CompTIA PenTest+

Descripción General

Qué cambió en PenTest+ para 2026

La novedad relevante es que el PT0-002 se retiró el 17 de junio de 2025, así que si compraste material antes de esa fecha tíralo: ahora todos vamos al PT0-003 (publicado en 2024). El voucher sigue en 404 USD directamente con CompTIA, sin subidas en dos años. Donde PenTest+ se sigue ganando el sitio en 2026 es en el lado federal: aparece en varios cyberspace work roles del DoD 8140 según el DoDM 8140.03, y eso es lo que hace que se cuele en ofertas de pentest con clearance. En sueldos, los pentesters en EE.UU. están en una mediana de 100.000–120.000 USD (PayScale ~103.000 USD, ZipRecruiter ~120.000 USD), con roles senior y red team por encima — pero para empujar al extremo alto del rango necesitas evidencia tipo OSCP, no solo PenTest+.

CompTIA PenTest+ es una certificación de nivel intermedio que valida habilidades prácticas de pruebas de penetración y evaluación de vulnerabilidades. Cierra la brecha entre certificaciones de nivel inicial (Security+) y certificaciones prácticas avanzadas (OSCP).

PenTest+ PT0-002 se enfoca en:

• Planificación y alcance de pruebas de penetración
• Reconocimiento pasivo y activo
• Análisis de vulnerabilidades y explotación
• Informes profesionales y comunicación

¿Quién Debería Obtener Esta Certificación?

PenTest+ está diseñado para:

• Profesionales de seguridad que quieren especializarse en seguridad ofensiva
• Analistas de vulnerabilidades realizando evaluaciones
• Pentesters junior buscando validación
• Analistas SOC que quieren conocimiento ofensivo
• Titulares de Security+ listos para especializarse

Recomendado: 3-4 años de experiencia práctica en seguridad de la información.

Formato del Examen

El examen PenTest+ PT0-002 incluye:

• Máximo 85 preguntas
• 165 minutos para completar
• Puntuación para aprobar: 750 (en escala 100-900)
• Opción múltiple y preguntas basadas en rendimiento

Las preguntas basadas en rendimiento requieren que:

• Analices salidas de escaneo
• Escribas scripts básicos
• Ejecutes ataques simulados

Tiempo de Estudio

PenTest+ vs. CEH vs. OSCP

Habilidades Clave Validadas

1. Planificación y Alcance

   • Definir reglas de compromiso
   • Entender requisitos legales
   • Crear planes de pruebas

2. Reconocimiento

   • Recopilación OSINT
   • Escaneo activo
   • Identificación de vulnerabilidades

3. Explotación

   • Ataques basados en red
   • Ataques a aplicaciones
   • Técnicas de post-explotación

4. Informes

   • Documentar hallazgos profesionalmente
   • Comunicar riesgos a stakeholders
   • Priorizar remediación

Impacto en la Carrera

Los titulares de PenTest+ ven un aumento salarial del 29%:

• Pentester Junior
• Analista de Evaluación de Vulnerabilidades
• Consultor de Seguridad
• Miembro Junior de Red Team
• Posiciones DoD/gobierno (compatible 8570/8140)

Recorrido Detallado del Examen

El examen PenTest+ PT0-002 se realiza en centros Pearson VUE o mediante supervisión en línea desde tu hogar. Necesitarás dos formas de identificación y un espacio de trabajo limpio si realizas el examen de forma remota. El motor del examen presenta una mezcla de preguntas estándar de opción múltiple y preguntas basadas en rendimiento (PBQ), que aparecen al inicio del examen. Las PBQ simulan escenarios reales donde interactúas con un entorno virtual: analizando salidas de Nmap, escribiendo fragmentos cortos de Python o Bash, o identificando la cadena de exploit correcta para un objetivo dado.

La gestión del tiempo es crítica. Con hasta 85 preguntas en 165 minutos, tienes aproximadamente dos minutos por pregunta. Muchos candidatos cometen el error de dedicar demasiado tiempo a las PBQ al inicio. Una mejor estrategia: marca las PBQ después de un intento inicial, avanza rápidamente por la sección de opción múltiple, luego regresa a las PBQ con el tiempo restante. Las preguntas de opción múltiple valen los mismos puntos, así que asegurar esas primero te crea una red de seguridad.

Los errores comunes incluyen descuidar el dominio de "Informes y Comunicación" (18% del examen), que evalúa habilidades de escritura profesional en lugar de explotación técnica. Los candidatos que se enfocan exclusivamente en herramientas de hacking a menudo pierden puntos fáciles en preguntas sobre resúmenes ejecutivos, calificaciones de riesgo y cronogramas de remediación. Otro error frecuente es confundir la fase de alcance con la fase de reconocimiento; el examen traza una línea clara entre la planificación legal previa al compromiso y la recopilación activa de información.

Estrategia de Estudio y Recursos

El camino de estudio más efectivo para PenTest+ combina aprendizaje estructurado con práctica práctica. Si ya tienes Security+ y 2 o más años en un rol de seguridad, planifica de 8 a 10 semanas de preparación enfocada.

Recursos Recomendados

Cursos de pago: CompTIA CertMaster Learn + CertMaster Labs proporciona el currículo oficial con laboratorios virtuales integrados. El curso de PenTest+ de Jason Dion en Udemy es una alternativa económica popular a menos de $20 en ofertas, cubriendo los cinco dominios con exámenes de práctica. Los exámenes de práctica de Dion Training son especialmente reconocidos por igualar la dificultad real del examen.

Plataformas prácticas: El camino de aprendizaje "Jr Penetration Tester" de TryHackMe se mapea casi perfectamente con los objetivos de PenTest+, con salas guiadas que te llevan a través de reconocimiento, explotación e informes. Las máquinas "Starting Point" de Hack The Box proporcionan un suplemento más desafiante. Para práctica de scripting, el wargame Bandit de OverTheWire desarrolla las habilidades de Linux y Bash evaluadas en el Dominio 5.

Recursos gratuitos: La serie de videos PenTest+ de Professor Messer en YouTube cubre cada objetivo. El propio documento de objetivos del examen de CompTIA (descargable como PDF) debería ser tu lista de verificación de estudio.

Recomendaciones de Laboratorio

Configura un laboratorio casero con Kali Linux atacando un objetivo vulnerable como Metasploitable 3 o DVWA. Practica la metodología completa: definición de alcance, escaneo con Nmap y Nessus Community Edition, explotación con Metasploit, escalación de privilegios y escritura de un informe de hallazgos.

Impacto Real en la Carrera

PenTest+ te posiciona para roles específicos que lo listan explícitamente en los requisitos laborales. Las posiciones de Pentester Junior ($65,000 a $85,000 en EE.UU.) frecuentemente requieren PenTest+ o CEH. Los roles de Analista de Evaluación de Vulnerabilidades ($70,000 a $95,000) en los sectores de servicios financieros y salud prefieren PenTest+ por su componente de validación práctica.

En el espacio federal de EE.UU., PenTest+ satisface los requisitos DoD 8570/8140. En Europa, los roles de pruebas de penetración en Alemania y Países Bajos ofrecen EUR 55,000 a EUR 75,000 para titulares de PenTest+, mientras que en España y Latinoamérica los rangos varían entre EUR 30,000 a EUR 50,000 (España) y $25,000 a $45,000 USD (LATAM).

Comparada con CEH, PenTest+ cuesta significativamente menos ($404 vs $1,199) mientras proporciona cualificación laboral similar. Comparada con OSCP, PenTest+ es mucho más accesible y sirve como prueba de que entiendes la metodología de pentesting. Muchos profesionales usan PenTest+ como trampolín: pasan PenTest+ primero, luego persiguen OSCP dentro de 12 a 18 meses.

Desglose de Costos y ROI

PenTest+ requiere renovación cada tres años. Puedes renovar obteniendo 60 créditos de Educación Continua (CE) o aprobando una certificación de nivel superior. La cuota anual de CE es de $50 por año ($150 en tres años). Dado el aumento salarial promedio de $20,000 post-certificación, el ROI se paga solo en el primer mes de un nuevo rol.

Consejo de patrocinio empresarial: Muchas organizaciones cubren los costos de certificación como parte de presupuestos de desarrollo profesional. Enmarca tu solicitud alrededor del valor de cumplimiento DoD 8570 si tu empresa tiene contratos gubernamentales.

Lista de Verificación de Preparación

Antes de registrarte para el examen, confirma que cumples estos criterios de preparación:

• Puedes explicar las cinco fases de una prueba de penetración sin notas
• Has usado Nmap, Nessus u OpenVAS para escanear una red e interpretar resultados
• Puedes escribir scripts básicos de Bash y Python para automatización
• Entiendes vulnerabilidades web comunes (SQLi, XSS, CSRF) y puedes explicar pasos de explotación
• Has escrito al menos un informe simulado de prueba de penetración
• Puedes diferenciar entre pruebas de caja negra, caja blanca y caja gris
• Entiendes conceptos legales: autorización, deslizamiento de alcance, reglas de compromiso

Línea de tiempo recomendada: Regístrate para el examen con 8 a 10 semanas de anticipación. Estudia 1 a 2 horas en días laborales y 3 a 4 horas los fines de semana, totalizando 80 a 120 horas de preparación.

Consejos Internos de Profesionales Certificados

Construye una hoja de referencia aunque no sea a libro abierto. El proceso de crear notas condensadas te obliga a organizar el conocimiento. Muchos candidatos exitosos reportan que escribir un resumen de una página por dominio fue la técnica de estudio más efectiva.

No subestimes las preguntas de scripting. El Dominio 5 (Herramientas y Análisis de Código) al 16% no es enorme, pero las preguntas requieren que leas código Python y Bash e identifiques qué hace. No necesitas ser desarrollador, pero debes reconocer patrones comunes: conexiones de socket, operaciones de lectura/escritura de archivos y estructuras de bucle.

Únete al subreddit de CompTIA (r/CompTIA) y los canales de Discord de PenTest+. Los que han tomado el examen comparten sus experiencias sin violar el NDA. Temas comunes: el examen es "más amplio de lo esperado" y "las preguntas de informes son puntos gratis si te preparaste."

Programa tu examen para la mañana. El rendimiento cognitivo alcanza su máximo temprano en el día para la mayoría de personas, y las PBQ demandan resolución de problemas enfocada.

El documento oficial de objetivos del examen de CompTIA es tu temario. Si no puedes explicar con confianza cada sub-objetivo, no estás listo. Este documento es gratuito y descargable desde el sitio web de CompTIA.