How to Become a Pentester

¿Por Qué Convertirse en Pentester?

El pentesting es una de las carreras más emocionantes y gratificantes en ciberseguridad. Te pagan por pensar como un hacker, vulnerar sistemas legalmente y ayudar a las organizaciones a fortalecer sus defensas antes de que los atacantes reales encuentren debilidades.

Lo que hace atractivo este rol:

• Alta demanda: Toda organización necesita pruebas de seguridad
• Aprendizaje continuo: Nuevas vulnerabilidades y técnicas mantienen el trabajo fresco
• Trabajo impactante: Previenes directamente brechas de datos e incidentes de seguridad
• Desafío intelectual: Cada engagement es un puzzle único por resolver
• Compensación sólida: El pentesting está entre los roles mejor pagados en ciberseguridad

¿Qué Hace Realmente un Pentester?

Como Pentester, simulas ataques del mundo real para encontrar vulnerabilidades antes que los actores maliciosos. Un engagement típico incluye:

• Reconocimiento: Recopilar información sobre el objetivo a través de OSINT, enumeración DNS y escaneo de red
• Descubrimiento de Vulnerabilidades: Identificar debilidades en redes, aplicaciones y sistemas
• Explotación: Explotar vulnerabilidades de forma segura para demostrar impacto real
• Post-Explotación: Simular movimiento lateral, escalamiento de privilegios y exfiltración de datos
• Reportes: Documentar hallazgos con recomendaciones claras de remediación

Tipos de Pentesting

Diferentes engagements se enfocan en diferentes áreas:

Habilidades que te Distinguen

Dominio Técnico

1. Dominio de Linux: Kali Linux es tu sistema operativo principal. Domina la línea de comandos, el sistema de archivos y las herramientas de seguridad comunes.

2. Redes en Profundidad: Entiende TCP/IP a nivel de paquete. Sabe cómo analizar tráfico de red, pivotar entre subredes e identificar misconfiguraciones.

3. Seguridad de Aplicaciones Web: La mayoría del pentesting involucra aplicaciones web. Domina las vulnerabilidades del OWASP Top 10, bypasses de autenticación y ataques de inyección.

4. Active Directory: La mayoría de las empresas funcionan con AD. Entender Kerberos, ataques de delegación y misconfiguraciones de AD es crucial para evaluaciones internas.

5. Scripting y Automatización: Python, Bash y PowerShell te permiten escribir exploits personalizados, automatizar reconocimiento y extender herramientas existentes.

La Mentalidad del Hacker

Más allá de las habilidades técnicas, los pentesters exitosos comparten rasgos clave:

• Curiosidad: Siempre preguntando "¿qué pasaría si?" y explorando caminos inesperados
• Persistencia: Pasar horas en una sola vulnerabilidad sin rendirse
• Creatividad: Encontrar cadenas de ataque no convencionales que las herramientas automatizadas no detectan
• Enfoque metódico: Seguir metodología sistemática mientras permaneces adaptable

El Camino de Certificaciones

Nivel Inicial: Construyendo tu Base

eJPT (eLearnSecurity Junior Penetration Tester)

• Examen práctico y hands-on
• Excelente primera certificación
• Construye confianza en metodología

CompTIA PenTest+

• Neutral de proveedores
• Cubre metodología y cumplimiento
• Buena para entornos DoD

PNPT (Practical Network Penetration Tester)

• Accesible ($399)
• Entorno de laboratorio AD real
• Examen práctico de 5 días

Nivel Intermedio: El Estándar de la Industria

OSCP (Offensive Security Certified Professional)

• El estándar de oro para pentesters
• Examen práctico de 24 horas
• Demuestra habilidad real de hacking
• A menudo requerido para roles senior

Nivel Avanzado: Especialización

Elige según tu área de enfoque:

• OSWE: Seguridad de aplicaciones web
• CRTO: Operaciones de red team con frameworks C2
• OSEP: Técnicas avanzadas de evasión
• GPEN/GWAPT: Certificaciones GIAC para entornos formales

Construyendo tu Portafolio

Dado que el pentesting se basa en habilidades, demostrar capacidad es crucial:

Competiciones CTF

• Compite en plataformas como CTFtime
• Documenta tus soluciones y metodologías
• Las competiciones en equipo muestran habilidades de colaboración

Bug Bounty Hunting

• Experiencia real encontrando vulnerabilidades
• Reconocimiento público en HackerOne/Bugcrowd
• Hallazgos reales demuestran capacidad

Laboratorio en Casa

• Construye redes vulnerables para practicar
• Documenta cadenas de ataque y técnicas
• Crea entornos AD realistas

Escritura Técnica

• Escribe posts de blog explicando vulnerabilidades
• Crea writeups de CTF
• Comparte proyectos de desarrollo de herramientas en GitHub

La Búsqueda de Empleo

Puntos de Entrada

Pentester Junior

• Apoya a testers senior
• Enfócate en tipos específicos de evaluación
• Aprende metodología y reportes

Analista de Vulnerabilidades

• Ejecuta escaneos de vulnerabilidades
• Clasifica y valida hallazgos
• Puente hacia pruebas prácticas

Analista SOC con Interés Ofensivo

• Construye experiencia defensiva primero
• Transfiere a pentesting después
• Entiende lo que ven los defensores

Dónde Encontrar Trabajos

• LinkedIn (filtra por "penetration tester," "security consultant")
• InfoSec Jobs, CyberSecJobs
• Páginas de carreras de empresas (NCC Group, Bishop Fox, CrowdStrike)
• Conferencias de seguridad (bolsas de trabajo, networking)
• Las consultoras a menudo contratan a escala

Preparación para Entrevistas

Espera una mezcla de evaluaciones técnicas y prácticas:

Preguntas Técnicas:

• "Guíame a través de cómo abordarías un pentest de red"
• "Explica Kerberoasting y cómo lo detectarías/prevendrías"
• "¿Cuál es la diferencia entre XSS almacenado y reflejado?"
• "¿Cómo evadirías la detección de antivirus?"

Ejercicios Prácticos:

• Desafíos de capture the flag
• Ejercicios de máquinas vulnerables para hacer en casa
• Demostraciones de hacking en vivo

Desafíos Comunes

Síndrome del Impostor

El problema: Sentir que no sabes suficiente comparado con testers senior. La solución: Todos empiezan en algún lugar. Enfócate en fundamentos, documenta tu aprendizaje y abraza la naturaleza de aprendizaje continuo de la seguridad.

Sobrecarga de Información

El problema: Demasiadas herramientas, técnicas y caminos de ataque para aprender. La solución: Domina un dominio antes de expandir. Comienza con pentesting de red o web, ponte cómodo, luego ramifica.

Límites Éticos

El problema: Entender qué es legal y ético. La solución: Siempre obtén autorización escrita. Cuando dudes, pregunta. Construye ética profesional sólida desde el día uno.

Progresión de Carrera

El pentesting ofrece múltiples caminos de crecimiento:

Trayectoria Técnica

• Pentester Junior → Pentester Senior → Lead Pentester → Consultor Principal

Especialización

• Lead de Red Team: Enfoque en simulación de adversarios
• Desarrollador de Exploits: Crea exploits y herramientas personalizadas
• Especialista en Seguridad de Aplicaciones: Experiencia profunda en web apps

Gestión

• Manager de Consultoría de Seguridad: Lidera equipos de pentesting
• Director de Seguridad Ofensiva: Estrategia y construcción de equipos

Independiente

• Bug Bounty Hunter: Hunting de bounties a tiempo completo
• Consultor Independiente: Dirige tu propia práctica

Un Engagement de Pentest Típico, Hora a Hora

Un pentest externo estándar dura entre cinco y diez días laborables. El día uno comienza con una llamada de kickoff donde se confirma el alcance, los rangos de IP, los dominios incluidos, los contactos de escalado y las reglas de compromiso. A media mañana ya estás ejecutando reconocimiento pasivo (Amass, Subfinder, crt.sh, Shodan) seguido de enumeración activa con Nmap, detección de servicios y escaneo de versiones. Los días dos y tres se centran en validar vulnerabilidades, sondeo manual de la superficie de ataque y explotación contra rutas pre-autenticadas. Los días cuatro y cinco suelen incluir pivoting interno, enumeración de Active Directory con BloodHound y cadenas de ataque que demuestran impacto de negocio. Los dos últimos días se dedican a redactar el informe, evidenciar cada hallazgo con capturas y pasos de reproducción, y preparar el debrief.

Las metodologías guían cada paso. PTES (Penetration Testing Execution Standard) cubre pre-engagement, recolección de inteligencia, modelado de amenazas, análisis de vulnerabilidades, explotación, post-explotación y reporte. OWASP WSTG (Web Security Testing Guide) es la checklist de referencia para web. NIST SP 800-115 es el marco formal que muchos clientes regulados (banca, salud, administración pública) exigen citar en el SOW. El trabajo móvil sigue OWASP MASVS y MSTG. Saber qué framework espera el cliente es la mitad del profesionalismo.

Black Box, White Box y Grey Box: Qué Exige Cada Tipo

El tipo de engagement determina cuánta información recibes antes de empezar y, por tanto, condiciona el enfoque.

Black Box. Solo recibes el nombre del objetivo o una lista corta de activos públicos. Simula a un atacante externo sin conocimiento previo. Mucho tiempo en recon, menos profundidad de cobertura. Habitual en infraestructura externa y due diligence pre-adquisición.

Grey Box. Recibes información parcial: credenciales de usuario estándar, diagramas de red o documentación de API. Equilibra realismo y cobertura. La mayoría de los pentests de red interna y aplicaciones autenticadas son grey box. Es el punto óptimo para entregar valor en un plazo de 5 a 10 días.

White Box (Crystal Box). Recibes código fuente, diagramas de arquitectura, credenciales de admin y documentación completa. Se utiliza para revisiones asistidas por código fuente, trabajo estilo OSWE y revisiones de alta seguridad. Los hallazgos suelen ser más profundos porque puedes trazar el flujo de datos extremo a extremo.

La mayoría de clientes contratan grey box. Entregar resultados significativos en white box es lo que diferencia a un tester senior de uno intermedio.

La Secuencia Moderna de Laboratorios: De Cero a Empleable

El camino de 2026 que los reclutadores realmente respetan, en orden:

1. TryHackMe Pre-Security y Cyber Security 101. Fundamentos gratuitos, línea de comandos, repaso de redes.
2. HTB Academy CPTS path. Aproximadamente 200 horas de laboratorios guiados cubriendo web, AD, escalada de privilegios en Linux/Windows y reporting. El examen CPTS es práctico de 10 días.
3. PortSwigger Web Security Academy. Gratuito, de clase mundial. Completa todos los labs Apprentice y Practitioner antes de cualquier cert web.
4. OffSec Proving Grounds Practice. Suscripción de máquinas estilo OSCP. Apunta a resolver más de 40 antes de un intento.
5. OSCP. 24 horas práctico, otras 24 horas para el informe. La línea base de credibilidad técnica.
6. Especialización. OSWA o BSCP para web, OSEP para evasión y AD, CRTO o CRTP para red team.

Esta secuencia cuesta menos que un semestre universitario y produce un portafolio que cualquier hiring manager puede verificar.

La Escalera de Certificaciones que los Reclutadores Sí Leen

Los reclutadores europeos filtran CVs por stack de certificaciones. La escalera realista:

• Fundamentos: Security+, Network+, eJPT.
• Entrada práctica: PNPT, CompTIA PenTest+, HTB CPTS.
• Estándar de industria: OSCP. La cert más solicitada en ofertas de pentest en la UE.
• Especialización: OSWA o BSCP (web), OSEP (AD avanzado y evasión), OSWE (white box web).
• Red team: CRTP, CRTO, CRTE.

CEH aparece con frecuencia en licitaciones públicas y de gran empresa, especialmente en España e Italia, aunque la comunidad técnica considere OSCP más riguroso. Tenerla en el CV ayuda al apuntar a consultoría de sector público.

Las rutas de transición más habituales están documentadas en nuestro pathway de Security+ a OSCP y en el pathway de analista SOC a pentester.

Active Directory: La Habilidad Mejor Pagada en 2026

Los engagements internos en empresas europeas están dominados por Active Directory. Aproximadamente el 90% de los entornos corporativos siguen apoyándose en AD como columna vertebral de identidad, y las misconfiguraciones abundan. Las habilidades que cobran las tarifas diarias más altas:

• Abuso de Kerberos: Kerberoasting, AS-REP roasting, delegación no restringida y restringida.
• Análisis de rutas ACL con BloodHound y SharpHound.
• Acceso a credenciales con Mimikatz, Rubeus y extracción DPAPI.
• Ataques entre dominios y bosques de confianza.
• Fluidez con Impacket, CrackMapExec/NetExec, Certify, Certipy y PowerView.
• Explotación de errores en ADCS (ESC1 a ESC11).

Un junior que demuestra una ruta limpia BloodHound a Domain Admin en HTB Pro Labs (Offshore, RastaLabs, Dante) transmite más capacidad que un candidato con tres certificaciones y cero evidencia práctica de AD.

Metodología de Pentest de Aplicaciones Web

Un test web repetible sigue OWASP WSTG y PTES, mapeado a las fases de NIST SP 800-115 cuando hay regulación.

1. Recolección de información. Mapeo de superficie, identificación de frameworks, stack tecnológico (Wappalyzer), spider autenticado y no autenticado.
2. Revisión de configuración y despliegue. Postura TLS, headers, archivos por defecto, interfaces de admin.
3. Gestión de identidades. Provisión de cuentas, registro, vectores de enumeración.
4. Autenticación. Transporte de credenciales, protección anti fuerza bruta, flujos de reset.
5. Gestión de sesiones. Atributos de cookie, fixation, invalidación al cerrar sesión.
6. Autorización. Control de acceso vertical y horizontal, IDORs, acceso a nivel de función.
7. Validación de entrada. Inyección (SQL, NoSQL, comando, plantilla), XSS (almacenado, reflejado, DOM), SSRF.
8. Lógica de negocio. Abuso de flujos, condiciones de carrera, manipulación de parámetros.
9. Cliente. Abuso de postMessage, almacenamiento cliente, prototype pollution.
10. APIs. OWASP API Top 10, introspección GraphQL, broken object property level authorization.

Herramientas: Burp Suite Pro es la herramienta diaria. Añade ffuf o feroxbuster para descubrimiento de contenido, sqlmap para SQLi probada, Nuclei para checks templated y httpx para triage a escala. El trabajo es 70% manual, las herramientas amplifican, no sustituyen.

Redacción de Informes: La Habilidad que Separa el Aprobado del Contrato

La brillantez técnica sin un informe limpio no se cobra. El informe es el entregable que el cliente compra. Un buen informe de pentest incluye:

• Resumen ejecutivo en lenguaje claro con una página de panorama de riesgos.
• Alcance y metodología, incluyendo fechas, activos probados y exclusiones.
• Hallazgos con CVSS 4.0, impacto de negocio, pasos de reproducción, evidencia y remediación.
• Recomendaciones estratégicas más allá de cada hallazgo (arquitectura, proceso, formación).
• Apéndice técnico con salida raw e IoCs para el equipo azul.
• Sección de retest, ya que la mayoría de contratos incluyen uno o dos retests tras la remediación.

Reclutadores en NCC Group, IOActive, Bishop Fox, Mediaservice.net, IMQ Minded Security y S2 Grupo piden con frecuencia un informe de muestra sanitizado. Construye uno a partir de una caja de TryHackMe o HTB. Trátalo como un activo de portafolio.

El Lado de Negocio: Scoping, SOW y NDA

El pentesting es trabajo de consultoría. Desde el primer día estarás expuesto a:

• Llamadas de scoping. Traducir las preocupaciones de riesgo del cliente en activos testables. Definir qué entra y qué no en el alcance. Negociar tiempos y restricciones.
• Statement of Work (SOW). Documento legal que define alcance, entregables, fechas, tarifas y limitaciones de responsabilidad.
• Reglas de compromiso (RoE). Qué puedes hacer, cuándo y contra qué. Siempre por escrito, siempre firmadas.
• Acuerdo de confidencialidad (NDA). Estándar. Verás interiores de sistemas de los que nunca podrás hablar en público.
• Carta Get Out of Jail. Autorización escrita para evaluaciones físicas. Llévala encima durante el engagement.
• On-site vs remoto. Las evaluaciones internas pueden requerir presencia en oficinas del cliente, especialmente en sectores regulados. La mayoría del trabajo externo es remoto.

Los junior aprenden esto haciendo shadowing de consultores senior. Trabajar de forma independiente sin esta disciplina es como acaban algunas carreras en los tribunales.

Realidad Salarial en la UE

Los salarios de pentester en la UE varían por país, tamaño de consultora y especialización. Rangos realistas para 2026 en plantilla:

Las grandes consultoras (NCC Group, Mandiant, IOActive, Bishop Fox en oficinas EMEA) pagan en la parte alta. La consultoría pública en España, Italia y Francia paga algo menos pero ofrece contratos estables y acceso a habilitaciones de seguridad. Los freelancers con OSCP y OSWE facturan entre 800 y 1.500 EUR por día en Europa Occidental. En España, el término pentester cuenta con 1.300 búsquedas mensuales, evidenciando una demanda sólida y constante de profesionales locales.

Cómo el Bootcamp de Unihackers Mapea a Este Rol

El Bootcamp de Ciberseguridad de Unihackers está estructurado para producir analistas de seguridad listos para trabajar. La pista ofensiva (módulos m9 y m10 del currículum) construye la base que un pentester junior necesita:

• Laboratorios de explotación de red y web alineados con OWASP WSTG y PTES.
• Cadenas de ataque a Active Directory en un laboratorio de dominio.
• Workflows con Burp Suite, Nmap, Metasploit, BloodHound e Impacket.
• Redacción de informes con plantillas reales de consultoras.

El programa está diseñado para personas que cambian de carrera sin experiencia previa en TI, y la página de salarios desglosa la compensación realista post-bootcamp para roles ofensivos de entrada.

Empezando Hoy

Si estás comprometido a convertirte en Pentester:

1. Comienza con fundamentos: Asegura habilidades sólidas de redes y Linux
2. Crea una cuenta en TryHackMe: Comienza con salas para principiantes
3. Monta un laboratorio en casa: Practica en un entorno seguro
4. Persigue eJPT o PNPT: Obtén tu primera certificación práctica
5. Documenta todo: Bloguea tu viaje de aprendizaje
6. Únete a la comunidad: Servidores de Discord, comunidad de seguridad en Twitter/X

El camino es desafiante pero alcanzable. Las organizaciones necesitan desesperadamente hackers éticos para encontrar vulnerabilidades antes que los criminales. Tu futuro equipo está esperando.