Cómo iniciar tu carrera como Pentester

Si estás buscando cómo iniciar tu carrera como Pentester, lo más valioso no es una lista de “las mejores tools”, sino una ruta clara: bases técnicas, metodología, práctica segura y documentación impecable. Esa combinación es la que te lleva de “estoy aprendiendo” a “puedo ejecutar un pentest profesional y entregar valor real”.

En este artículo te dejo un camino estructurado (basado en la charla transcrita del congreso DragonJARCON) para que avances con criterio, sin saltarte fundamentos y sin perderte entre cientos de recursos.

Qué hace un Pentester (y por qué es tan atractivo)

Un Pentester (o pentest engineer) realiza pruebas de penetración autorizadas para identificar vulnerabilidades, demostrar impacto y ayudar a priorizar correcciones. Es una mezcla de habilidad técnica y comunicación: no basta con “encontrar algo”; hay que probarlo, documentarlo y traducirlo a riesgo para el negocio.

Parte de su atractivo es que el trabajo es dinámico: cada entorno es distinto, cada organización tiene madurez diferente y siempre hay algo nuevo que aprender. Esa misma dinámica también trae frustración: en seguridad ofensiva, es normal “chocar” con bloqueos técnicos constantemente. La diferencia la marca la perseverancia y el método.

Las bases que no puedes saltarte

En la charla se resaltan tres pilares iniciales: protocolos, sistemas operativos y scripting. Si intentas avanzar sin ellos, vas a sentir que todo es “magia negra” y terminarás dependiendo de recetas.

Protocolos (especialmente HTTP)

Si quieres auditar aplicaciones y APIs, necesitas dominar el protocolo HTTP: métodos, headers, cookies, sesiones, códigos de estado, redirecciones, CORS, etc. Lo mismo aplica a redes: TCP/IP, DNS, SMB, Kerberos… lo que no entiendes a nivel protocolo, difícilmente lo explotas (o lo reportas) bien.

Consejo práctico: usa Wireshark como acompañante de estudio. Capturar tráfico hace que lo que lees deje de ser teoría y se convierta en evidencia observable.

Sistemas operativos (Windows y Linux)

Una recomendación muy útil del speaker: instala máquinas virtuales y usa el sistema donde te sientes menos cómodo.

• Si vienes de Linux, fuerza escenarios en Windows.

• Si vienes de Windows, fuerza escenarios en Linux.

• Trabaja con línea de comandos todos los días.

Esto es clave porque, tarde o temprano, vas a obtener una shell y tendrás que saber enumerar, moverte, pivotar y escalar.

Scripting (no es obligatorio, pero te acelera)

¿Es obligatorio programar para hacer pentesting? No. ¿Te ayuda muchísimo? Sí.

Scripting te permite:

• Automatizar tareas repetitivas.

• Crear herramientas para apps in-house (donde no existe “exploit listo”).

• Adaptar PoCs.

• Leer y modificar herramientas con criterio.

Para empezar, una ruta razonable es Bash y Python. El Python Institute ofrece rutas formativas y recursos orientados a aprendizaje progresivo.

Metodología y gestión del pentest

Cuando estás iniciando, una metodología te da orden. No solo para “hackear”, sino para gestionar el pentest: alcance, tiempos, ventanas horarias, reglas, riesgos operativos, entregables, etc.

Tres referencias comunes:

• PTES define fases claras del pentest (desde pre-engagement hasta reporting).

• NIST SP 800-115 ofrece recomendaciones prácticas para diseñar y mantener procesos de pruebas técnicas de seguridad.

• OSSTMM se usa como referencia en algunos entornos para estructurar pruebas orientadas a verificación.

No necesitas seguir una metodología “al pie de la letra” desde el día 1, pero sí es importante que te sirva como checklist mental y como marco de trabajo.

Documentación: el hábito que separa amateurs de profesionales

El speaker lo dijo claro: acostúmbrate a documentar. En pentesting, la memoria falla y el tiempo se acaba. Sin notas y evidencia, se te pasan cosas y tu reporte pierde calidad.

Qué documentar desde el minuto cero:

• Notas de enumeración (qué viste, qué hipótesis tienes).

• Evidencias (capturas, requests/responses, outputs relevantes).

• Pasos de reproducción (claros y repetibles).

• Impacto (qué permite hacer y por qué importa).

Además, si el pentest es recurrente (retas o pruebas periódicas), tus notas se convierten en ventaja estratégica para comparar mejoras y verificar remediaciones.

Conoce tus armas: herramientas con fundamento

La idea no es “presentar herramientas”, sino entenderlas. Si disparas herramientas sin saber qué hacen, corres dos riesgos: romper algo y/o malinterpretar resultados.

Recomendación clave: lee documentación y, cuando puedas, lee código. Eso te ayuda a:

• Entender qué está haciendo realmente la tool.

• Ajustar parámetros con intención.

• Evitar falsos positivos (o negativos).

• Personalizar o extender herramientas si sabes scripting.

Ejemplos clásicos que aparecen en rutas de aprendizaje:

• Nmap (entender escaneos y comportamiento de red).

• Metasploit (framework para verificación/explotación en escenarios donde aplica).

Sobre Metasploit, existe Metasploit Unleashed como curso gratuito de Offensive Security para aprenderlo de forma estructurada.

Escalación de privilegios: qué hacer cuando ya tienes acceso

A muchos les pasa esto al inicio: logran una shell… y se quedan congelados. La respuesta suele ser la misma: enumerar.

Mentalidad base:

• ¿Quién soy?

• ¿Qué permisos tengo?

• ¿Qué servicios corren?

• ¿Qué credenciales o secretos hay expuestos?

• ¿Qué rutas de escalación son viables?

Un recurso práctico mencionado en la charla es usar checklists (idealmente primero de forma manual). HackTricks mantiene una checklist de escalación local en Windows muy usada para guiar enumeración.

Importante: primero entiende el “por qué” (la condición insegura). Luego automatizas.

Active Directory: el “mundo aparte” del pentesting interno

En pentesting interno, Active Directory aparece constantemente. Es un “universo” propio porque combina identidad, permisos, relaciones y movimiento lateral.

Objetivo típico dentro de AD: llegar a Domain Admin (control total del dominio), demostrando rutas de ataque realistas y priorizando correcciones.

Herramienta clave: BloodHound, que analiza relaciones de privilegio mediante grafos y ayuda a encontrar caminos de ataque hacia privilegios altos.

Seguridad en aplicaciones web: por dónde empezar (OWASP)

Si tu foco es web, comienza con dos pilares:

OWASP Top 10 (riesgos más comunes)

El proyecto OWASP Top 10 publica listados periódicos; en el sitio oficial se referencia como versión previa la edición 2021, y también se documenta el plan de análisis de datos para una nueva iteración (Top 10:2025).

Esto te sirve para:

• Conocer categorías de riesgo frecuentes.

• Tener lenguaje común para reportar.

• Priorizar pruebas iniciales.

OWASP Web Security Testing Guide (WSTG)

La WSTG es una guía de pruebas para aplicaciones y servicios web, usada como checklist y marco de trabajo práctico.

Proxies: Burp o ZAP

Necesitas un proxy para capturar y modificar tráfico. Si quieres una opción open source con enfoque fuerte en pruebas web, OWASP ZAP se presenta como un scanner web ampliamente usado y orientado también a quienes están empezando.

Dónde practicar de forma segura (playgrounds)

Nunca practiques en sistemas reales sin autorización. Para aprender, usa entornos diseñados para eso.

Opciones típicas:

• Máquinas vulnerables locales (laboratorios en VM).

• Plataformas de práctica:

  • Hack The Box

  • TryHackMe

Estas plataformas ayudan a desarrollar:

• Enumeración real (no solo “seguir pasos”).

• Escalación de privilegios.

• Movimiento lateral (según el lab).

• Disciplina de documentación y método.

Bug bounty como “real playground”

El bug bounty sube la dificultad porque:

• Los objetivos son reales (con reglas estrictas).

• Requiere recon serio.

• Te obliga a ser ordenado.

• El reporte importa (si no, te rechazan).

Plataformas conocidas incluyen HackerOne, Bugcrowd, Intigriti y YesWeHack (cada una con programas y scopes propios).

Regla de oro: respeta el scope y lo permitido. Sin eso, no es aprendizaje: es un problema.

Certificaciones: cuándo sí y cuándo no

La pregunta aparece siempre: “¿necesito certificación para cómo iniciar tu carrera como Pentester?”

La idea más valiosa de la charla es esta: elige certificaciones por aprendizaje, no por “chapa”.

Criterios prácticos:

• Sílabo útil y alineado a tu objetivo (web, infra, AD, cloud).

• Enfoque práctico.

• Costo vs retorno.

• Comentarios reales de la comunidad (sin fanatismos).

Y un consejo mental: no les temas. Incluso si fallas, el proceso te deja aprendizaje.

Nube: por qué ya no es opcional

Cada vez más organizaciones migran a cloud. Como Pentester, vas a encontrarte entornos AWS/GCP y configuraciones donde una credencial filtrada o un rol mal definido permite escalar y moverse lateralmente.

Para practicar con seguridad existen laboratorios intencionalmente vulnerables. Un ejemplo muy citado en comunidad es flAWS, enfocado en aprender misconfigurations en AWS.

Docker y Kubernetes: la ola cloud-native

Contenedores y orquestadores no son “futuro”: son presente. Por eso se recomienda entrar a:

• Conceptos base (pods, servicios, RBAC, secrets, networking).

• Riesgos típicos por mala configuración.

• Enumeración dentro de clusters.

Para practicar, Kubernetes Goat es un entorno deliberadamente vulnerable (la propia documentación advierte no usarlo en producción).

Cómo prepararte para buscar empleo en seguridad

Si aún no tienes experiencia “formal” como pentester, enfócate en demostrar capacidad de manera verificable:

1. Portafolio técnico

• Writeups de labs (sin exponer datos sensibles ni romper reglas de plataformas).

• Scripts propios (Python/Bash) para automatización.

• Notas estructuradas de metodología y reporting.

2. Práctica consistente

• Laboratorios semanales con objetivo y reporte.

• Retos que te obliguen a enumerar (no solo “seguir walkthroughs”).

3. Comunidad y networking

• Asistir a conferencias, charlas y comunidades.

• Conectar con gente del área: muchas oportunidades nacen ahí.

4. Mentalidad profesional

• Autorización siempre.

• Scope claro.

• Evidencia, impacto y recomendaciones.

FAQ (preguntas frecuentes)

¿Es obligatorio saber programar para ser Pentester?
No es obligatorio, pero scripting (especialmente Python/Bash) acelera tu trabajo y te permite resolver casos donde no hay tooling listo.

¿Qué estudio primero: web o infraestructura?
Depende de tu perfil. Si ya entiendes HTTP y te gusta el análisis de lógica, web es buen inicio. Si te atrae redes, sistemas y AD, infraestructura te dará una base muy fuerte. Lo ideal es combinar con el tiempo.

¿Cuál es “la mejor herramienta” para auditorías web?
No existe una sola. Un proxy (Burp o ZAP) es esencial para pruebas manuales; complementas con escáneres y automatización según el alcance. ZAP es una alternativa open source ampliamente usada.

¿Bug bounty sirve para conseguir trabajo?
Puede ayudar mucho si demuestras método y reporting, pero no reemplaza la experiencia en proyectos con alcance definido, comunicación con cliente y entregables formales.

¿Cómo propongo un pentest dentro de mi empresa si no soy del área?
Primero busca el camino formal: área de seguridad/IT, autorización escrita, alcance, ventanas horarias y reglas. Evita pruebas “por tu cuenta” sin permiso.

Conclusión

Aprender cómo iniciar tu carrera como Pentester es construir un camino: bases sólidas (protocolos, Windows/Linux, scripting), metodología (para no improvisar), documentación (para entregar valor) y práctica segura (laboratorios, plataformas y bug bounty con reglas).

Si quieres avanzar más rápido, rodéate de comunidad, charlas y práctica realista. Y si te interesa crecer con contenido técnico de alto nivel, participa en la DragonJAR Security Conference (DragonJARCON): aprende, conecta con profesionales y convierte tu formación en oportunidades reales.

Mira la charla completa sobre "Cómo iniciar tu carrera como Pentester"