la pantalla de configuración:
    • Podés ajustar RAM (recomendado mínimo 2 GB, ideal 4 GB o más).
    • Podés ajustar CPU (recomendado 2 CPUs si tenés 4 disponibles).
  5. Hacé clic en Importar.

Ahora tenés una Kali Linux lista para usar.

4. Configurá la red de la máquina virtual en modo NAT

Para proteger tu laboratorio y mantener control del tráfico, configurá la red en modo NAT.

Pasos:

  1. Seleccioná tu Kali VM en VirtualBox (NO la enciendas todavía).
  2. Menú: Configuración → Red.
  3. Asegurate que el Adaptador de red esté:
    • Activado.
    • Conectado a NAT.
  4. Guardá cambios.

Así la VM podrá salir a Internet usando la conexión del host, pero no estará visible directamente en la red.

5. Activá la VPN en el host antes de iniciar Kali

Para proteger toda la conexión:

  • Activá tu VPN en tu máquina física (host) antes de iniciar la VM.
  • Esto asegura que todo el tráfico (tanto del host como de Kali) pase por un túnel cifrado.

Tips adicionales:

  • Elegí servidores VPN cercanos geográficamente para tener mejor velocidad.
  • Algunas VPNs viejas todavía usan protocolos inseguros como PPTP o L2TP (que NO deberías usar hoy).
  • Para bug bounty, donde querés mejor privacidad y mínimo riesgo, WireGuard o OpenVPN son las mejores opciones reales.
  • De esta manera, Kali también navegará de forma anónima automáticamente usando la VPN.

6. Primer inicio de Kali Linux

Ahora sí, podés iniciar tu VM:

  1. Seleccioná la Kali VM en VirtualBox.
  2. Hacé clic en Iniciar.
  3. Usuario/Password por defecto:
    • Usuario: kali
    • Contraseña: kali
  4. Cambiá la contraseña al inicial:
passwd

Ahora estás dentro de Kali Linux corriendo de una forma mas segura, aislada y bajo VPN.

Buenas prácticas adicionales

  • Actualizá Kali apenas inicies: 
sudo apt update && sudo apt upgrade
  • Tomá un snapshot de la VM antes de instalar nuevas herramientas o hacer cambios grandes.
  • No usés siempre el usuario root, trabajá como kali y elevá permisos solo cuando sea necesario (sudo).
  • No hagas pruebas en sistemas o redes sin permiso explícito.

Conclusión

Con VPNSin VPN
IP real ocultaIP real expuesta
Tráfico cifradoTráfico visible
Anonimato extraAnonimato nulo
Mayor seguridadAlto riesgo de rastreo

Tener un entorno seguro no es opcional, es la base de una práctica profesional en bug bounty.
Usar VirtualBox, Kali Linux importado desde una imagen oficial, configurar NAT y proteger todo con una VPN son medidas que te permiten explorar los programas de Bug Bounty sin poner en riesgo tu privacidad de forma directa ni tu sistema real.

Ahora que tenés tu laboratorio preparado, estás listo para empezar la cacería de bugs de forma mas segura.

¿Tienes preguntas o dudas?

¿Tienes dudas, comentarios o sugerencias sobre esta guía?
No dudes en escribirme a través del email.

Más entradas