Saltar al contenido principal
Hacking Ético: Salario, Certificaciones y Cómo Empezar en 2026

Hacking Ético: Salario, Certificaciones y Cómo Empezar en 2026

Descubre el salario de un hacker ético en España y Latinoamérica, las certificaciones que necesitas (CEH, OSCP, PNPT) y la hoja de ruta paso a paso para empezar en 2026.

34 minCyberFlows Team
[Espacio publicitario — AdSense]

Introducción

El hacking ético se ha consolidado como una de las carreras más demandadas y mejor remuneradas del sector tecnológico en 2026. Según el ISC2 Cybersecurity Workforce Study 2025, la brecha de talento en ciberseguridad alcanza los 4,8 millones de puestos vacíos a nivel mundial, y la demanda de profesionales ofensivos —pentesters, red teamers y analistas de amenazas— crece a un ritmo superior al del resto del sector.

¿Por qué ocurre esto? Porque cada organización que maneja datos sensibles necesita alguien que piense como un atacante para protegerse antes de que lo haga un adversario real. Bancos, hospitales, empresas de telecomunicaciones, gobierno, startups SaaS, proveedores cloud… todos necesitan evaluaciones de seguridad ofensiva regulares. Y los presupuestos de ciberseguridad no paran de crecer: Gartner estima que el gasto global en seguridad superará los 215.000 millones de dólares en 2026, una subida del 14% respecto a 2025.

Si estás pensando en dedicarte al hacking ético, este artículo es tu mapa completo. Vamos a cubrir salarios reales por país y experiencia, certificaciones con su coste y validez, una hoja de ruta desde cero sin experiencia previa, las herramientas que necesitas dominar, las especializaciones del mercado y los errores más comunes que cometen los principiantes. Sin humo, sin promesas vacías: datos, contenido técnico y opiniones honestas basadas en el mercado laboral actual.

¿Qué es el Hacking Ético?

El hacking ético, también llamado prueba de penetración (penetration testing) o evaluación de seguridad ofensiva, es la práctica de atacar sistemas informáticos, redes y aplicaciones con autorización explícita del propietario con el objetivo de identificar vulnerabilidades antes de que los actores maliciosos las exploten.

Marco Legal y Autorización

La distinción clave entre hacking ético e ilegal es la autorización. Un hacker ético opera bajo un contrato oscope de prueba que define:

  • Alcance: qué sistemas, IPs, dominios y rangos de red pueden ser atacados.
  • Métodos permitidos: qué técnicas están autorizadas (injection, social engineering, DoS parcial, etc.).
  • Período de ejecución: fechas y horarios de la prueba.
  • Reglas de engagement: qué hacer si se encuentra datos personales, acceso a sistemas de producción críticos, o si se descubre una vulnerabilidad de día cero (0-day).

Sin esta autorización por escrito, las mismas técnicas que usa un hacker ético serían delito bajo las leyes de ciberseguridad de prácticamente cualquier país:

  • Estados Unidos: Computer Fraud and Abuse Act (CFAA). Acceso no autorizado a sistemas informáticos es un delito federal con penas de hasta 20 años de prisión.
  • España: Artículo 197 bis del Código Penal y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPD). El acceso no autorizado a sistemas informáticos conlleva penas de 1 a 4 años de prisión.
  • México: Ley Federal contra la Delincuencia Organizada y el Código Penal Federal, con reformas que castigan el acceso ilícito a sistemas con penas de hasta 6 años.
  • Colombia: Ley 1273 de 2009 (Ley de Delitos Informáticos), que sanciona el acceso no autorizado con prisión de 3 a 8 años.
  • Argentina: Ley 26.388 de Delitos Informáticos, con penas que pueden alcanzar los 8 años para acceso fraudulento a sistemas.

Diferencias entre Black-Hat, Grey-Hat y White-Hat

Tipo Autorización Legalidad Objetivo
White-hat (Ético) Autorización explícita por escrito Legal Mejorar la seguridad del sistema
Grey-hat Sin autorización formal, pero sin intención maliciosa Generalmente ilegal Encontrar vulnerabilidades por curiosidad o exposición
Black-hat Sin autorización alguna Ilegal Beneficio propio, daño, robo de datos

Un hacker ético (white-hat) es, por definición, un profesional contratado para simular ataques reales dentro de un marco legal. El término "hacker" en su origen no tenía connotación negativa —se refería a alguien con habilidades técnicas excepcionales para entender y manipular sistemas—, pero la cultura popular lo asoció con la delincuencia informática. El hacking ético recuperó el sentido original del término.

¿Qué hace un Pentester en el día a día?

Un profesional de hacking ético no pasa todo el día "hackeando". Su rutina incluye:

  1. Reconocimiento pasivo: recopilar información sobre el objetivo sin interactuar directamente con sus sistemas (OSINT, DNS, redes sociales).
  2. Reconocimiento activo: escaneo de puertos, fingerprinting de servicios, enumeración de subdominios.
  3. Explotación: intentar vulnerabilidades identificadas para obtener acceso no autorizado dentro del alcance definido.
  4. Post-explotación: una vez dentro, escalar privilegios, moverse lateralmente, demostrar el impacto real.
  5. Documentación: redactar un informe técnico detallado con hallazgos, evidencias, risk rating (CVSS) y recomendaciones de remediación.
  6. Presentación: comunicar los resultados a stakeholders técnicos y no técnicos.

Salario de un Hacker Ético

El salario es, probablemente, lo que más preguntas genera. Vamos a ser específicos con datos del mercado 2025-2026. Ten en cuenta que estos rangos pueden variar según fuente, pero reflejan las medianas observadas en ofertas de empleo, encuestas salariales y conversaciones reales con profesionales del sector.

España

España tiene un mercado de ciberseguridad ofensiva en crecimiento, especialmente en Madrid, Barcelona, Valencia y Bilbao. Las consultoras (Deloitte, PwC, Accenture, Telefónica Cyber, S2 Grupo, Pueo) y bancos (Santander, BBVA, CaixaBank) son los principales empleadores.

Nivel Experiencia Salario Anual (Bruto)
Junior 0-2 años €25.000 - €35.000
Mid 2-4 años €35.000 - €50.000
Senior 4-7 años €50.000 - €70.000
Lead / Consultant 7+ años €70.000 - €90.000+
Manager / Director 10+ años €90.000 - €120.000+

Notas sobre España:

  • Los rangos junior incluyen roles de SOC Analyst L2/L3 que migran hacia pentesting.
  • Las empresas de producto (fintechs, startups) suelen pagar 10-15% más que las consultoras.
  • El teletrabajo para empresas del extranjero está elevando los salarios, especialmente para perfiles con OSCP o experiencia en red teaming.
  • Madrid paga un 10-20% más que el resto de España por el coste de vida y la concentración de sedes corporativas.

Latinoamérica

Latinoamérica tiene una comunidad de ciberseguridad muy activa, pero los salarios locales son significativamente menores que en Europa o EE.UU. Aquí es donde el trabajo remoto para empresas internacionales marca la diferencia.

México (salarios locales en USD equivalentes):

Nivel Salario Anual (USD)
Junior $12.000 - $20.000
Mid $20.000 - $35.000
Senior $35.000 - $55.000
Lead $55.000 - $75.000

Colombia:

Nivel Salario Anual (USD)
Junior $10.000 - $18.000
Mid $18.000 - $30.000
Senior $30.000 - $50.000
Lead $50.000 - $70.000

Argentina:

Nivel Salario Anual (USD)
Junior $8.000 - $15.000
Mid $15.000 - $28.000
Senior $28.000 - $48.000
Lead $48.000 - $65.000

Nota importante: Estos salarios reflejan empleo local. Muchos profesionales latinoamericanos trabajan remotamente para empresas de EE.UU., Canadá o Europa, lo que multiplica significativamente estos rangos.

Trabajo Remoto para Empresas Internacionales

Esta es la categoría que más ha crecido desde 2020 y sigue en ascenso en 2026. Empresas de EE.UU., Canadá, Reino Unido y Europa contratan talento de Latinoamérica y España para roles remotos, ofreciendo salarios que se acercan (aunque no igualan) a los de mercado local.

Nivel Salario Anual (USD)
Junior $50.000 - $80.000
Mid $80.000 - $110.000
Senior $110.000 - $150.000
Lead / Principal $150.000 - $180.000+

Para acceder a estos roles necesitas: inglés fluido (B2-C1 mínimo), experiencia demostrable (CTFs, bug bounties, portfolios), certificaciones reconocidas internacionalmente (OSCP, PNPT) y, preferiblemente, 2+ años de experiencia previa.

Comparativa con Roles Relacionados

Rol Salario Medio (España) Salario Medio (Remoto US)
SOC Analyst L1 €22.000 - €30.000 $55.000 - $70.000
SOC Analyst L2/L3 €30.000 - €42.000 $70.000 - $90.000
Security Engineer €40.000 - €60.000 $100.000 - $130.000
Penetration Tester €35.000 - €70.000 $90.000 - $140.000
Red Team Operator €55.000 - €85.000 $120.000 - $160.000
Security Consultant €45.000 - €80.000 $100.000 - $150.000
CISO €80.000 - €130.000 $150.000 - $250.000+

Factores que Influyen en el Salario

No todos los pentesters ganan lo mismo. Estos factores impactan directamente tu compensation:

  1. Certificaciones: Un profesional con OSCP puede ganar €5K-10K más que uno sin certificación. Un GXPN o OSCE puede suponer un diferencial aún mayor.
  2. Especialización: El red teaming y la seguridad cloud pagan más que el pentesting web generalista. La seguridad de IoT/OT está pagando prima por la escasez de talento.
  3. Ubicación: Madrid vs. una ciudad pequeña en España puede suponer un 20% de diferencia. Trabajar remoto para EE.UU. desde Latinoamérica es la jugada más rentable.
  4. Tamaño y tipo de empresa: Big 4 y bancos pagan bien pero exigen mucho. Empresas de producto tech suelen ofrecer mejor equilibrio. Consultoras especializadas en seguridad (NCC Group, Trail of Bits, Pentestlab) pagan salarios competitivos.
  5. Idiomas: Inglés fluido es prácticamente obligatorio. Alemán o francés pueden abrir puertas en Europa central.
  6. Publicaciones y reputación: Un blog técnico, contribuciones a herramientas open source, charlas en congresos o artículos en revistas especializadas aumentan tu valor percibido.
  7. Experiencia en bug bounties: Un historial de hallazgos críticos en HackerOne o Bugcrowd puede compensar la falta de experiencia corporativa formal.

Certificaciones que Necesitas

Las certificaciones son un tema polémico en la comunidad de ciberseguridad. Algunos las consideran esenciales para acceder al mercado laboral; otros las ven como un exercise de memorización que no demuestra habilidad real. La verdad está en el medio: dependiendo de tu nivel y objetivos, algunas certificaciones son extremadamente valiosas y otras son un desperdicio de dinero.

Nivel de Entrada

CompTIA Security+

  • Qué cubre: Fundamentos de ciberseguridad, conceptos de red seguros, criptografía básica, gestión de riesgos, seguridad de identidad, operaciones de seguridad, programación de respuesta a incidentes.
  • Exámenes: SY0-701. 90 preguntas (multiple choice y performance-based). 90 minutos. Puntuación mínima: 750/900.
  • Coste: ~$404 USD (examen).
  • Validez: 3 años (renovable con CEU).
  • ¿Para quién?: Profesionales que buscan entrar al sector de ciberseguridad en general. No es una certificación de hacking ético per se, pero es el mínimo exigido en muchos anuncios de trabajo para roles de entrada (SOC analyst, junior security analyst). Muchos departamentos de defensa y agencias gubernamentales la requieren.
  • Honest opinion: Es una buena base si vienes de cero y necesitas validar conocimientos generales. No te va a enseñar a hackear, pero sí a entender el vocabulario y los conceptos que se manejan en el sector.

CEH — Certified Ethical Hacker (EC-Council)

  • Qué cubre: Reconocimiento, redes, enumeración, hacking de sistemas, malwares, hacking web, criptografía, vulnerabilidades, evasión, hacking de redes sociales, IoT, cloud,Operaciones de seguridad.
  • Exámenes: 125 preguntas de opción múltiple. 4 horas. Puntuación mínima: 60%-85% (varía). Práctica opcional: EC-Council Certified Ethical Hacker Practical (CEH Practical) — 6 horas en entorno virtual.
  • Coste: ~$1.199 USD (examen + training oficial). Si solo compras el examen: ~$550 USD. Entrenamiento oficial: ~$850 USD.
  • Validez: 3 años (renovable con ECE credits).
  • ¿Para quién?: Es la certificación más reconocida por Recursos Humanos y departamentos de RRHH. Muchos empleadores la listan como "deseable" o "requerida" en ofertas de trabajo, especialmente en consultoras y grandes empresas.
  • Honest opinion: El CEH es controvertido en la comunidad técnica. El material del curso es bastante superficial y el examen teórico no demuestra habilidades prácticas. Muchos profesionales lo llaman "paper cert". Sin embargo, su reconocimiento de marca es innegable: si estás buscando tu primer trabajo, tener CEH en el CV puede ser la diferencia entre ser filtrado o no por reclutadores no técnicos. Recomendación: si tu empresa lo paga, cógelo. Si lo pagas de tu bolsillo y solo puedes elegir una, invierte en OSCP o PNPT en su lugar.

Nivel Intermedio

eJPT — eLearnSecurity Junior Penetration Tester (INE)

  • Qué cubre: Fundamentos de redes, hacking web básico, reconocimiento, escaneo de vulnerabilidades, explotación básica, post-explotación. Todo enfocado en entornos prácticos.
  • Exámenes: Examen práctico en laboratorio virtual. 3 días de acceso. 16 horas de examen real (tiempo de prueba). 22/38 puntos para aprobar.
  • Coste: ~$249 USD (incluye examen y curso de preparación iLearn).
  • Validez: 3 años.
  • ¿Para quién?: Profesionales que quieren su primera certificación práctica y reconocida. Ideal después de CompTIA Security+ o como primera certificación si ya tienes bases técnicas.
  • Honest opinion: Excelente opción para principiantes. Es 100% práctica, el examen es realista y el coste es razonable. No tiene el reconocimiento de marca del CEH ni del OSCP, pero demuestra habilidad real. Muy recomendada como primer paso antes de OSCP.

PNPT — Practical Network Penetration Tester (TCM Security)

  • Qué cubre: Pentesting de red completo: reconocimiento externo, escaneo, explotación, post-explotación, movimiento lateral, pivoting, Active Directory attacks, informes profesionales.
  • Exámenes: Examen práctico de 5 días. Tienes 5 días para comprometer una red empresarial y entregar un informe profesional. Además, hay una evaluación de 2 horas donde debes presentar tus hallazgos a un examinador (simulando un deliverable real al cliente).
  • Coste: ~$399 USD (curso + examen). El curso de preparación (Practical Ethical Hacking) está disponible por ~$30 USD en su web oficial.
  • Validez: No expira.
  • ¿Para quién?: Cualquier persona que quiera una certificación práctica, realista y accesible. Especialmente recomendada para quienes quieren trabajar en pentesting pero no están listos para el OSCP.
  • Honest opinion: Probablemente la mejor relación calidad-precio del mercado. El examen es extremadamente realista (red empresarial con Active Directory, múltiples máquinas, pivoting), la evaluación oral añade un componente que simula el mundo real, y el precio es casi ridículo comparado con alternativas. La comunidad de TCM Security es enorme y el contenido de preparación es sólido. Alta recomendación.

Nivel Avanzado

OSCP — Offensive Security Certified Professional

  • Qué cubre: Técnicas ofensivas avanzadas: buffer overflows, web application attacks, privilege escalation en Linux y Windows,.Active Directory exploitation, pivoting, port forwarding, writing custom exploits. Todo basado en la filosofía "try harder".
  • Exámenes: PEN-200 (curso de preparación). Examen práctico de 23 horas y 45 minutos. 3 máquinas principales + 1 máquina bonus. Necesitas 70/100 puntos para aprobar. Máquinas con diferentes niveles de dificultad, incluyendo Active Directory (que vale más puntos). Debes enviar un informe completo al día siguiente.
  • Coste: ~$1.599 USD (curso PEN-200 + examen, con 30 días de acceso a la plataforma). Renewal labs: ~$249 USD por 30 días adicionales.
  • Validez: 3 años (renovable con OSCP+ examen, o acumulando 80+ puntos en el examen original para obtener renovación).
  • ¿Para quién?: Profesionales que quieren una certificación de pentesting con reconocimiento mundial. Es el estándar de facto para roles de pentesting y red teaming.
  • Honest opinion: El OSCP sigue siendo la certificación de hacking ético más respetada en la industria. No es la más práctica (el formato ha cambiado, pero sigue siendo más un examen de perseverancia que de habilidad pura), pero su dificultad y el rigor de OffSec le dan un peso que pocas certificaciones igualan. Si puedes permitirte el coste y tienes la preparación necesaria, es una inversión que se paga sola. Consejo: no intentes el OSCP sin tener al menos 6-12 meses de experiencia práctica o después de aprobar PNPT/eJPT. Mucha gente falla porque lo intenta demasiado pronto.

OSCE3 — Offensive Security Certified Expert 3

  • Qué cubre: Técnicas ofensivas avanzadas y especializadas: evasión de defensas (EDR bypass,AV evasion), exploit development, web app exploitation avanzada, Active Directory attacks de nivel experto, OSINT avanzado, social engineering techniques.
  • Exámenes: Cuatro exámenes separados — OSEP (Evasion and Privilege Escalation), OSED (Exploit Development), OSWE (Web Expert), OSEP → combinados como OSCE3. Cada examen es práctico y dura 48-72 horas.
  • Coste: Variable. Cada curso + examen cuesta ~$1.599 USD. El bundle OSCE3 puede suponer ~$5.000-6.000 USD en total.
  • Validez: No expira (pero cada certificación individual tiene su propio ciclo).
  • ¿Para quién?: Profesionales senior que quieren diferenciarse y especializarse. Roles de red team operator, exploit developer, o security researcher.
  • Honest opinion: Extremadamente exigente y prestigioso. Poca gente lo tiene, lo que te diferencia enormemente. El OSED (exploit development) en particular es un game-changer para tu CV. Solo vale la pena si ya tienes OSCP y quieres especializarte.

CREST CRT — Certified Red Teamer

  • Qué cubre: Pentesting y red teaming con un marco metodológico riguroso. Alineado con los estándares de CREST (Council for Registered Ethical Security Testers), reconocido internacionalmente.
  • Exámenes: Examen práctico de 24 horas en un entorno simulado. Cubre reconocimiento, explotación, post-explotación, movimiento lateral y reporting.
  • Coste: ~£2.500-3.000 GBP (examen + candidatura).
  • Validez: 3 años.
  • ¿Para quién?: Profesionales que trabajan o quieren trabajar en Reino Unido, Europa o con empresas que requieren certificaciones CREST. Es el equivalente europeo al OSCP para roles de red team.
  • Honest opinion: En Europa, especialmente en UK, CREST tiene un reconocimiento enorme. Si tu objetivo es trabajar en consultoras de pentesting europeas o con clientes gubernamentales, CREST es muy valorado. Menos conocido en EE.UU. que el OSCP.

Certificaciones Especializadas

GXPN — GIAC Exploit Researcher and Advanced Penetration Tester

  • Qué cubre: Exploit research, vulnerability analysis avanzada, desarrollo de exploits, técnicas ofensivas de nivel avanzado, evasion techniques, analysis of custom protocols.
  • Exámenes: Examen de 3-4 horas. 75-150 preguntas. Certificación GIAC conocida por su rigor.
  • Coste: ~$2.499 USD (examen). El curso de preparación (SEC760 o SEC560) cuesta entre $7.000-8.000 USD.
  • Validez: 4 años (renovable con CPME/CPD).
  • ¿Para quién?: Investigadores de vulnerabilidades, exploit developers, y profesionales que buscan roles de seguridad ofensiva de élite.
  • Honest opinion: La certificación más cara del mercado, pero también una de las más prestigiosas en el ámbito del exploit development. Solo la recomiendo si tu empresa la paga o si estás en un camino de investigación de vulnerabilidades serio.

CRTO — Certified Red Team Operator (Zero-Point Security)

  • Qué cubre: Red teaming real: C2 frameworks (Sliver, Cobalt Strike), evasion techniques, Active Directory attacks avanzadas, credential harvesting, lateral movement, persistence techniques, OPSEC.
  • Exámenes: 48 horas de acceso a un entorno de red empresarial. Debes comprometer el dominio y entregar un informe.
  • Coste: ~£399 GBP (curso RTO + examen).
  • Validez: No expira.
  • ¿Para quién?: Profesionales que quieren pasar de pentesting a red teaming.
  • Honest opinion: Excelente opción y muy accesible en precio. El curso es directo y práctico, y el examen refleja escenarios reales de red team. Junto con PNPT, es una de las mejores inversiones en certificaciones prácticas.

¿Cuál Elegir? Tabla Resumen

Certificación Nivel Coste (USD) Práctica Reconocimiento Recomendación
CompTIA Security+ Entry $404 No Alto (corporativo) Buen inicio general
CEH Entry $550-$1.199 No/Opcional Muy Alto (RRHH) Solo si la empresa paga
eJPT Intermediate $249 Medio Muy recomendada
PNPT Intermediate $399 Medio-Alto Altamente recomendada
OSCP Advanced $1.599 Muy Alto Esencial para pentesting
OSCE3 Expert $5.000+ Muy Alto Para especialización
CRTO Advanced ~$500 Alto Excelente para red team
GXPN Expert $2.499+ Muy Alto Para investigación

Hoja de Ruta: Cómo Empezar desde Cero

Si estás empezando desde cero sin experiencia previa en ciberseguridad, esta es la hoja de ruta más realista y eficiente que puedo recomendarte. No es la única forma válida, pero es la que mejor balancea aprendizaje, certificaciones y empleabilidad.

Paso 1: Fundamentos (Meses 1-3)

Antes de intentar hackear nada, necesitas entender cómo funciona lo que vas a atacar. No puedes vulnerar un sistema si no entiendes redes, sistemas operativos o programación a nivel básico.

Redes (indispensable):

  • Modelo OSI y TCP/IP
  • IPv4, subnetting, CIDR
  • DNS, DHCP, HTTP/HTTPS, SSH, FTP, SMB
  • Firewalls, proxies, NAT
  • Recursos: Curso "Networking Fundamentals" en TryHackMe, "Computer Networking" de Kurose & Ross (libro), Cisco Packet Tracer (gratis).

Linux (indispensable):

  • Instalación y uso de distribuciones (Kali, Parrot, Ubuntu)
  • Navegación por terminal: cd, ls, cat, grep, find, chmod, chown
  • Permisos de archivos, usuarios y grupos
  • Gestión de procesos, servicios, cron jobs
  • Básico de bash scripting
  • Recursos: "Linux Fundamentals" en TryHackMe (3 partes), "Linux Upskill Challenge" (gratis en GitHub), "The Linux Command Line" de William Shotts (gratis online).

Windows (muy importante):

  • Active Directory: qué es, cómo funciona (DC, GPO, Kerberos, LDAP)
  • PowerShell básico
  • Windows Registry, servicios, permisos NTFS
  • Recursos: "Windows Fundamentals" en TryHackMe, "Active Directory" en TryHackMe (serias 1-3).

Programación (básico al principio):

  • Python: para scripting, automatización, writing exploits básicos. "Automate the Boring Stuff with Programming" (gratis online).
  • Bash: para scripting en Linux.
  • SQL: para entender inyecciones SQL. Basics de consultas SELECT, JOIN, UNION, subqueries.
  • No necesitas ser desarrollador, pero sí poder leer y entender código, y escribir scripts sencillos.

Paso 2: Laboratorios y Práctica (Meses 2-6, paralelo al Paso 1)

La teoría sin práctica es inútil en hacking ético. Necesitas manos en teclado desde el primer mes.

Plataformas de práctica:

  • TryHackMe: La mejor para principiantes. Path recomendado: "Pre-Security" → "Complete Beginner" → "Jr Penetration Tester" → "Offensive Pentesting". Tiene laboratorios guiados, explicaciones paso a paso y un navegador web. Desde ~$14/mes (subscripción premium).
  • HackTheBox: Más avanzado, pero tiene un path "Starting Point" y máquinas fáciles etiquetadas. Las máquinas Pro Labs (Dante, Offshore) son excelentes para practicar pentesting real. Desde ~$14/mes.
  • PicoCTF: CTF para principiantes. Competiciones anuales y práctica libre. Gratis.
  • VulnHub: Máquinas virtuales descargables para tu laboratorio local. Gratis.
  • PortSwigger Web Security Academy: El mejor recurso gratuito para aprender hacking web. Laboratorios interactivos de vulnerabilidades OWASP Top 10. Gratis.

Metodología de práctica:

  1. Resuelve máquinas sin walkthrough primero.
  2. Si te atasca más de 2 horas, busca una pista (no la solución completa).
  3. Documenta todo: cada paso, cada hallazgo, cada comando. Crea tu propio "cheat sheet".
  4. Intenta explicar por qué funciona cada técnica, no solo cómo ejecutarla.

Paso 3: Primera Certificación (Meses 4-9)

Con 3-4 meses de fundamentos y práctica, estás listo para tu primera certificación práctica.

Recomendación: eJPT o PNPT (no CEH como primera certificación).

  • eJPT si quieres algo más fácil y barato para ganar confianza.
  • PNPT si quieres un reto más serio que te deje preparado para el mercado laboral.

Ambas son prácticas, asequibles y te enseñan habilidades reales. El CEH como primera certificación no te va a enseñar a pentestear de forma práctica, y su examen teórico no demuestra nada en una entrevista técnica.

Timeline: Dedica 2-3 meses de preparación intensiva. Haz todas las máquinas del curso de preparación y complementa con práctica en HackTheBox/TryHackMe.

Paso 4: Construir un Laboratorio Casero (Meses 3-6, paralelo)

Un laboratorio casero es donde experimentas sin restricciones. Necesitas:

  • Hardware: Un portátil o PC con al menos 16GB RAM y 256GB SSD libre. Virtualización con VirtualBox o VMware Workstation.
  • Máquinas virtuales:
    • Kali Linux o Parrot OS (attacker)
    • Metasploitable 2/3 (vulnerable target)
    • Windows 10/11 (target)
    • Windows Server 2019/2022 con Active Directory (target)
    • DVWA, Juice Shop, WebGoat (web vulnerable apps)
  • Red virtual: Configura una red NAT o bridged para que las VMs puedan comunicarse.
  • Documentación: Usa Obsidian, Notion o un Wiki local para documentar tu laboratorio, vulnerabilidades que practicas, y soluciones.

Paso 5: Bug Bounties (Meses 6-12)

Los bug bounties son la forma más directa de ganar experiencia real y dinero mientras aprendes.

Plataformas:

  • HackerOne: Programas de empresas como Apple, General Motors, Nintendo, Dropbox, etc.
  • Bugcrowd: Similar a HackerOne, con programas público y privados.
  • Intigriti: Plataforma europea creciente.
  • YesWeHack: Plataforma europea con buenos pagos.

Estrategia para principiantes:

  1. Empieza con programas público con bounty (recompensa monetaria).
  2. Enfócate en 1-2 programas pequeños o medianos en lugar de 50 a la vez.
  3. Lee hallazgos anteriores (writeups) del programa para entender qué ya se ha encontrado.
  4. Prioriza: authentication bypass, IDOR, privilege escalation, SSRF, subdomain takeover.
  5. No te desanimes por los duplicates (hallazgos duplicados) —son parte normal del proceso.

Ingresos realistas: Un principiante puede ganar $500-$5.000 al año en bug bounties. Un intermediate: $5.000-$30.000. Un experto con programas privados: $30.000-$200.000+. Los bug bounties no reemplazan un salario estable al principio, pero son un complemento excelente y una forma de construir reputación.

Paso 6: Primer Empleo (Meses 9-18)

La progresión típica es:

  1. SOC Analyst L1 (entry point, 0-12 meses): Monitoreo de alertas, análisis de eventos de seguridad, triage de incidentes. Salario menor pero acceso al sector.
  2. SOC Analyst L2/L3 (12-24 meses): Investigación profunda de incidentes, hunting de amenazas, análisis de malware. Te acercas al mundo ofensivo.
  3. Junior Penetration Tester (12-24 meses): Primeros roles de pentesting en consultoras o equipos internos de seguridad.
  4. Penetration Tester (24-48 meses): Pentesting independiente, gestión de proyectos de evaluación.
  5. Senior / Red Team Operator (4+ años): Red teaming, adversary simulation, investigación de vulnerabilidades.

Consejos para el primer empleo:

  • No descartes roles de SOC. Es el entry point más común para pasar a pentesting.
  • Crea un blog técnico o portfolio en GitHub. Documenta máquinas resueltas (sin walkthroughs completos que ayuden a copiar), writeups de CTFs, proyectos personales.
  • Participa en la comunidad: Discord servers de HTB/THM, Twitter/X de ciberseguridad, congresos locales (DEF CON groups, BSides).
  • Haz networking: muchas ofertas de trabajo llegan por referidos en la comunidad, no por portales de empleo.
  • Prepárate para entrevistas técnicas: esperan que puedas resolver máquinas en vivo, explicar el proceso de un pentest, y hablar de methodology.

Timeline Resumen

Hito Tiempo Estimado
Fundamentos de redes, Linux, Windows 0-3 meses
Primera plataforma de práctica (THM/HTB) Desde el mes 1
Primera certificación (eJPT o PNPT) 4-9 meses
Primer bug bounty report 6-12 meses
OSCP 12-24 meses
Primer empleo en ciberseguridad 9-18 meses
Rol de pentester independiente 18-36 meses
Senior / Red Team Operator 3-5 años

Herramientas que Todo Hacker Ético Debe Conocer

Las herramientas no hacen al hacker, pero dominar las correctas multiplica tu productividad. Aquí tienes una selección organizada por fase del pentesting.

Reconocimiento

Herramienta Descripción Tipo
Nmap El escáner de redes por defecto. Port scanning, service fingerprinting, NSE scripts, OS detection. Imprescindible. Escaneo de red
Amass Reconocimiento passivo y activo de subdominios. Integra con múltiples fuentes (APIs, certificate transparency logs). Subdomain enum
Subfinder Enumeración de subdominios passiva. Rápido y eficiente. Subdomain enum
theHarvester Recopilación de emails, subdominios, IPs y URLs de fuentes públicas. OSINT
Recon-ng Framework de reconocimiento modular. Funciona como Metasploit pero para OSINT. Framework OSINT
Shodan Motor de búsqueda de dispositivos conectados a internet. Cámaras, servidores, ICS/SCADA, etc. IoT/Device search
Censys Similar a Shodan pero con mayor enfoque en certificados SSL/TLS y hosts web. Device search

Ataque a Aplicaciones Web

Herramienta Descripción Tipo
Burp Suite La herramienta proxy estándar para testing web. Intercepta tráfico, fuzzying, scanner de vulnerabilidades, repeater, intruder. Community es gratuita; Pro cuesta ~$449/año. Proxy/Scanner
OWASP ZAP Alternativa open source a Burp Suite. Proxy, scanner, fuzzing. Buena opción para empezar sin pagar. Proxy/Scanner
SQLMap Automatización de detección y explotación de inyecciones SQL. Soporta MySQL, PostgreSQL, Oracle, MSSQL, SQLite y más. SQL injection
Nuclei Scanner de vulnerabilidades basado en templates. Velocísimo para escanear grandes volúmenes de hosts. Scanner
ffuf Fuzzing rápido de directorios, parámetros y virtual hosts. Directory fuzzing
nikto Scanner web clásico. No tan preciso como Burp/ZAP, pero útil para ráfagas rápidas de información. Scanner

Explotación

Herramienta Descripción Tipo
Metasploit Framework El framework de explotación más conocido. Exploits, payloads, auxiliary modules, post-exploitation. Community gratis; Pro ~$1.500/año. Framework
Cobalt Strike Herramienta comercial de red teaming y C2 (Command & Control). El estándar de la industria para adversary simulation. ~$3.500/año por licencia. C2 Framework
Sliver Framework C2 open source y gratuito. Alternativa seria a Cobalt Strike con soporte de múltiples protocolos (mTLS, DNS, HTTP, HTTPS, WireGuard). C2 Framework
Havoc C2 framework open source moderno, con interfaz gráfica. Creciente en popularidad. C2 Framework
** searchsploit** Buscador local de exploits de ExploitDB. Incluido en Kali Linux. Exploit search
CrackMapExec / NetExec Automatización de attacks en redes Windows/Active Directory. Pass-the-hash, pass-the-ticket, enumeration, command execution. Network attack
Responder Captura credenciales NTLMv2 en redes locales mediante LLMNR/NBT-NS poisoning. Credential capture

Post-Explotación

Herramienta Descripción Tipo
BloodHound / SharpHound Mapeo de Active Directory: identifica rutas de ataque desde usuarios comprometidos hasta Domain Admin. Esencial en entornos AD. AD Analysis
Mimikatz Extracción de credenciales desde memoria: NTLM hashes, Kerberos tickets, plaintext passwords. La herramienta más temida en entornos Windows. Credential dump
Impacket Colección de herramientas Python para protocolos de red: WMIExec, Psexec, SMBClient, Kerberoasting, AS-REP Roasting, etc. Protocol toolkit
Rubeus Framework C# para ataques Kerberos: Kerberoasting, AS-REP Roasting, delegation attacks, ticket manipulation. Kerberos attacks
PowerView Módulo de PowerShell para enumeración de Active Directory. AD Enumeration
Chisel Tunel TCP/UDP a través de HTTP. Ideal para pivotar desde dentro de una red a segmentos aislados. Tunneling

Wireless

Herramienta Descripción Tipo
Aircrack-ng Suite completa para auditing WiFi: captura de paquetes, cracking WEP/WPA2, deautenticación. WiFi audit
Wifite2 Automatización de ataques WiFi (WPA, WEP, WPS). Wrapper sobre aircrack-ng, reaver, bully. WiFi attack
Bettercap Swiss army knife de red: ARP spoofing, MITM, WiFi recon, packet manipulation. MITM/Framework

Ingeniería Social

Herramienta Descripción Tipo
SET (Social Engineering Toolkit) Framework de ingeniería social: spear phishing, credential harvester, website attacks. Incluido en Kali Linux. Social engineering
Evilginx2 Framework de phishing avanzado que evita MFA/2FA mediante reverse proxy. Captura tokens de sesión en tiempo real. Phishing/MFA bypass
GoPhish Plataforma de phishing para campañas de awareness y testing interno. Interfaz web intuitiva. Phishing platform

Nota sobre Cobalt Strike

Cobalt Strike merece una mención especial. Es una herramienta comercial diseñada para red teamers profesionales y consultores de seguridad. No es una herramienta de uso general para pentesters junior —su coste (~$3.500/año) y su curva de aprendizaje la sitúan en un nivel avanzado. Además, su uso no autorizado (cracked versions) es ilegal y las versiones pirata suelen contener backdoors. Si estás empezando, enfócate en Sliver o Havoc como alternativas C2 gratuitas y legítimas.

Especializaciones dentro del Hacking Ético

El hacking ético no es un campo monolítico. A medida que avanzas en tu carrera, necesitarás especializarte. Cada especialización tiene su propio conjunto de habilidades, herramientas y mercados laborales.

Pentesting de Aplicaciones Web

Qué implica: Evaluar la seguridad de aplicaciones web (SPAs, APIs REST/GraphQL, CMS, e-commerce). Es la especialización más demandada porque prácticamente todas las empresas tienen presencia web.

Habilidades clave: OWASP Top 10, testing de APIs (REST, SOAP, GraphQL), authentication/authorization bypass, injection attacks (SQL, NoSQL, LDAP, OS), SSRF, XSS (reflected, stored, DOM-based), CSRF, file upload vulnerabilities, business logic flaws.

Herramientas principales: Burp Suite Pro, SQLMap, ffuf, Nuclei, Postman.

Mercado: El más grande. Casi toda empresa con una aplicación web necesita evaluaciones. Muchas ofertas de pentesting junior se enfocan en web.

Pentesting de Red

Qué implica: Evaluar la seguridad de infraestructuras de red: servidores, firewalls, switches, Active Directory, servidores de correo, VPNs, etc.

Habilidades clave: Network scanning, service enumeration, exploit execution, privilege escalation (Linux/Windows), Active Directory attacks, lateral movement, pivoting, tunneling.

Herramientas principales: Nmap, Metasploit, CrackMapExec/NetExec, BloodHound, Impacket, Responder, Chisel.

Mercado: Muy fuerte en consultoras de pentesting y departamentos de seguridad de grandes empresas. Es la base para roles de red team.

Seguridad Móvil

Qué implica: Evaluar la seguridad de aplicaciones móviles (iOS y Android): análisis de tráfico, reverse engineering, bypass de controles de seguridad, testing de APIs backend.

Habilidades clave: Dynamic analysis (intercepting traffic), static analysis (decompiling APK/IPA), Frida/Objection (runtime manipulation), certificate pinning bypass, JWT/OAuth attacks en móvil, storage security, jailbreak/root detection bypass.

Herramientas principales: Frida, Objection, MobSF, Burp Suite (con configuración de proxy para móvil), jadx, Hopper.

Mercado: Creciente. Cada empresa con app móvil necesita testing. Hay relativamente pocos especialistas, lo que significa menos competencia y buenos salarios.

Seguridad Cloud (AWS/Azure/GCP)

Qué implica: Evaluar la seguridad de infraestructuras y servicios en la nube: configuración de IAM, buckets/storage, servidores, servicios managed, serverless, containers.

Habilidades clave: Cloud IAM misconfiguration, privilege escalation en cloud, serverless exploitation, container escape (Docker, Kubernetes), metadata service attacks (SSRF to credentials), cloud enumeration, infrastructure-as-code auditing.

Herramientas principales: Pacu (AWS exploitation), ScoutSuite, Prowler, CloudMapper, Stormcloud, AzureHound (Azure), enumerate-iam.

Mercado: En explosión. La migración a cloud no para y la demanda de especialistas en cloud security supera la oferta. Es una de las especializations con mejor proyección salarial.

Red Teaming / Adversary Simulation

Qué implica: Simular ataques de actores amenaza reales contra una organización, evitando detección por parte de los equipos de defensa (SOC, EDR, SIEM). Es pentesting elevado a la máxima potencia.

Habilidades clave: OPSEC, C2 frameworks, evasion techniques, custom malware development, social engineering, physical security testing, Active Directory attacks avanzadas, credential theft, persistence mechanisms, living-off-the-land techniques.

Herramientas principales: Cobalt Strike, Sliver, Havoc, Mythic, custom tooling, Golang/Rust/C# para desarrollo de herramientas propias.

Mercado: Roles mejor pagados dentro de la seguridad ofensiva. Requiere experiencia sólida en pentesting general antes de especializarse. Empresas grandes y consultoras de alto nivel contratan red teams internos.

Seguridad IoT y OT (Industrial)

Qué implica: Evaluar la seguridad de dispositivos IoT (cámaras, routers, dispositivos médicos) y sistemas de control industrial (SCADA, ICS, PLCs).

Habilidades clave: Firmware analysis, hardware hacking (UART, JTAG, SPI), protocol analysis (Modbus, BACnet, DNP3), IoT protocol exploitation, radio frequency analysis.

Herramientas principales: Firmwalker, Binwalk, Ghidra, Logic Analyzer, Bus Pirate, HackRF, SDR.

Mercado: Nicho pero muy bien pagado. La escasez de profesionales en IoT/OT security es enorme. Industrias como energía, manufactura y salud necesitan urgentemente este perfil.

Ingeniería Social

Qué implica: Evaluar la resistencia de los empleados de una organización a ataques de ingeniería social: phishing, vishing (phishing por teléfono), pretexting, intrusión física.

Habilidades clave: Phishing campaign design, email spoofing, credential harvesting, pretext development, vishing techniques, physical reconnaissance.

Herramientas principales: GoPhish, Evilginx2, SET, King Phisher.

Mercado: Muchas consultoras de pentesting ofrecen servicios de phishing como complemento. También hay roles dedicados en grandes empresas. Requiere habilidades blandas (comunicación, persuasión) que no todos los hackers técnicos tienen.

Errores Comunes de Principiantes

Aprender de los errores de otros es más rápido (y menos doloroso) que cometer los propios. Estos son los errores más frecuentes que veo en principiantes de hacking ético:

1. Intentar Aprender Todo a la Vez

El síndrome del "shiny object" es real. Hay demasiadas herramientas, demasiadas certificaciones, demasiadas especializaciones. Si intentas aprender Nmap, Burp Suite, Metasploit, Active Directory, cloud security y mobile security simultáneamente, no aprenderás nada a fondo. Enfócate: dominar una cosa a la vez antes de pasar a la siguiente.

2. Saltar Directamente al Hacking sin Fundamentos

Quieres usar Metasploit pero no sabes qué es un socket. Quieres explotar SQL injection pero no sabes escribir una query SQL. Los fundamentos (redes, Linux, Windows, programación) no son opcionales —son la base sobre la que se construye todo lo demás. Invertir 2-3 meses en fundamentos te ahorra 6-12 meses de frustración después.

3. Depender Exclusivamente de Herramientas

Ejecutar nmap -sV -sC target.com no te hace hacker. Entender qué hace cada flag, por qué funciona el scan, y qué significan los resultados es lo que te hace profesional. Las herramientas automatizan tareas, pero tu criterio técnico es lo que importa. Si solo sabes ejecutar herramientas sin entender lo que hacen, estás operando como un script kiddie, no como un profesional.

4. No Practicar en Entornos Legales

Hackear sistemas sin autorización es ilegal, punto. No hay atajos. Si quieres practicar, usa HackTheBox, TryHackMe, VulnHub, tu propio laboratorio, o bug bounty programs autorizados. La tentación de "probar" en un sitio real es peligrosa —legal y éticamente.

5. No Documentar Nada

Si resuelves una máquina en HackTheBox y no documentas los pasos, en 3 meses no te acordarás de cómo lo hiciste. Crea writeups, toma notas, guarda comandos que funcionan. Tu documentación futura será tu cheat sheet más valiosa y, si la publicas, tu portfolio profesional.

6. Subestimar el Poder del Networking

La ciberseguridad es una comunidad pequeña. Las oportunidades laborales, la información sobre vulnerabilidades, los consejos de carrera y las colaboraciones llegan a través de personas, no de certificados. Participa en comunidades (Discord, Twitter/X, foros locales), asiste a congresos (incluso virtualmente), y contribuye a la comunidad.

7. Esperar Resultados Rápidos

El hacking ético no se aprende en 3 meses. La expectativa de que vas a ganar $100K al año en 6 meses es irreal y contraproducente. Este es un camino de 2-5 años para alcanzar un nivel senior. Disfruta el proceso, celebra los pequeños logros (primera máquina en HTB, primera certificación, primer bug bounty report, primer empleo), y sé paciente.

8. No Saber Inglés

La mayoría de la documentación técnica, herramientas, conferencias, writeups y comunidades están en inglés. Un nivel B2-C1 es prácticamente obligatorio para avanzar en esta carrera. Si tu inglés no es suficiente, invierte tiempo en mejorarlo —es tan importante como cualquier herramienta técnica.

9. Comprar Certificaciones sin Estar Listo

El OSCP cuesta ~$1.600 USD. Si lo compras sin tener experiencia práctica, lo más probable es que lo pierdas. No compres certificaciones para "aprender" —aprende primero, y luego certifícame para validar lo que ya sabes. Las certificaciones son el sello, no el libro.

10. Copiar Writeups sin Entenderlos

Leer un walkthrough de otra persona no te enseña a hackear. Te enseña a resolver esa máquina específica. Si necesitas un walkthrough, léelo después de intentar resolver la máquina por tu cuenta, y asegúrate de entender cada paso. ¿Por qué funcionó ese exploit? ¿Qué vulnerabilidad se explotó? ¿Cómo se podría haber prevenido?

Conclusión

El hacking ético es una carrera exigente pero extraordinariamente gratificante. La demanda de profesionales ofensivos sigue creciendo, los salarios son competitivos (y mucho más altos cuando trabajas remoto para empresas internacionales), y la comunidad es una de las más activas y acogedoras del sector tecnológico.

Pero no es un camino fácil ni rápido. Necesitas fundamentos sólidos, práctica constante, una mentalidad de aprendizaje continuo y paciencia. No hay atajos. Las certificaciones ayudan, pero no reemplazan la experiencia. Las herramientas facilitan el trabajo, pero no sustituyen el conocimiento técnico.

Si estás empezando hoy, tu mejor inversión es tiempo: tiempo en fundamentos, tiempo en práctica, tiempo en la comunidad. El salario y los roles que ambicionas llegarán, pero primero tienes que construir la base.

El talent gap es real. Las organizaciones necesitan profesionales como tú. El camino empieza con el primer paso: instala Linux, abre TryHackMe, y empieza a aprender.

Artículos Relacionados

Si este artículo te ha sido útil, te recomendamos leer también:

Aviso legal: Este contenido es estrictamente educativo. CyberFlows no apoya actividades ilegales. Úsalo solo en entornos autorizados.

[Espacio publicitario — AdSense]

Newsletter de Ciberseguridad

Resumen semanal con los mejores artículos, CVEs críticos y tendencias del mercado. Sin spam.

🔒 Tu email no se compartirá. Puedes darte de baja en cualquier momento.