De SOC Analyst a Penetration Tester: una transición realista

Por qué funciona esta transición

Los SOC analysts están mejor posicionados para seguridad ofensiva de lo que creen. Ya entiendes cómo se ven los ataques en los logs, cómo fallan las detecciones y cómo se mueven las investigaciones bajo presión. La transición no es aprender a atacar desde cero. Es aprender a producir deliberadamente los artefactos que investigabas.

El cambio de mentalidad es real pero acotado. El trabajo ofensivo premia paciencia, enumeración metódica y redacción de informes más que la energía "hacker". La mayoría de estos rasgos ya existen en buenos SOC analysts. Si todavía estás más al principio de tu carrera defensiva, el career path de SOC analyst y la ruta de Security+ a OSCP describen la etapa anterior.

Por qué la experiencia defensiva te hace mejor ingeniero ofensivo

Los pentesters junior más fuertes en el mercado europeo hoy rara vez son jugadores frescos de CTF. Son ex SOC que llevan tres cosas al asiento ofensivo: conocimiento de qué se loguea, conocimiento de qué se pierde y disciplina para documentar. Cuando has pasado doce meses triando alertas de Defender, parseando cadenas de Sysmon event ID 1, 3 y 11, y construyendo reglas Sigma, ya sabes qué invocación de Mimikatz produce qué evento y qué bypass de AMSI deja qué huella.

Esa alfabetización en detección se convierte en valor de operador en el momento que entras al entorno de un cliente. Dejas de elegir técnicas porque son famosas y empiezas a elegirlas porque encajan con la postura del SOC al que te enfrentas. Sabes que un beacon Cobalt Strike por defecto será cazado por la mitad de los EDR vendidos en Europa. Sabes que la recolección por defecto de BloodHound genera tráfico LDAP que cualquier ingeniero de detección razonable alerta. Sabes qué peticiones Kerberoasting parecen ruidosas y cuáles se confunden con actividad ordinaria de tickets de servicio. Nada de esto está en un syllabus, pero todo está sobre la mesa en cada entrevista ofensiva.

El stack ofensivo que te falta (y cómo construirlo)

Trata el stack ofensivo como cinco superficies distintas. No dominarás las cinco antes de tu primer rol, pero deberías demostrar competencia funcional en tres.

Aplicaciones web. OWASP Top 10 es el suelo, no el techo. La OWASP Web Security Testing Guide (WSTG) es la metodología a la que mapean su trabajo las consultoras reales. PortSwigger Web Security Academy es el laboratorio que te da fluidez con Burp Suite, incluyendo trabajo manual de proxy, Intruder, el flujo Repeater y extensiones como Autorize y Logger++. Plan: completar los labs apprentice y practitioner y sacar el examen Burp Suite Certified Practitioner.

Active Directory. Aquí vive la mayor parte de los engagements internos. Necesitas entender Kerberos, NTLM, abusos de ACL, abusos de GPO, ataques a Active Directory Certificate Services (ESC1 a ESC8) y relaciones de confianza. Los módulos estilo CRTP y CRTS de HackTheBox Academy cubren el terreno. PNPT de TCM Security y CRTP de Altered Security son certificaciones adyacentes creíbles.

Red e infraestructura. Enumeración refleja, explotación de servicios, post-explotación, pivoting con Chisel o Ligolo. OffSec PEN-200 y OSCP son los destinos obvios.

Móvil y thick clients. Una superficie más pequeña, pero diferenciadora. Frida, Objection, MobSF y el OWASP Mobile Application Security Verification Standard (MASVS) forman el toolkit.

Cloud. Las rutas de ataque AWS, Azure y GCP aparecen cada vez más en engagements scoped. PwnedLabs, CloudGoat y los módulos de Azure AD de Pentester Academy son los caminos habituales.

La secuencia de laboratorios que los reclutadores reconocen

Existe una progresión de laboratorios reconocible en la que los hiring managers de consultoras europeas confían. Es así: módulos de HackTheBox Academy para construir técnica, paths de TryHackMe para construir amplitud, OffSec Proving Grounds Practice para construir metodología estilo OSCP, luego tiempo en el lab PEN-200 antes del intento OSCP. Añade 5 a 10 cajas retiradas de HackTheBox al mes con write-ups completos en markdown guardados en un repositorio público. Los write-ups importan tanto como las cajas. La contratación pentest es uno de los pocos nichos de seguridad donde un portfolio público de GitHub mueve la aguja, porque el hiring manager puede leer tu metodología antes de conocerte.

eJPT vs CPTS vs OSCP: eligiendo tu primera certificación ofensiva

Tres credenciales dominan la primera certificación. La eLearnSecurity Junior Penetration Tester (eJPT) es la más barata y accesible: un examen práctico basado en escenarios que demuestra que puedes enumerar, explotar y pivotar a nivel junior. Es una señal sólida de CV para un SOC analyst que aspira a su primera rotación interna en red team.

La HackTheBox Certified Penetration Testing Specialist (CPTS) está un nivel arriba. Es más rigurosa que eJPT, cuesta menos que OSCP y tiene la profundidad práctica que las consultoras europeas reconocen cada vez más. El examen es un pentest de 10 días con informe escrito. Es el ensayo general más cercano a OSCP que puedes comprar.

OSCP de Offensive Security sigue siendo la insignia más reconocida en los mercados de la UE y Reino Unido. PEN-200 más dos a tres meses de tiempo de laboratorio dedicado es el camino creíble. CEH (EC-Council) y PenTest+ (CompTIA) están al lado como opciones de tipo test, útiles para empleadores driven por compliance y trabajo gubernamental, pero con menos peso operador que OSCP. Mira la guía de la certificación OSCP, CEH y la base Security+ para contexto.

Rutas de ataque a Active Directory que debes dominar

Deberías poder explicarle a un hiring manager estas rutas sin notas. Acceso inicial mediante Kerberoasting o ASREPRoasting desde una cuenta de bajo privilegio. Movimiento lateral usando PsExec, WMIExec y SMBExec con un hash NT robado. Lectura de grafos BloodHound, incluyendo las queries de camino más corto a Domain Admins y el abuso de GenericAll, GenericWrite, WriteOwner y WriteDacl sobre objetos user, group y computer. Abuso de constrained delegation, resource-based constrained delegation (RBCD), unconstrained delegation. Ataques a Active Directory Certificate Services, especialmente ESC1 y ESC8. DCSync contra un domain controller con derechos de replicación. Operaciones Mimikatz: sekurlsa::logonpasswords, lsadump::dcsync, lsadump::lsa, kerberos::golden, y los equivalentes paralelos de Rubeus. Pass-the-ticket y overpass-the-hash. El reverso defensivo es lo que traes del SOC: cuál de estas enciende cuál log.

Metodología de pentest de aplicaciones web (PTES + OWASP WSTG)

El Penetration Testing Execution Standard (PTES) y la OWASP Web Security Testing Guide (WSTG) son las dos referencias metodológicas a las que tus informes deben mapear. PTES te da las siete fases (pre-engagement, intelligence gathering, threat modelling, vulnerability analysis, exploitation, post-exploitation, reporting). WSTG te da los casos de prueba. Un pentest web creíble cubre information gathering, configuration and deployment management, identity management, authentication, authorisation, session management, input validation, error handling, cryptography, business logic y client-side testing. Burp Suite Pro es la mula de carga. Saber craftear peticiones manualmente en Repeater es más valioso que saber escanear con Active Scan.

Redactar informes es el 50% que nadie entrena

La mitad de un engagement real de pentest es escribir. El entregable es un documento que primero lee un ejecutivo, luego lee con detalle un developer y luego lee un auditor. Cada finding necesita un título claro, sección de evidencia con capturas y ejemplos de request y response, calificación CVSS o de riesgo con justificación, declaración de impacto al negocio en lenguaje plano y guía de remediación que el equipo de desarrollo o plataforma pueda implementar. El examen OSCP de OffSec lo testea directamente: 24 horas de testing seguidas de 24 horas de reporting. La mayoría de intentos fallidos son fallos de reporting, no de explotación. Practica escribiendo informes para tu trabajo en TryHackMe y HackTheBox y haz que los revise un par. Las muestras en tu GitHub se leerán.

Plan realista de transición a 12 meses

Meses 1 a 3: PortSwigger Web Security Academy labs apprentice y practitioner, examen Burp Suite Certified Practitioner, eJPT. Meses 4 a 6: módulos AD de HackTheBox Academy, 20 a 30 cajas easy y medium retiradas de HackTheBox con write-ups, fluidez con BloodHound y Mimikatz en un lab AD casero. Meses 7 a 9: OffSec Proving Grounds Practice (40 a 60 cajas), inscripción en PEN-200, intento de CPTS como ensayo creíble de OSCP. Meses 10 a 12: examen OSCP, aplicaciones dirigidas a equipos internos de red team y consultoras Big Four, CRTO o OSWA como señal de seguimiento. La ruta completa al asiento ofensivo está resumida en la guía de carrera de pentester.

Realidad salarial: SOC a pentest junior a pentest senior en la UE

Los salarios SOC L1 en la UE caen típicamente en el rango EUR 32.000 a 40.000, con hubs como Madrid, Lisboa y Varsovia en el extremo bajo y Múnich, Ámsterdam y Dublín en el alto. Un rol de penetration tester junior aterriza usualmente entre EUR 40.000 y 55.000, lo que significa que el salto inmediato es real pero modesto. La curva diverge rápido: pentesters mid-level con OSCP y dos a tres años de experiencia en engagements alcanzan habitualmente EUR 55.000 a 75.000, y los pentesters senior o líderes de red team con OSCP, CRTO y OSEP superan EUR 80.000 en la mayoría de capitales de la UE y frecuentemente cruzan EUR 100.000 en Suiza, los Nórdicos y partes del Reino Unido. Compara con los resultados salariales del bootcamp y si el bootcamp merece la pena para el contexto de fundación.

Dónde encaja el bootcamp

Si todavía estás construyendo fundamentos defensivos, el Bootcamp de Ciberseguridad de Unihackers cubre la base SOC que hace realista esta transición. El módulo de pentesting del bootcamp (m10) introduce técnica ofensiva contra el mismo stack que defiendes en m7 y m8. Mira el desglose del programa para detalle de módulos.

Frenos comunes

Tres patrones explican la mayoría de transiciones estancadas. Coleccionar herramientas sin practicar informes. Saber herramientas pesa menos que saber escribir lo que encontraste. Los pentesters contratados son los cuyos informes se leen claros. Saltarse web y AD. La mayor parte del pentest interno toca ambos. Evitar cualquiera reduce drásticamente el pool de roles. Ir a por OSCP demasiado pronto. OSCP premia metodología y resistencia, no skill bruta. Acumula horas de laboratorio suficientes primero, o quemarás el intento.

La transición es acotada y creíble si la tratas como una construcción deliberada de doce meses, no como un rebranding.