Introducción
El hacking ético se ha consolidado como una de las carreras más demandadas y mejor remuneradas del sector tecnológico en 2026. Según el ISC2 Cybersecurity Workforce Study 2025, la brecha de talento en ciberseguridad alcanza los 4,8 millones de puestos vacíos a nivel mundial, y la demanda de profesionales ofensivos —pentesters, red teamers y analistas de amenazas— crece a un ritmo superior al del resto del sector.
¿Por qué ocurre esto? Porque cada organización que maneja datos sensibles necesita alguien que piense como un atacante para protegerse antes de que lo haga un adversario real. Bancos, hospitales, empresas de telecomunicaciones, gobierno, startups SaaS, proveedores cloud… todos necesitan evaluaciones de seguridad ofensiva regulares. Y los presupuestos de ciberseguridad no paran de crecer: Gartner estima que el gasto global en seguridad superará los 215.000 millones de dólares en 2026, una subida del 14% respecto a 2025.
Si estás pensando en dedicarte al hacking ético, este artículo es tu mapa completo. Vamos a cubrir salarios reales por país y experiencia, certificaciones con su coste y validez, una hoja de ruta desde cero sin experiencia previa, las herramientas que necesitas dominar, las especializaciones del mercado y los errores más comunes que cometen los principiantes. Sin humo, sin promesas vacías: datos, contenido técnico y opiniones honestas basadas en el mercado laboral actual.
¿Qué es el Hacking Ético?
El hacking ético, también llamado prueba de penetración (penetration testing) o evaluación de seguridad ofensiva, es la práctica de atacar sistemas informáticos, redes y aplicaciones con autorización explícita del propietario con el objetivo de identificar vulnerabilidades antes de que los actores maliciosos las exploten.
Marco Legal y Autorización
La distinción clave entre hacking ético e ilegal es la autorización. Un hacker ético opera bajo un contrato oscope de prueba que define:
- Alcance: qué sistemas, IPs, dominios y rangos de red pueden ser atacados.
- Métodos permitidos: qué técnicas están autorizadas (injection, social engineering, DoS parcial, etc.).
- Período de ejecución: fechas y horarios de la prueba.
- Reglas de engagement: qué hacer si se encuentra datos personales, acceso a sistemas de producción críticos, o si se descubre una vulnerabilidad de día cero (0-day).
Sin esta autorización por escrito, las mismas técnicas que usa un hacker ético serían delito bajo las leyes de ciberseguridad de prácticamente cualquier país:
- Estados Unidos: Computer Fraud and Abuse Act (CFAA). Acceso no autorizado a sistemas informáticos es un delito federal con penas de hasta 20 años de prisión.
- España: Artículo 197 bis del Código Penal y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPD). El acceso no autorizado a sistemas informáticos conlleva penas de 1 a 4 años de prisión.
- México: Ley Federal contra la Delincuencia Organizada y el Código Penal Federal, con reformas que castigan el acceso ilícito a sistemas con penas de hasta 6 años.
- Colombia: Ley 1273 de 2009 (Ley de Delitos Informáticos), que sanciona el acceso no autorizado con prisión de 3 a 8 años.
- Argentina: Ley 26.388 de Delitos Informáticos, con penas que pueden alcanzar los 8 años para acceso fraudulento a sistemas.
Diferencias entre Black-Hat, Grey-Hat y White-Hat
| Tipo | Autorización | Legalidad | Objetivo |
|---|---|---|---|
| White-hat (Ético) | Autorización explícita por escrito | Legal | Mejorar la seguridad del sistema |
| Grey-hat | Sin autorización formal, pero sin intención maliciosa | Generalmente ilegal | Encontrar vulnerabilidades por curiosidad o exposición |
| Black-hat | Sin autorización alguna | Ilegal | Beneficio propio, daño, robo de datos |
Un hacker ético (white-hat) es, por definición, un profesional contratado para simular ataques reales dentro de un marco legal. El término "hacker" en su origen no tenía connotación negativa —se refería a alguien con habilidades técnicas excepcionales para entender y manipular sistemas—, pero la cultura popular lo asoció con la delincuencia informática. El hacking ético recuperó el sentido original del término.
¿Qué hace un Pentester en el día a día?
Un profesional de hacking ético no pasa todo el día "hackeando". Su rutina incluye:
- Reconocimiento pasivo: recopilar información sobre el objetivo sin interactuar directamente con sus sistemas (OSINT, DNS, redes sociales).
- Reconocimiento activo: escaneo de puertos, fingerprinting de servicios, enumeración de subdominios.
- Explotación: intentar vulnerabilidades identificadas para obtener acceso no autorizado dentro del alcance definido.
- Post-explotación: una vez dentro, escalar privilegios, moverse lateralmente, demostrar el impacto real.
- Documentación: redactar un informe técnico detallado con hallazgos, evidencias, risk rating (CVSS) y recomendaciones de remediación.
- Presentación: comunicar los resultados a stakeholders técnicos y no técnicos.
Salario de un Hacker Ético
El salario es, probablemente, lo que más preguntas genera. Vamos a ser específicos con datos del mercado 2025-2026. Ten en cuenta que estos rangos pueden variar según fuente, pero reflejan las medianas observadas en ofertas de empleo, encuestas salariales y conversaciones reales con profesionales del sector.
España
España tiene un mercado de ciberseguridad ofensiva en crecimiento, especialmente en Madrid, Barcelona, Valencia y Bilbao. Las consultoras (Deloitte, PwC, Accenture, Telefónica Cyber, S2 Grupo, Pueo) y bancos (Santander, BBVA, CaixaBank) son los principales empleadores.
| Nivel | Experiencia | Salario Anual (Bruto) |
|---|---|---|
| Junior | 0-2 años | €25.000 - €35.000 |
| Mid | 2-4 años | €35.000 - €50.000 |
| Senior | 4-7 años | €50.000 - €70.000 |
| Lead / Consultant | 7+ años | €70.000 - €90.000+ |
| Manager / Director | 10+ años | €90.000 - €120.000+ |
Notas sobre España:
- Los rangos junior incluyen roles de SOC Analyst L2/L3 que migran hacia pentesting.
- Las empresas de producto (fintechs, startups) suelen pagar 10-15% más que las consultoras.
- El teletrabajo para empresas del extranjero está elevando los salarios, especialmente para perfiles con OSCP o experiencia en red teaming.
- Madrid paga un 10-20% más que el resto de España por el coste de vida y la concentración de sedes corporativas.
Latinoamérica
Latinoamérica tiene una comunidad de ciberseguridad muy activa, pero los salarios locales son significativamente menores que en Europa o EE.UU. Aquí es donde el trabajo remoto para empresas internacionales marca la diferencia.
México (salarios locales en USD equivalentes):
| Nivel | Salario Anual (USD) |
|---|---|
| Junior | $12.000 - $20.000 |
| Mid | $20.000 - $35.000 |
| Senior | $35.000 - $55.000 |
| Lead | $55.000 - $75.000 |
Colombia:
| Nivel | Salario Anual (USD) |
|---|---|
| Junior | $10.000 - $18.000 |
| Mid | $18.000 - $30.000 |
| Senior | $30.000 - $50.000 |
| Lead | $50.000 - $70.000 |
Argentina:
| Nivel | Salario Anual (USD) |
|---|---|
| Junior | $8.000 - $15.000 |
| Mid | $15.000 - $28.000 |
| Senior | $28.000 - $48.000 |
| Lead | $48.000 - $65.000 |
Nota importante: Estos salarios reflejan empleo local. Muchos profesionales latinoamericanos trabajan remotamente para empresas de EE.UU., Canadá o Europa, lo que multiplica significativamente estos rangos.
Trabajo Remoto para Empresas Internacionales
Esta es la categoría que más ha crecido desde 2020 y sigue en ascenso en 2026. Empresas de EE.UU., Canadá, Reino Unido y Europa contratan talento de Latinoamérica y España para roles remotos, ofreciendo salarios que se acercan (aunque no igualan) a los de mercado local.
| Nivel | Salario Anual (USD) |
|---|---|
| Junior | $50.000 - $80.000 |
| Mid | $80.000 - $110.000 |
| Senior | $110.000 - $150.000 |
| Lead / Principal | $150.000 - $180.000+ |
Para acceder a estos roles necesitas: inglés fluido (B2-C1 mínimo), experiencia demostrable (CTFs, bug bounties, portfolios), certificaciones reconocidas internacionalmente (OSCP, PNPT) y, preferiblemente, 2+ años de experiencia previa.
Comparativa con Roles Relacionados
| Rol | Salario Medio (España) | Salario Medio (Remoto US) |
|---|---|---|
| SOC Analyst L1 | €22.000 - €30.000 | $55.000 - $70.000 |
| SOC Analyst L2/L3 | €30.000 - €42.000 | $70.000 - $90.000 |
| Security Engineer | €40.000 - €60.000 | $100.000 - $130.000 |
| Penetration Tester | €35.000 - €70.000 | $90.000 - $140.000 |
| Red Team Operator | €55.000 - €85.000 | $120.000 - $160.000 |
| Security Consultant | €45.000 - €80.000 | $100.000 - $150.000 |
| CISO | €80.000 - €130.000 | $150.000 - $250.000+ |
Factores que Influyen en el Salario
No todos los pentesters ganan lo mismo. Estos factores impactan directamente tu compensation:
- Certificaciones: Un profesional con OSCP puede ganar €5K-10K más que uno sin certificación. Un GXPN o OSCE puede suponer un diferencial aún mayor.
- Especialización: El red teaming y la seguridad cloud pagan más que el pentesting web generalista. La seguridad de IoT/OT está pagando prima por la escasez de talento.
- Ubicación: Madrid vs. una ciudad pequeña en España puede suponer un 20% de diferencia. Trabajar remoto para EE.UU. desde Latinoamérica es la jugada más rentable.
- Tamaño y tipo de empresa: Big 4 y bancos pagan bien pero exigen mucho. Empresas de producto tech suelen ofrecer mejor equilibrio. Consultoras especializadas en seguridad (NCC Group, Trail of Bits, Pentestlab) pagan salarios competitivos.
- Idiomas: Inglés fluido es prácticamente obligatorio. Alemán o francés pueden abrir puertas en Europa central.
- Publicaciones y reputación: Un blog técnico, contribuciones a herramientas open source, charlas en congresos o artículos en revistas especializadas aumentan tu valor percibido.
- Experiencia en bug bounties: Un historial de hallazgos críticos en HackerOne o Bugcrowd puede compensar la falta de experiencia corporativa formal.
Certificaciones que Necesitas
Las certificaciones son un tema polémico en la comunidad de ciberseguridad. Algunos las consideran esenciales para acceder al mercado laboral; otros las ven como un exercise de memorización que no demuestra habilidad real. La verdad está en el medio: dependiendo de tu nivel y objetivos, algunas certificaciones son extremadamente valiosas y otras son un desperdicio de dinero.
Nivel de Entrada
CompTIA Security+
- Qué cubre: Fundamentos de ciberseguridad, conceptos de red seguros, criptografía básica, gestión de riesgos, seguridad de identidad, operaciones de seguridad, programación de respuesta a incidentes.
- Exámenes: SY0-701. 90 preguntas (multiple choice y performance-based). 90 minutos. Puntuación mínima: 750/900.
- Coste: ~$404 USD (examen).
- Validez: 3 años (renovable con CEU).
- ¿Para quién?: Profesionales que buscan entrar al sector de ciberseguridad en general. No es una certificación de hacking ético per se, pero es el mínimo exigido en muchos anuncios de trabajo para roles de entrada (SOC analyst, junior security analyst). Muchos departamentos de defensa y agencias gubernamentales la requieren.
- Honest opinion: Es una buena base si vienes de cero y necesitas validar conocimientos generales. No te va a enseñar a hackear, pero sí a entender el vocabulario y los conceptos que se manejan en el sector.
CEH — Certified Ethical Hacker (EC-Council)
- Qué cubre: Reconocimiento, redes, enumeración, hacking de sistemas, malwares, hacking web, criptografía, vulnerabilidades, evasión, hacking de redes sociales, IoT, cloud,Operaciones de seguridad.
- Exámenes: 125 preguntas de opción múltiple. 4 horas. Puntuación mínima: 60%-85% (varía). Práctica opcional: EC-Council Certified Ethical Hacker Practical (CEH Practical) — 6 horas en entorno virtual.
- Coste: ~$1.199 USD (examen + training oficial). Si solo compras el examen: ~$550 USD. Entrenamiento oficial: ~$850 USD.
- Validez: 3 años (renovable con ECE credits).
- ¿Para quién?: Es la certificación más reconocida por Recursos Humanos y departamentos de RRHH. Muchos empleadores la listan como "deseable" o "requerida" en ofertas de trabajo, especialmente en consultoras y grandes empresas.
- Honest opinion: El CEH es controvertido en la comunidad técnica. El material del curso es bastante superficial y el examen teórico no demuestra habilidades prácticas. Muchos profesionales lo llaman "paper cert". Sin embargo, su reconocimiento de marca es innegable: si estás buscando tu primer trabajo, tener CEH en el CV puede ser la diferencia entre ser filtrado o no por reclutadores no técnicos. Recomendación: si tu empresa lo paga, cógelo. Si lo pagas de tu bolsillo y solo puedes elegir una, invierte en OSCP o PNPT en su lugar.
Nivel Intermedio
eJPT — eLearnSecurity Junior Penetration Tester (INE)
- Qué cubre: Fundamentos de redes, hacking web básico, reconocimiento, escaneo de vulnerabilidades, explotación básica, post-explotación. Todo enfocado en entornos prácticos.
- Exámenes: Examen práctico en laboratorio virtual. 3 días de acceso. 16 horas de examen real (tiempo de prueba). 22/38 puntos para aprobar.
- Coste: ~$249 USD (incluye examen y curso de preparación iLearn).
- Validez: 3 años.
- ¿Para quién?: Profesionales que quieren su primera certificación práctica y reconocida. Ideal después de CompTIA Security+ o como primera certificación si ya tienes bases técnicas.
- Honest opinion: Excelente opción para principiantes. Es 100% práctica, el examen es realista y el coste es razonable. No tiene el reconocimiento de marca del CEH ni del OSCP, pero demuestra habilidad real. Muy recomendada como primer paso antes de OSCP.
PNPT — Practical Network Penetration Tester (TCM Security)
- Qué cubre: Pentesting de red completo: reconocimiento externo, escaneo, explotación, post-explotación, movimiento lateral, pivoting, Active Directory attacks, informes profesionales.
- Exámenes: Examen práctico de 5 días. Tienes 5 días para comprometer una red empresarial y entregar un informe profesional. Además, hay una evaluación de 2 horas donde debes presentar tus hallazgos a un examinador (simulando un deliverable real al cliente).
- Coste: ~$399 USD (curso + examen). El curso de preparación (Practical Ethical Hacking) está disponible por ~$30 USD en su web oficial.
- Validez: No expira.
- ¿Para quién?: Cualquier persona que quiera una certificación práctica, realista y accesible. Especialmente recomendada para quienes quieren trabajar en pentesting pero no están listos para el OSCP.
- Honest opinion: Probablemente la mejor relación calidad-precio del mercado. El examen es extremadamente realista (red empresarial con Active Directory, múltiples máquinas, pivoting), la evaluación oral añade un componente que simula el mundo real, y el precio es casi ridículo comparado con alternativas. La comunidad de TCM Security es enorme y el contenido de preparación es sólido. Alta recomendación.
Nivel Avanzado
OSCP — Offensive Security Certified Professional
- Qué cubre: Técnicas ofensivas avanzadas: buffer overflows, web application attacks, privilege escalation en Linux y Windows,.Active Directory exploitation, pivoting, port forwarding, writing custom exploits. Todo basado en la filosofía "try harder".
- Exámenes: PEN-200 (curso de preparación). Examen práctico de 23 horas y 45 minutos. 3 máquinas principales + 1 máquina bonus. Necesitas 70/100 puntos para aprobar. Máquinas con diferentes niveles de dificultad, incluyendo Active Directory (que vale más puntos). Debes enviar un informe completo al día siguiente.
- Coste: ~$1.599 USD (curso PEN-200 + examen, con 30 días de acceso a la plataforma). Renewal labs: ~$249 USD por 30 días adicionales.
- Validez: 3 años (renovable con OSCP+ examen, o acumulando 80+ puntos en el examen original para obtener renovación).
- ¿Para quién?: Profesionales que quieren una certificación de pentesting con reconocimiento mundial. Es el estándar de facto para roles de pentesting y red teaming.
- Honest opinion: El OSCP sigue siendo la certificación de hacking ético más respetada en la industria. No es la más práctica (el formato ha cambiado, pero sigue siendo más un examen de perseverancia que de habilidad pura), pero su dificultad y el rigor de OffSec le dan un peso que pocas certificaciones igualan. Si puedes permitirte el coste y tienes la preparación necesaria, es una inversión que se paga sola. Consejo: no intentes el OSCP sin tener al menos 6-12 meses de experiencia práctica o después de aprobar PNPT/eJPT. Mucha gente falla porque lo intenta demasiado pronto.
OSCE3 — Offensive Security Certified Expert 3
- Qué cubre: Técnicas ofensivas avanzadas y especializadas: evasión de defensas (EDR bypass,AV evasion), exploit development, web app exploitation avanzada, Active Directory attacks de nivel experto, OSINT avanzado, social engineering techniques.
- Exámenes: Cuatro exámenes separados — OSEP (Evasion and Privilege Escalation), OSED (Exploit Development), OSWE (Web Expert), OSEP → combinados como OSCE3. Cada examen es práctico y dura 48-72 horas.
- Coste: Variable. Cada curso + examen cuesta ~$1.599 USD. El bundle OSCE3 puede suponer ~$5.000-6.000 USD en total.
- Validez: No expira (pero cada certificación individual tiene su propio ciclo).
- ¿Para quién?: Profesionales senior que quieren diferenciarse y especializarse. Roles de red team operator, exploit developer, o security researcher.
- Honest opinion: Extremadamente exigente y prestigioso. Poca gente lo tiene, lo que te diferencia enormemente. El OSED (exploit development) en particular es un game-changer para tu CV. Solo vale la pena si ya tienes OSCP y quieres especializarte.
CREST CRT — Certified Red Teamer
- Qué cubre: Pentesting y red teaming con un marco metodológico riguroso. Alineado con los estándares de CREST (Council for Registered Ethical Security Testers), reconocido internacionalmente.
- Exámenes: Examen práctico de 24 horas en un entorno simulado. Cubre reconocimiento, explotación, post-explotación, movimiento lateral y reporting.
- Coste: ~£2.500-3.000 GBP (examen + candidatura).
- Validez: 3 años.
- ¿Para quién?: Profesionales que trabajan o quieren trabajar en Reino Unido, Europa o con empresas que requieren certificaciones CREST. Es el equivalente europeo al OSCP para roles de red team.
- Honest opinion: En Europa, especialmente en UK, CREST tiene un reconocimiento enorme. Si tu objetivo es trabajar en consultoras de pentesting europeas o con clientes gubernamentales, CREST es muy valorado. Menos conocido en EE.UU. que el OSCP.
Certificaciones Especializadas
GXPN — GIAC Exploit Researcher and Advanced Penetration Tester
- Qué cubre: Exploit research, vulnerability analysis avanzada, desarrollo de exploits, técnicas ofensivas de nivel avanzado, evasion techniques, analysis of custom protocols.
- Exámenes: Examen de 3-4 horas. 75-150 preguntas. Certificación GIAC conocida por su rigor.
- Coste: ~$2.499 USD (examen). El curso de preparación (SEC760 o SEC560) cuesta entre $7.000-8.000 USD.
- Validez: 4 años (renovable con CPME/CPD).
- ¿Para quién?: Investigadores de vulnerabilidades, exploit developers, y profesionales que buscan roles de seguridad ofensiva de élite.
- Honest opinion: La certificación más cara del mercado, pero también una de las más prestigiosas en el ámbito del exploit development. Solo la recomiendo si tu empresa la paga o si estás en un camino de investigación de vulnerabilidades serio.
CRTO — Certified Red Team Operator (Zero-Point Security)
- Qué cubre: Red teaming real: C2 frameworks (Sliver, Cobalt Strike), evasion techniques, Active Directory attacks avanzadas, credential harvesting, lateral movement, persistence techniques, OPSEC.
- Exámenes: 48 horas de acceso a un entorno de red empresarial. Debes comprometer el dominio y entregar un informe.
- Coste: ~£399 GBP (curso RTO + examen).
- Validez: No expira.
- ¿Para quién?: Profesionales que quieren pasar de pentesting a red teaming.
- Honest opinion: Excelente opción y muy accesible en precio. El curso es directo y práctico, y el examen refleja escenarios reales de red team. Junto con PNPT, es una de las mejores inversiones en certificaciones prácticas.
¿Cuál Elegir? Tabla Resumen
| Certificación | Nivel | Coste (USD) | Práctica | Reconocimiento | Recomendación |
|---|---|---|---|---|---|
| CompTIA Security+ | Entry | $404 | No | Alto (corporativo) | Buen inicio general |
| CEH | Entry | $550-$1.199 | No/Opcional | Muy Alto (RRHH) | Solo si la empresa paga |
| eJPT | Intermediate | $249 | Sí | Medio | Muy recomendada |
| PNPT | Intermediate | $399 | Sí | Medio-Alto | Altamente recomendada |
| OSCP | Advanced | $1.599 | Sí | Muy Alto | Esencial para pentesting |
| OSCE3 | Expert | $5.000+ | Sí | Muy Alto | Para especialización |
| CRTO | Advanced | ~$500 | Sí | Alto | Excelente para red team |
| GXPN | Expert | $2.499+ | Sí | Muy Alto | Para investigación |
Hoja de Ruta: Cómo Empezar desde Cero
Si estás empezando desde cero sin experiencia previa en ciberseguridad, esta es la hoja de ruta más realista y eficiente que puedo recomendarte. No es la única forma válida, pero es la que mejor balancea aprendizaje, certificaciones y empleabilidad.
Paso 1: Fundamentos (Meses 1-3)
Antes de intentar hackear nada, necesitas entender cómo funciona lo que vas a atacar. No puedes vulnerar un sistema si no entiendes redes, sistemas operativos o programación a nivel básico.
Redes (indispensable):
- Modelo OSI y TCP/IP
- IPv4, subnetting, CIDR
- DNS, DHCP, HTTP/HTTPS, SSH, FTP, SMB
- Firewalls, proxies, NAT
- Recursos: Curso "Networking Fundamentals" en TryHackMe, "Computer Networking" de Kurose & Ross (libro), Cisco Packet Tracer (gratis).
Linux (indispensable):
- Instalación y uso de distribuciones (Kali, Parrot, Ubuntu)
- Navegación por terminal:
cd,ls,cat,grep,find,chmod,chown - Permisos de archivos, usuarios y grupos
- Gestión de procesos, servicios, cron jobs
- Básico de bash scripting
- Recursos: "Linux Fundamentals" en TryHackMe (3 partes), "Linux Upskill Challenge" (gratis en GitHub), "The Linux Command Line" de William Shotts (gratis online).
Windows (muy importante):
- Active Directory: qué es, cómo funciona (DC, GPO, Kerberos, LDAP)
- PowerShell básico
- Windows Registry, servicios, permisos NTFS
- Recursos: "Windows Fundamentals" en TryHackMe, "Active Directory" en TryHackMe (serias 1-3).
Programación (básico al principio):
- Python: para scripting, automatización, writing exploits básicos. "Automate the Boring Stuff with Programming" (gratis online).
- Bash: para scripting en Linux.
- SQL: para entender inyecciones SQL. Basics de consultas SELECT, JOIN, UNION, subqueries.
- No necesitas ser desarrollador, pero sí poder leer y entender código, y escribir scripts sencillos.
Paso 2: Laboratorios y Práctica (Meses 2-6, paralelo al Paso 1)
La teoría sin práctica es inútil en hacking ético. Necesitas manos en teclado desde el primer mes.
Plataformas de práctica:
- TryHackMe: La mejor para principiantes. Path recomendado: "Pre-Security" → "Complete Beginner" → "Jr Penetration Tester" → "Offensive Pentesting". Tiene laboratorios guiados, explicaciones paso a paso y un navegador web. Desde ~$14/mes (subscripción premium).
- HackTheBox: Más avanzado, pero tiene un path "Starting Point" y máquinas fáciles etiquetadas. Las máquinas Pro Labs (Dante, Offshore) son excelentes para practicar pentesting real. Desde ~$14/mes.
- PicoCTF: CTF para principiantes. Competiciones anuales y práctica libre. Gratis.
- VulnHub: Máquinas virtuales descargables para tu laboratorio local. Gratis.
- PortSwigger Web Security Academy: El mejor recurso gratuito para aprender hacking web. Laboratorios interactivos de vulnerabilidades OWASP Top 10. Gratis.
Metodología de práctica:
- Resuelve máquinas sin walkthrough primero.
- Si te atasca más de 2 horas, busca una pista (no la solución completa).
- Documenta todo: cada paso, cada hallazgo, cada comando. Crea tu propio "cheat sheet".
- Intenta explicar por qué funciona cada técnica, no solo cómo ejecutarla.
Paso 3: Primera Certificación (Meses 4-9)
Con 3-4 meses de fundamentos y práctica, estás listo para tu primera certificación práctica.
Recomendación: eJPT o PNPT (no CEH como primera certificación).
- eJPT si quieres algo más fácil y barato para ganar confianza.
- PNPT si quieres un reto más serio que te deje preparado para el mercado laboral.
Ambas son prácticas, asequibles y te enseñan habilidades reales. El CEH como primera certificación no te va a enseñar a pentestear de forma práctica, y su examen teórico no demuestra nada en una entrevista técnica.
Timeline: Dedica 2-3 meses de preparación intensiva. Haz todas las máquinas del curso de preparación y complementa con práctica en HackTheBox/TryHackMe.
Paso 4: Construir un Laboratorio Casero (Meses 3-6, paralelo)
Un laboratorio casero es donde experimentas sin restricciones. Necesitas:
- Hardware: Un portátil o PC con al menos 16GB RAM y 256GB SSD libre. Virtualización con VirtualBox o VMware Workstation.
- Máquinas virtuales:
- Kali Linux o Parrot OS (attacker)
- Metasploitable 2/3 (vulnerable target)
- Windows 10/11 (target)
- Windows Server 2019/2022 con Active Directory (target)
- DVWA, Juice Shop, WebGoat (web vulnerable apps)
- Red virtual: Configura una red NAT o bridged para que las VMs puedan comunicarse.
- Documentación: Usa Obsidian, Notion o un Wiki local para documentar tu laboratorio, vulnerabilidades que practicas, y soluciones.
Paso 5: Bug Bounties (Meses 6-12)
Los bug bounties son la forma más directa de ganar experiencia real y dinero mientras aprendes.
Plataformas:
- HackerOne: Programas de empresas como Apple, General Motors, Nintendo, Dropbox, etc.
- Bugcrowd: Similar a HackerOne, con programas público y privados.
- Intigriti: Plataforma europea creciente.
- YesWeHack: Plataforma europea con buenos pagos.
Estrategia para principiantes:
- Empieza con programas público con bounty (recompensa monetaria).
- Enfócate en 1-2 programas pequeños o medianos en lugar de 50 a la vez.
- Lee hallazgos anteriores (writeups) del programa para entender qué ya se ha encontrado.
- Prioriza: authentication bypass, IDOR, privilege escalation, SSRF, subdomain takeover.
- No te desanimes por los duplicates (hallazgos duplicados) —son parte normal del proceso.
Ingresos realistas: Un principiante puede ganar $500-$5.000 al año en bug bounties. Un intermediate: $5.000-$30.000. Un experto con programas privados: $30.000-$200.000+. Los bug bounties no reemplazan un salario estable al principio, pero son un complemento excelente y una forma de construir reputación.
Paso 6: Primer Empleo (Meses 9-18)
La progresión típica es:
- SOC Analyst L1 (entry point, 0-12 meses): Monitoreo de alertas, análisis de eventos de seguridad, triage de incidentes. Salario menor pero acceso al sector.
- SOC Analyst L2/L3 (12-24 meses): Investigación profunda de incidentes, hunting de amenazas, análisis de malware. Te acercas al mundo ofensivo.
- Junior Penetration Tester (12-24 meses): Primeros roles de pentesting en consultoras o equipos internos de seguridad.
- Penetration Tester (24-48 meses): Pentesting independiente, gestión de proyectos de evaluación.
- Senior / Red Team Operator (4+ años): Red teaming, adversary simulation, investigación de vulnerabilidades.
Consejos para el primer empleo:
- No descartes roles de SOC. Es el entry point más común para pasar a pentesting.
- Crea un blog técnico o portfolio en GitHub. Documenta máquinas resueltas (sin walkthroughs completos que ayuden a copiar), writeups de CTFs, proyectos personales.
- Participa en la comunidad: Discord servers de HTB/THM, Twitter/X de ciberseguridad, congresos locales (DEF CON groups, BSides).
- Haz networking: muchas ofertas de trabajo llegan por referidos en la comunidad, no por portales de empleo.
- Prepárate para entrevistas técnicas: esperan que puedas resolver máquinas en vivo, explicar el proceso de un pentest, y hablar de methodology.
Timeline Resumen
| Hito | Tiempo Estimado |
|---|---|
| Fundamentos de redes, Linux, Windows | 0-3 meses |
| Primera plataforma de práctica (THM/HTB) | Desde el mes 1 |
| Primera certificación (eJPT o PNPT) | 4-9 meses |
| Primer bug bounty report | 6-12 meses |
| OSCP | 12-24 meses |
| Primer empleo en ciberseguridad | 9-18 meses |
| Rol de pentester independiente | 18-36 meses |
| Senior / Red Team Operator | 3-5 años |
Herramientas que Todo Hacker Ético Debe Conocer
Las herramientas no hacen al hacker, pero dominar las correctas multiplica tu productividad. Aquí tienes una selección organizada por fase del pentesting.
Reconocimiento
| Herramienta | Descripción | Tipo |
|---|---|---|
| Nmap | El escáner de redes por defecto. Port scanning, service fingerprinting, NSE scripts, OS detection. Imprescindible. | Escaneo de red |
| Amass | Reconocimiento passivo y activo de subdominios. Integra con múltiples fuentes (APIs, certificate transparency logs). | Subdomain enum |
| Subfinder | Enumeración de subdominios passiva. Rápido y eficiente. | Subdomain enum |
| theHarvester | Recopilación de emails, subdominios, IPs y URLs de fuentes públicas. | OSINT |
| Recon-ng | Framework de reconocimiento modular. Funciona como Metasploit pero para OSINT. | Framework OSINT |
| Shodan | Motor de búsqueda de dispositivos conectados a internet. Cámaras, servidores, ICS/SCADA, etc. | IoT/Device search |
| Censys | Similar a Shodan pero con mayor enfoque en certificados SSL/TLS y hosts web. | Device search |
Ataque a Aplicaciones Web
| Herramienta | Descripción | Tipo |
|---|---|---|
| Burp Suite | La herramienta proxy estándar para testing web. Intercepta tráfico, fuzzying, scanner de vulnerabilidades, repeater, intruder. Community es gratuita; Pro cuesta ~$449/año. | Proxy/Scanner |
| OWASP ZAP | Alternativa open source a Burp Suite. Proxy, scanner, fuzzing. Buena opción para empezar sin pagar. | Proxy/Scanner |
| SQLMap | Automatización de detección y explotación de inyecciones SQL. Soporta MySQL, PostgreSQL, Oracle, MSSQL, SQLite y más. | SQL injection |
| Nuclei | Scanner de vulnerabilidades basado en templates. Velocísimo para escanear grandes volúmenes de hosts. | Scanner |
| ffuf | Fuzzing rápido de directorios, parámetros y virtual hosts. | Directory fuzzing |
| nikto | Scanner web clásico. No tan preciso como Burp/ZAP, pero útil para ráfagas rápidas de información. | Scanner |
Explotación
| Herramienta | Descripción | Tipo |
|---|---|---|
| Metasploit Framework | El framework de explotación más conocido. Exploits, payloads, auxiliary modules, post-exploitation. Community gratis; Pro ~$1.500/año. | Framework |
| Cobalt Strike | Herramienta comercial de red teaming y C2 (Command & Control). El estándar de la industria para adversary simulation. ~$3.500/año por licencia. | C2 Framework |
| Sliver | Framework C2 open source y gratuito. Alternativa seria a Cobalt Strike con soporte de múltiples protocolos (mTLS, DNS, HTTP, HTTPS, WireGuard). | C2 Framework |
| Havoc | C2 framework open source moderno, con interfaz gráfica. Creciente en popularidad. | C2 Framework |
| ** searchsploit** | Buscador local de exploits de ExploitDB. Incluido en Kali Linux. | Exploit search |
| CrackMapExec / NetExec | Automatización de attacks en redes Windows/Active Directory. Pass-the-hash, pass-the-ticket, enumeration, command execution. | Network attack |
| Responder | Captura credenciales NTLMv2 en redes locales mediante LLMNR/NBT-NS poisoning. | Credential capture |
Post-Explotación
| Herramienta | Descripción | Tipo |
|---|---|---|
| BloodHound / SharpHound | Mapeo de Active Directory: identifica rutas de ataque desde usuarios comprometidos hasta Domain Admin. Esencial en entornos AD. | AD Analysis |
| Mimikatz | Extracción de credenciales desde memoria: NTLM hashes, Kerberos tickets, plaintext passwords. La herramienta más temida en entornos Windows. | Credential dump |
| Impacket | Colección de herramientas Python para protocolos de red: WMIExec, Psexec, SMBClient, Kerberoasting, AS-REP Roasting, etc. | Protocol toolkit |
| Rubeus | Framework C# para ataques Kerberos: Kerberoasting, AS-REP Roasting, delegation attacks, ticket manipulation. | Kerberos attacks |
| PowerView | Módulo de PowerShell para enumeración de Active Directory. | AD Enumeration |
| Chisel | Tunel TCP/UDP a través de HTTP. Ideal para pivotar desde dentro de una red a segmentos aislados. | Tunneling |
Wireless
| Herramienta | Descripción | Tipo |
|---|---|---|
| Aircrack-ng | Suite completa para auditing WiFi: captura de paquetes, cracking WEP/WPA2, deautenticación. | WiFi audit |
| Wifite2 | Automatización de ataques WiFi (WPA, WEP, WPS). Wrapper sobre aircrack-ng, reaver, bully. | WiFi attack |
| Bettercap | Swiss army knife de red: ARP spoofing, MITM, WiFi recon, packet manipulation. | MITM/Framework |
Ingeniería Social
| Herramienta | Descripción | Tipo |
|---|---|---|
| SET (Social Engineering Toolkit) | Framework de ingeniería social: spear phishing, credential harvester, website attacks. Incluido en Kali Linux. | Social engineering |
| Evilginx2 | Framework de phishing avanzado que evita MFA/2FA mediante reverse proxy. Captura tokens de sesión en tiempo real. | Phishing/MFA bypass |
| GoPhish | Plataforma de phishing para campañas de awareness y testing interno. Interfaz web intuitiva. | Phishing platform |
Nota sobre Cobalt Strike
Cobalt Strike merece una mención especial. Es una herramienta comercial diseñada para red teamers profesionales y consultores de seguridad. No es una herramienta de uso general para pentesters junior —su coste (~$3.500/año) y su curva de aprendizaje la sitúan en un nivel avanzado. Además, su uso no autorizado (cracked versions) es ilegal y las versiones pirata suelen contener backdoors. Si estás empezando, enfócate en Sliver o Havoc como alternativas C2 gratuitas y legítimas.
Especializaciones dentro del Hacking Ético
El hacking ético no es un campo monolítico. A medida que avanzas en tu carrera, necesitarás especializarte. Cada especialización tiene su propio conjunto de habilidades, herramientas y mercados laborales.
Pentesting de Aplicaciones Web
Qué implica: Evaluar la seguridad de aplicaciones web (SPAs, APIs REST/GraphQL, CMS, e-commerce). Es la especialización más demandada porque prácticamente todas las empresas tienen presencia web.
Habilidades clave: OWASP Top 10, testing de APIs (REST, SOAP, GraphQL), authentication/authorization bypass, injection attacks (SQL, NoSQL, LDAP, OS), SSRF, XSS (reflected, stored, DOM-based), CSRF, file upload vulnerabilities, business logic flaws.
Herramientas principales: Burp Suite Pro, SQLMap, ffuf, Nuclei, Postman.
Mercado: El más grande. Casi toda empresa con una aplicación web necesita evaluaciones. Muchas ofertas de pentesting junior se enfocan en web.
Pentesting de Red
Qué implica: Evaluar la seguridad de infraestructuras de red: servidores, firewalls, switches, Active Directory, servidores de correo, VPNs, etc.
Habilidades clave: Network scanning, service enumeration, exploit execution, privilege escalation (Linux/Windows), Active Directory attacks, lateral movement, pivoting, tunneling.
Herramientas principales: Nmap, Metasploit, CrackMapExec/NetExec, BloodHound, Impacket, Responder, Chisel.
Mercado: Muy fuerte en consultoras de pentesting y departamentos de seguridad de grandes empresas. Es la base para roles de red team.
Seguridad Móvil
Qué implica: Evaluar la seguridad de aplicaciones móviles (iOS y Android): análisis de tráfico, reverse engineering, bypass de controles de seguridad, testing de APIs backend.
Habilidades clave: Dynamic analysis (intercepting traffic), static analysis (decompiling APK/IPA), Frida/Objection (runtime manipulation), certificate pinning bypass, JWT/OAuth attacks en móvil, storage security, jailbreak/root detection bypass.
Herramientas principales: Frida, Objection, MobSF, Burp Suite (con configuración de proxy para móvil), jadx, Hopper.
Mercado: Creciente. Cada empresa con app móvil necesita testing. Hay relativamente pocos especialistas, lo que significa menos competencia y buenos salarios.
Seguridad Cloud (AWS/Azure/GCP)
Qué implica: Evaluar la seguridad de infraestructuras y servicios en la nube: configuración de IAM, buckets/storage, servidores, servicios managed, serverless, containers.
Habilidades clave: Cloud IAM misconfiguration, privilege escalation en cloud, serverless exploitation, container escape (Docker, Kubernetes), metadata service attacks (SSRF to credentials), cloud enumeration, infrastructure-as-code auditing.
Herramientas principales: Pacu (AWS exploitation), ScoutSuite, Prowler, CloudMapper, Stormcloud, AzureHound (Azure), enumerate-iam.
Mercado: En explosión. La migración a cloud no para y la demanda de especialistas en cloud security supera la oferta. Es una de las especializations con mejor proyección salarial.
Red Teaming / Adversary Simulation
Qué implica: Simular ataques de actores amenaza reales contra una organización, evitando detección por parte de los equipos de defensa (SOC, EDR, SIEM). Es pentesting elevado a la máxima potencia.
Habilidades clave: OPSEC, C2 frameworks, evasion techniques, custom malware development, social engineering, physical security testing, Active Directory attacks avanzadas, credential theft, persistence mechanisms, living-off-the-land techniques.
Herramientas principales: Cobalt Strike, Sliver, Havoc, Mythic, custom tooling, Golang/Rust/C# para desarrollo de herramientas propias.
Mercado: Roles mejor pagados dentro de la seguridad ofensiva. Requiere experiencia sólida en pentesting general antes de especializarse. Empresas grandes y consultoras de alto nivel contratan red teams internos.
Seguridad IoT y OT (Industrial)
Qué implica: Evaluar la seguridad de dispositivos IoT (cámaras, routers, dispositivos médicos) y sistemas de control industrial (SCADA, ICS, PLCs).
Habilidades clave: Firmware analysis, hardware hacking (UART, JTAG, SPI), protocol analysis (Modbus, BACnet, DNP3), IoT protocol exploitation, radio frequency analysis.
Herramientas principales: Firmwalker, Binwalk, Ghidra, Logic Analyzer, Bus Pirate, HackRF, SDR.
Mercado: Nicho pero muy bien pagado. La escasez de profesionales en IoT/OT security es enorme. Industrias como energía, manufactura y salud necesitan urgentemente este perfil.
Ingeniería Social
Qué implica: Evaluar la resistencia de los empleados de una organización a ataques de ingeniería social: phishing, vishing (phishing por teléfono), pretexting, intrusión física.
Habilidades clave: Phishing campaign design, email spoofing, credential harvesting, pretext development, vishing techniques, physical reconnaissance.
Herramientas principales: GoPhish, Evilginx2, SET, King Phisher.
Mercado: Muchas consultoras de pentesting ofrecen servicios de phishing como complemento. También hay roles dedicados en grandes empresas. Requiere habilidades blandas (comunicación, persuasión) que no todos los hackers técnicos tienen.
Errores Comunes de Principiantes
Aprender de los errores de otros es más rápido (y menos doloroso) que cometer los propios. Estos son los errores más frecuentes que veo en principiantes de hacking ético:
1. Intentar Aprender Todo a la Vez
El síndrome del "shiny object" es real. Hay demasiadas herramientas, demasiadas certificaciones, demasiadas especializaciones. Si intentas aprender Nmap, Burp Suite, Metasploit, Active Directory, cloud security y mobile security simultáneamente, no aprenderás nada a fondo. Enfócate: dominar una cosa a la vez antes de pasar a la siguiente.
2. Saltar Directamente al Hacking sin Fundamentos
Quieres usar Metasploit pero no sabes qué es un socket. Quieres explotar SQL injection pero no sabes escribir una query SQL. Los fundamentos (redes, Linux, Windows, programación) no son opcionales —son la base sobre la que se construye todo lo demás. Invertir 2-3 meses en fundamentos te ahorra 6-12 meses de frustración después.
3. Depender Exclusivamente de Herramientas
Ejecutar nmap -sV -sC target.com no te hace hacker. Entender qué hace cada flag, por qué funciona el scan, y qué significan los resultados es lo que te hace profesional. Las herramientas automatizan tareas, pero tu criterio técnico es lo que importa. Si solo sabes ejecutar herramientas sin entender lo que hacen, estás operando como un script kiddie, no como un profesional.
4. No Practicar en Entornos Legales
Hackear sistemas sin autorización es ilegal, punto. No hay atajos. Si quieres practicar, usa HackTheBox, TryHackMe, VulnHub, tu propio laboratorio, o bug bounty programs autorizados. La tentación de "probar" en un sitio real es peligrosa —legal y éticamente.
5. No Documentar Nada
Si resuelves una máquina en HackTheBox y no documentas los pasos, en 3 meses no te acordarás de cómo lo hiciste. Crea writeups, toma notas, guarda comandos que funcionan. Tu documentación futura será tu cheat sheet más valiosa y, si la publicas, tu portfolio profesional.
6. Subestimar el Poder del Networking
La ciberseguridad es una comunidad pequeña. Las oportunidades laborales, la información sobre vulnerabilidades, los consejos de carrera y las colaboraciones llegan a través de personas, no de certificados. Participa en comunidades (Discord, Twitter/X, foros locales), asiste a congresos (incluso virtualmente), y contribuye a la comunidad.
7. Esperar Resultados Rápidos
El hacking ético no se aprende en 3 meses. La expectativa de que vas a ganar $100K al año en 6 meses es irreal y contraproducente. Este es un camino de 2-5 años para alcanzar un nivel senior. Disfruta el proceso, celebra los pequeños logros (primera máquina en HTB, primera certificación, primer bug bounty report, primer empleo), y sé paciente.
8. No Saber Inglés
La mayoría de la documentación técnica, herramientas, conferencias, writeups y comunidades están en inglés. Un nivel B2-C1 es prácticamente obligatorio para avanzar en esta carrera. Si tu inglés no es suficiente, invierte tiempo en mejorarlo —es tan importante como cualquier herramienta técnica.
9. Comprar Certificaciones sin Estar Listo
El OSCP cuesta ~$1.600 USD. Si lo compras sin tener experiencia práctica, lo más probable es que lo pierdas. No compres certificaciones para "aprender" —aprende primero, y luego certifícame para validar lo que ya sabes. Las certificaciones son el sello, no el libro.
10. Copiar Writeups sin Entenderlos
Leer un walkthrough de otra persona no te enseña a hackear. Te enseña a resolver esa máquina específica. Si necesitas un walkthrough, léelo después de intentar resolver la máquina por tu cuenta, y asegúrate de entender cada paso. ¿Por qué funcionó ese exploit? ¿Qué vulnerabilidad se explotó? ¿Cómo se podría haber prevenido?
Conclusión
El hacking ético es una carrera exigente pero extraordinariamente gratificante. La demanda de profesionales ofensivos sigue creciendo, los salarios son competitivos (y mucho más altos cuando trabajas remoto para empresas internacionales), y la comunidad es una de las más activas y acogedoras del sector tecnológico.
Pero no es un camino fácil ni rápido. Necesitas fundamentos sólidos, práctica constante, una mentalidad de aprendizaje continuo y paciencia. No hay atajos. Las certificaciones ayudan, pero no reemplazan la experiencia. Las herramientas facilitan el trabajo, pero no sustituyen el conocimiento técnico.
Si estás empezando hoy, tu mejor inversión es tiempo: tiempo en fundamentos, tiempo en práctica, tiempo en la comunidad. El salario y los roles que ambicionas llegarán, pero primero tienes que construir la base.
El talent gap es real. Las organizaciones necesitan profesionales como tú. El camino empieza con el primer paso: instala Linux, abre TryHackMe, y empieza a aprender.
Artículos Relacionados
Si este artículo te ha sido útil, te recomendamos leer también:
- Introducción al Ethical Hacking — Los conceptos fundamentales que todo principiante debe conocer antes de empezar.
- Mejores Certificaciones de Ciberseguridad — Análisis detallado de todas las certificaciones del mercado con pros, contras y recomendaciones por nivel.
- Kali Linux: Herramientas Esenciales — Guía completa de las herramientas preinstaladas en Kali Linux y cómo usarlas.
- Pentesting Web con OWASP Top 10 — Cada vulnerabilidad del OWASP Top 10 explicada con ejemplos prácticos y ejercicios.
- Bug Bounty y Vulnerability Disclosure — Cómo empezar en bug bounties, escribir buenos reportes y ganar dinero encontrando vulnerabilidades.
- Nmap: Guía de Escaneo de Redes — Todo lo que necesitas saber sobre Nmap: desde escaneos básicos hasta NSE scripts y técnicas avanzadas.