Convertirse en pentester en 2026 es a la vez más accesible y más exigente que nunca. Más accesible porque hay laboratorios, documentación y herramientas al alcance de cualquiera. Más exigente porque la IA ha cambiado el punto de entrada: lo que antes te diferenciaba ahora lo hace una máquina en segundos, así que el listón de lo que aporta un profesional ha subido. La buena noticia es que el destino no ha cambiado: sigue ganando quien entiende de verdad cómo funcionan las cosas por dentro.
Esta es la ruta que recomendamos de verdad. No va de coleccionar acrónimos ni de memorizar comandos, sino de construir una base sólida y practicar de forma deliberada. Te aviso ya: no hay atajos. Pero sí hay un camino claro.
Qué hace de verdad un pentester (y qué no)
Olvida la imagen de Hollywood. Un pentester no "rompe internet" desde una sudadera con capucha. Un pentester busca, con autorización, las vulnerabilidades de un sistema, demuestra su impacto real y, lo más importante, explica cómo arreglarlas. El informe vale tanto como la explotación: un fallo que no sabes comunicar no le sirve a nadie.
Y no hay un solo tipo de pentester. Estas son las grandes ramas:
- Hacking web: aplicaciones y APIs. Es la superficie de ataque más grande y el mejor punto de entrada.
- Pentesting de infraestructura y redes: servidores, Active Directory, segmentación.
- Hacking móvil: apps Android e iOS, una rama muy demandada y con poca gente especializada.
- Cloud: configuraciones de AWS, Azure y GCP, que hoy concentran buena parte de los fallos.
- Red team: simulación de adversario completa, el nivel más avanzado, que combina todo lo anterior.
No tienes que elegir el primer día. Pero sí conviene saber que el camino sensato es dominar una base común y luego especializarte.
Los cimientos que no te puedes saltar
Este es el error número uno: querer explotar antes de entender. Si te saltas los fundamentos, te conviertes en alguien que copia comandos sin saber qué hacen, y eso se nota en cuanto algo no sale como en el tutorial. Estos son los cuatro pilares.
1. Cómo funciona una red
TCP/IP, DNS, HTTP, qué es un puerto, qué pasa cuando escribes una URL y pulsas Enter. Si no entiendes cómo viaja un paquete, no vas a entender cómo interceptarlo o manipularlo.
2. Linux y la terminal
Vas a vivir en la línea de comandos. No necesitas ser administrador de sistemas, pero sí moverte con soltura: navegar, filtrar, encadenar comandos con pipes, leer logs.
# Encadenar comandos es buena parte del trabajo diario $ cat accesos.log | grep "POST" | cut -d' ' -f7 | sort | uniq -c | sort -rn | head 142 /login 38 /api/usuarios 11 /admin ← interesante
# Buscar en muchos ficheros a la vez $ grep -rin "password" ./codigo/ --include="*.py"
3. Programar lo justo: Python y Bash
No necesitas ser desarrollador, pero sí saber automatizar lo repetitivo y leer código ajeno para encontrarle fallos. Python para scripting, Bash para pegar herramientas entre sí.
# Un script minimo para comprobar que cabeceras de seguridad faltan # (sobre un dominio propio o autorizado) import requests faltan = ["Content-Security-Policy", "X-Frame-Options", "Strict-Transport-Security"] r = requests.get("https://midominio-de-pruebas.com") for cabecera in faltan: estado = "OK" if cabecera in r.headers else "FALTA" print(f"[{estado}] {cabecera}")
4. La web por dentro
Peticiones y respuestas HTTP, cabeceras, cookies, sesiones, tokens, el modelo de origen (same-origin). El 90% de lo que vas a explotar al principio vive aquí.
Fase 1: hacking web, tu mejor puerta de entrada
Empieza por web. Tiene la superficie de ataque más grande, el feedback es inmediato (ves el resultado en el navegador) y hay laboratorios para practicar todo. La referencia es el OWASP Top 10, la lista de las categorías de vulnerabilidad más críticas en aplicaciones web.
| Vulnerabilidad | Qué es, en una frase |
|---|---|
| Broken Access Control | Acceder a lo que no deberías (IDOR, escalada de privilegios). |
| Injection (SQLi, etc.) | Colar comandos donde se esperaban datos. |
| Cross-Site Scripting (XSS) | Ejecutar tu JavaScript en el navegador de otra persona. |
| SSRF | Obligar al servidor a hacer peticiones por ti. |
| Cryptographic Failures | Datos sensibles mal protegidos o expuestos. |
La clave aquí no es leer sobre estas vulnerabilidades, es explotarlas con tus propias manos una y otra vez hasta que las reconozcas de un vistazo. Para eso necesitas un entorno donde romper cosas sin meterte en problemas.
Este es exactamente el recorrido de nuestro curso Web eXploitation Junior (WXJ): te lleva desde "no sé qué es una cabecera HTTP" hasta explotar el OWASP Top 10 en laboratorios reales, con ruta guiada y sin saltarse los fundamentos.
Fase 2: de junior a experto
Cuando el Top 10 te resulte familiar, el salto de nivel está en lo que no aparece en las listas: encadenar vulnerabilidades, saltarte mecanismos de autenticación, atacar la lógica de negocio, entender el lado servidor a fondo. Aquí es donde se separa quien ejecuta herramientas de quien encuentra el fallo que las herramientas no ven.
También es el momento de enfrentarte a objetivos realistas a través de programas de responsible disclosure y bug bounty (siempre dentro del alcance autorizado de cada programa). Ahí aprendes lo que ningún laboratorio te enseña: la frustración, la paciencia y el método.
Ese salto de junior a experto es el corazón del curso Web eXploitation Expert (WXE), donde trabajamos explotación web avanzada con la misma metodología que aplicamos en auditorías y en programas de divulgación responsable reales.
Fase 3: especialízate
Una vez tienes base sólida en web, elige una vertical donde profundizar. La especialización es lo que te hace valioso (y lo que mejor se paga). Algunas opciones:
- Móvil: enorme demanda y pocos especialistas de verdad. El estándar es OWASP MAS (Mobile Application Security). Si te atrae esta rama, es justo lo que cubre nuestro Mobile eXploitation Specialist (MXS).
- Infraestructura y Active Directory: el terreno habitual de las auditorías en redes corporativas internas.
- Cloud: donde están migrando todas las empresas y, con ellas, los fallos.
- Red team: la cima, que integra todo lo anterior más sigilo y evasión.
La metodología vale más que las herramientas
Las herramientas cambian cada año. La metodología no. Si interiorizas el proceso, podrás atacar cualquier objetivo aunque mañana cambien todas las herramientas que conoces.
# El proceso que se repite en todo pentest
RECONOCIMIENTO → Reunir informacion del objetivo (pasivo y activo)
ENUMERACION → Mapear servicios, puertos, tecnologias, endpoints
EXPLOTACION → Aprovechar la vulnerabilidad para demostrar impacto
POST-EXPLOTACION → Que se puede hacer una vez dentro (pivotar, escalar)
INFORME → Documentar, priorizar por riesgo y explicar el arreglo
Fíjate en que explotar es solo un paso de cinco. Los buenos pentesters dedican la mayor parte del tiempo al reconocimiento y a la enumeración, porque ahí es donde aparece el fallo que nadie más vio.
La IA en la seguridad ofensiva: el cambio de 2026
Aquí está la parte que diferencia esta guía de cualquier roadmap de hace tres años. En 2026 no puedes ignorar la IA, pero tampoco debes malinterpretar su papel.
Lo que la IA hace muy bien: acelerar el reconocimiento, resumir documentación, sugerir vectores, ayudarte a aprender más rápido y a leer código que no entiendes. Es un multiplicador de fuerza brutal para las tareas mecánicas.
Lo que la IA no hace por ti: el criterio. Alucina, se inventa funciones que no existen y falla justo en lo que da dinero, los fallos de lógica y las cadenas complejas que requieren entender el negocio. El pentester que delega el pensamiento en la IA produce ruido; el que la usa como copiloto va el doble de rápido sin perder rigor.
Conclusión práctica: aprende a usar la IA como herramienta desde el primer día, pero construye los fundamentos sin ella. Si no entiendes lo que la IA te sugiere, no eres un pentester, eres un intermediario.
Práctica deliberada: CTFs y laboratorios
No se aprende a hackear leyendo. Se aprende rompiendo cosas en un entorno seguro, equivocándote y volviendo a intentarlo. Los CTF (Capture The Flag) son la mejor forma de construir ese reconocimiento de patrones: te enfrentan a un reto, te atascas, investigas y al resolverlo el conocimiento se queda.
En nuestros CTF Labs tienes retos con vulnerabilidades reales para practicar todo lo anterior, y un ranking para medir tu progreso contra el de otra gente que está en tu mismo camino. Empieza por los retos fáciles y sube poco a poco. La constancia gana a la intensidad.
Errores que te van a frenar
- Tutorial hell: ver vídeos sin parar sin tocar un teclado. Por cada hora de teoría, dedica tres a practicar.
- Coleccionar herramientas: tener 200 herramientas instaladas no te hace mejor. Dominar cinco, sí.
- Saltarte los fundamentos: el clásico. Se paga caro en cuanto algo se sale del guion.
- No escribir informes: si no sabes comunicar el fallo, no eres contratable. Practica el reporte desde el primer CTF.
- Ir en solitario: la comunidad acelera todo. Rodéate de gente que sepa más que tú.
Tu plan para los primeros 90 días
Días 1 a 30: fundamentos
Redes y HTTP, soltura en la terminal de Linux y bases de Python. Monta tu laboratorio local. Objetivo: entender, no explotar todavía.
Días 31 a 60: hacking web
OWASP Top 10, una categoría por bloque, cada una explotada con tus manos en laboratorios. Empieza a usar la IA como copiloto para acelerar, no para pensar por ti.
Días 61 a 90: práctica y método
Resuelve CTFs de dificultad creciente, adopta una metodología fija y documenta cada reto como si fuera un informe. Aquí empiezas a sentirte pentester.
A partir del día 90, especialízate (web avanzado, móvil, infra) y entra en programas de divulgación responsable para enfrentarte a objetivos reales.
¿Quieres recorrer esta ruta con un camino guiado en lugar de a ciegas?
En SixHack Academy seguimos exactamente este recorrido: empiezas el hacking web desde cero con WXJ, das el salto a experto con WXE y te especializas en móvil con MXS, todo con laboratorios reales y la misma metodología que aplicamos en auditorías y programas de bug bounty.
Preguntas frecuentes
¿Necesito un título universitario para ser pentester?
No. Ayuda tener base de informática, pero lo que de verdad cuenta es la habilidad demostrable: laboratorios resueltos, informes y, con el tiempo, hallazgos reales en programas de divulgación responsable. Es una de las profesiones donde lo que sabes hacer pesa más que el papel.
¿Cuánto se tarda en empezar a trabajar?
Con dedicación constante, en torno a 6 a 12 meses puedes alcanzar un nivel de junior empleable, dependiendo de cuántas horas le metas y de tu base previa. No es una carrera de velocidad, es de fondo.
¿Necesito saber programar?
Para empezar te basta con leer código y automatizar tareas sencillas en Python y Bash. La habilidad de programar crece sobre la marcha; no esperes a "saber programar del todo" para empezar a practicar hacking web.
¿La IA va a dejar sin trabajo a los pentesters?
No, lo está transformando. La IA automatiza lo mecánico y eleva el listón: el valor se desplaza hacia el criterio, las cadenas complejas y la auditoría de las propias aplicaciones con IA. El que sepa usarla como herramienta tendrá más ventaja, no menos trabajo.
Parto de cero absoluto. ¿Por dónde empiezo hoy mismo?
Por los fundamentos de redes y HTTP, soltura en Linux, y en cuanto los tengas, hacking web sobre laboratorios. Es el camino con el feedback más rápido y el que mejor engancha.
Referencias
- OWASP Top 10: las categorías de vulnerabilidad web más críticas.
- OWASP Web Security Testing Guide (WSTG): metodología de testing web.
- OWASP MAS: estándar de seguridad para aplicaciones móviles.
- MITRE ATT&CK: matriz de tácticas y técnicas de adversario.