{"id":2274,"date":"2026-05-16T12:57:59","date_gmt":"2026-05-16T10:57:59","guid":{"rendered":"https:\/\/www.elvigilantedigital.com\/?p=2274"},"modified":"2026-05-16T12:58:11","modified_gmt":"2026-05-16T10:58:11","slug":"hackear-tu-primera-maquina-guia-paso-a-paso-de-meow-en-hack-the-box","status":"publish","type":"post","link":"https:\/\/www.elvigilantedigital.com\/en\/2026\/05\/16\/hackear-tu-primera-maquina-guia-paso-a-paso-de-meow-en-hack-the-box\/","title":{"rendered":"Hackear tu primera m\u00e1quina: Gu\u00eda paso a paso de MEOW en Hack The Box"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Hackear tu primera m\u00e1quina: Gu\u00eda paso a paso de MEOW en Hack The Box<\/b><\/p>

\u00a1Bienvenidos a una nueva secci\u00f3n en El Vigilante Digital<\/i>! Si alguna vez has querido saber qu\u00e9 se siente al entrar en un servidor remoto de forma totalmente legal para poner a prueba su seguridad, est\u00e1s en el lugar correcto. Hoy inauguramos nuestra serie de Hack The Box (HTB)<\/b>, la plataforma l\u00edder para entrenar habilidades de ciberseguridad.<\/p>

Y para empezar con buen pie, vamos a destripar Meow<\/b>, la primera m\u00e1quina del \u00abStarting Point\u00bb (Tier 0). Es un reto catalogado como \u00abVery Easy\u00bb, ideal para entender las bases del hacking \u00e9tico: Reconocimiento, Conexi\u00f3n y Captura de la Bandera (Flag).<\/b><\/p>

\u00a1Prepara tu terminal de Kali Linux y vamos a ello!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

El Objetivo<\/h2>

En Hack The Box, el objetivo siempre es el mismo: encontrar una vulnerabilidad en el sistema objetivo (la direcci\u00f3n IP que nos da la plataforma) para acceder a \u00e9l y leer un archivo de texto secreto llamado flag.txt<\/code>.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Fase 1: Reconocimiento (Escaneo de puertos con Nmap)<\/h2>

No puedes atacar lo que no conoces. Lo primero que hace un hacker \u00e9tico es escanear la direcci\u00f3n IP de la v\u00edctima para ver qu\u00e9 \u00abpuertas\u00bb (puertos) tiene abiertas hacia internet. Para esto usamos la herramienta reina: Nmap<\/b>.<\/p>

Lanzamos el siguiente comando en la terminal:<\/p>

Bash<\/span><\/div>
sudo nmap -sV [IP_DE_LA_MAQUINA]\n<\/code><\/pre><\/div><\/div><\/div>
  • (Nota: El par\u00e1metro -sV<\/code> sirve para que Nmap no solo nos diga qu\u00e9 puertos est\u00e1n abiertos, sino qu\u00e9 versi\u00f3n exacta de software est\u00e1 corriendo en ellos).<\/i><\/p><\/li><\/ul>
    El resultado:<\/b> Nmap nos devuelve que el puerto 23<\/b> est\u00e1 abierto y ejecutando un servicio llamado Telnet<\/b>.\"nmap\"<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t
    Fase 2: An\u00e1lisis de la vulnerabilidad (\u00bfQu\u00e9 es Telnet?)<\/h2>
    Telnet es un protocolo muy antiguo (creado en los a\u00f1os 69) que sirve para conectarse a un ordenador de forma remota a trav\u00e9s de la terminal. Tiene un problema gigantesco hoy en d\u00eda: no cifra las comunicaciones<\/b>. Todo lo que viaja por Telnet va en texto plano.<\/p>
    Adem\u00e1s, en el caso de la m\u00e1quina Meow, nos enfrentamos a la peor de las vulnerabilidades: una mala configuraci\u00f3n de f\u00e1brica<\/b>.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t
    Fase 3: Explotaci\u00f3n (Consiguiendo acceso)<\/h2>
    Para intentar conectarnos al servidor de la v\u00edctima a trav\u00e9s de Telnet, simplemente escribimos en nuestra terminal:<\/p>
    Bash<\/span><\/div>
    telnet [IP_DE_LA_MAQUINA]\n<\/code><\/pre><\/div><\/div><\/div>
    El sistema nos responder\u00e1 salud\u00e1ndonos y pidi\u00e9ndonos un nombre de usuario (login:<\/code>).<\/p>
    Aqu\u00ed viene el truco de la m\u00e1quina: muchos administradores de sistemas perezosos o despistados dejan las cuentas por defecto activas. Probamos a loguearnos con el usuario administrador supremo de Linux: root<\/b>.<\/p>
    Plaintext<\/span><\/div>
    meow login: root\n<\/code><\/pre><\/div><\/div><\/div>
    \u00a1Y bumba! El sistema no nos pide contrase\u00f1a<\/b>. Nos deja pasar directamente porque la cuenta root<\/code> no ten\u00eda clave configurada. Ya estamos dentro del servidor de Meow y tenemos el control total.<\/p>
    \"telnet\"\u00a0<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t
    Fase 4: Capturando la Bandera (The Flag)<\/h2>
    Ahora que somos due\u00f1os del sistema, solo nos queda buscar nuestro trofeo. En los sistemas Linux, el usuario root<\/code> tiene su propia carpeta personal en la ra\u00edz.<\/p>
    Usamos los comandos b\u00e1sicos de navegaci\u00f3n:<\/p>
    Bash<\/span><\/div>
    ls          # Para listar los archivos (veremos el archivo flag.txt)<\/span>\ncat flag.txt # Para leer el contenido del archivo<\/span>\n<\/code><\/pre><\/div><\/div><\/div>
    En la pantalla aparecer\u00e1 una cadena de caracteres aleatorios (la bandera). La copiamos, la pegamos en la plataforma de Hack The Box y \u00a1m\u00e1quina completada!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t
    Lecci\u00f3n aprendida para el mundo real<\/h2>
    Meow es un ejemplo perfecto de que muchas veces los hackers no necesitan usar virus complejos para entrar en una empresa<\/b>; les basta con encontrar un servicio antiguo expuesto a internet con credenciales por defecto o inexistentes.<\/p>
    • \u00bfC\u00f3mo se protege esto?<\/b> 1. Desactivando Telnet por completo y usando en su lugar SSH<\/b>, que s\u00ed cifra las contrase\u00f1as y las conexiones. 2. Asegur\u00e1ndote de que NUNCA haya un usuario (y mucho menos root<\/code>) con una contrase\u00f1a en blanco.<\/p><\/li><\/ul>
      Mira el v\u00eddeo del hackeo en acci\u00f3n<\/h3>
      Si quieres ver c\u00f3mo ejecuto estos comandos en tiempo real en mi terminal, no te pierdas el v\u00eddeo completo que he subido a nuestro canal. \u00a1Tienes el enlace directo aqu\u00ed abajo!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
      \n\t\t\t\t
      \n\t\t\t\t\t\t\t
      \n\t\t\t
      <\/div>\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
      \n\t\t\t\t
      \n\t\t\t\t\t\t\t\t\t
      \u00bfQu\u00e9 te ha parecido este primer acercamiento a Hack The Box?<\/b> Si tienes alguna duda con Nmap o Telnet, d\u00e9jala en los comentarios. \u00a1Nos vemos en la pr\u00f3xima m\u00e1quina!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"
      Hackear tu primera m\u00e1quina: Gu\u00eda paso a paso de MEOW en Hack The Box \u00a1Bienvenidos a una nueva secci\u00f3n en El Vigilante Digital! Si alguna vez has querido saber qu\u00e9 se siente al entrar en un servidor remoto de forma totalmente legal para poner a prueba su seguridad, est\u00e1s en el lugar correcto. Hoy inauguramos […]<\/p>\n","protected":false},"author":2,"featured_media":2275,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[58],"tags":[73,148,158,157,155,103,156,159],"class_list":["post-2274","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guias","tag-ciberseguridad","tag-el-vigilante-digital","tag-hack-the-box","tag-hacking-etico","tag-htb-meow","tag-nmap","tag-telnet-exploit","tag-walkthrough-espanol"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts\/2274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/comments?post=2274"}],"version-history":[{"count":13,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts\/2274\/revisions"}],"predecessor-version":[{"id":2292,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts\/2274\/revisions\/2292"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/media\/2275"}],"wp:attachment":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/media?parent=2274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/categories?post=2274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/tags?post=2274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}