01
📜
Pre-engagement y scope
Acuerdo escrito, definición clara de qué dominios y aplicaciones entran y cuáles no, ventana temporal, técnicas autorizadas y reglas de uso. Sin esto, ningún pentest profesional empieza.
Formación 100% online
•
Metodología profesional
•
Labs reales
Curso de Pentesting.
De junior a auditor con metodología profesional.
Aprende pentesting con un enfoque metodológico: fases reales de auditoría, herramientas profesionales y laboratorios que reproducen escenarios de trabajo. No memorizas comandos: aprendes a auditar.
¿Qué es el pentesting?
Auditoría de seguridad reproducible, con criterio profesional
El pentesting (penetration testing) es la metodología por la que un profesional autorizado simula un ataque controlado contra sistemas, aplicaciones o redes con el objetivo de identificar vulnerabilidades reales, validar su impacto y documentarlas para que el cliente las pueda corregir. Es la diferencia entre "pasar un escáner" y "saber auditar de verdad".
A diferencia de un análisis automatizado, un pentest requiere criterio en cada paso: qué probar, qué descartar, cómo encadenar hallazgos pequeños para mostrar un compromiso grande, y cómo priorizar por impacto efectivo en el negocio. Por eso un buen curso de pentesting no se centra en herramientas: se centra en el método.
En SixHack Academy enseñamos pentesting siguiendo metodologías reconocidas como OWASP WSTG (Web Security Testing Guide), PTES (Penetration Testing Execution Standard) y NIST 800-115. No memorizas pasos: entiendes por qué cada fase está donde está, qué información hay que tener para pasar a la siguiente y cómo se conecta todo en un informe final que sirva al cliente.
Metodología
Las 6 fases de un pentest profesional
El ciclo completo, desde el contrato firmado hasta la entrega final.
02
🔍
Reconocimiento e inteligencia
Recolectar información sobre el objetivo dentro del scope: dominios, subdominios, tecnologías, empleados, infraestructura. Pasiva (sin tocar) y activa (con interacción mínima).
03
🗺️
Enumeración y mapeo
Mapear la superficie de ataque: endpoints, parámetros, lógica de negocio, autenticación, autorización. Aquí distingues qué partes de la aplicación merecen análisis profundo.
04
💉
Identificación y explotación
Detectar vulnerabilidades reales (no falsos positivos), explotarlas para confirmar impacto y capturar evidencia reproducible. Aquí entra todo el OWASP Top 10 aplicado con criterio.
05
📊
Post-explotación y análisis de impacto
Evaluar qué consigue un atacante con cada hallazgo: alcance del compromiso, datos accesibles, riesgo de negocio. Calcular CVSS realista y priorizar por impacto efectivo.
06
📝
Reporting profesional
Resumen ejecutivo para gerencia, detalle técnico con evidencia para desarrolladores, recomendaciones de remediación priorizadas. La parte que el cliente realmente ve.
Tipos
Especialidades del pentesting profesional
Las superficies de ataque más demandadas en el mercado actual.
Pentesting web
Auditoría de aplicaciones HTTP/HTTPS, APIs REST y GraphQL. La especialidad con más demanda y el punto de entrada más natural a la profesión. Cubierto por WXJ y WXE.
Pentesting móvil
Análisis estático y dinámico de apps Android e iOS, comunicación con APIs, almacenamiento inseguro. Especialidad muy demandada por bancos y fintechs. Cubierto por MXS.
Pentesting de infraestructura
Auditoría de redes internas, servicios expuestos, Active Directory, escalada de privilegios en Windows y Linux. Habitual en clientes con infraestructura on-premise.
Pentesting cloud
Auditoría de configuraciones en AWS, Azure y GCP: IAM, S3, Lambdas, Kubernetes. Especialidad creciente conforme las empresas migran a cloud.
Red team
Simulación adversaria completa contra una organización: phishing, pivoting, evasión de EDRs. Operaciones largas y complejas. Suele requerir 3+ años de experiencia previa.
Pentesting de IoT y hardware
Auditoría de dispositivos físicos, firmware, protocolos de radio, comunicaciones inalámbricas. Especialidad muy técnica y nicho, pero con techo salarial alto.
Profesión
Cómo es el día a día de un pentester
Lo que de verdad ocupa el tiempo de un auditor profesional.
La imagen popular del pentester que se pasa el día explotando vulnerabilidades es poco realista. En auditoría profesional, la mayor parte del tiempo se dedica a entender la aplicación: leer endpoints, mapear lógica de negocio, identificar qué partes son críticas, qué datos manejan y cómo encajan los flujos de autenticación y autorización.
La explotación pura ocupa una franja menor pero intensa: cuando ya sabes dónde mirar y por qué, encuentras los fallos rápido. Después viene el trabajo más subestimado y más diferenciador: validar y documentar. Capturar evidencia reproducible, calcular impacto realista, escribir el hallazgo en formato profesional para que el desarrollador lo arregle y la gerencia lo entienda.
Por eso el pentester senior cobra lo que cobra: no por explotar más rápido, sino por tener criterio para priorizar bien y por escribir informes que cierran proyectos y generan confianza. Esa visión del trabajo profesional es la que enseñamos en la ruta: no formar gente que sabe lanzar comandos, sino auditores que entregan valor.
Plan de estudios
La ruta de SixHack Academy
Tres cursos progresivos de pentesting, conectados para construir habilidad real.
Activo
WXJ
Web eXploitation Junior
El punto de entrada al pentesting. Asume cero experiencia. Cubre redes, HTTP/HTTPS, Burp Suite, las fases del pentest aplicadas, OWASP Top 10 y reporting profesional. Al acabar tienes criterio para auditar aplicaciones web a nivel pentester junior.
Activo
WXE
Web eXploitation Expert
Continuación de WXJ. Técnicas avanzadas de pentesting web, cadenas complejas de explotación y escenarios de auditoría profesional. Para quien ya domina lo básico y quiere subir a nivel pentester semi-senior con auditorías reales.
Activo
MXS
Mobile eXploitation Specialist
Pentesting de aplicaciones móviles. Análisis estático y dinámico, fallos habituales y técnicas específicas en Android e iOS. Complementa la ruta web con el ecosistema móvil completo, una de las especialidades mejor pagadas.
Salidas profesionales y rangos salariales
El pentesting es de los perfiles más demandados del sector tech en España. Las salidas más directas son pentester en consultoras de seguridad, equipos internos de empresas grandes, application security engineer en empresas tech, bug bounty hunter independiente y consultor freelance.
Rangos salariales típicos en España al cierre de 2025: pentester junior 25.000-35.000 €, semi-senior 35.000-50.000 €, senior 50.000-75.000 €, y perfiles especializados o de red team pueden superar 80.000-100.000 €. Bug bounty puede sumar ingresos variables adicionales con techo alto.
Practica pentesting gratis con los CTF Labs
Antes de matricularte en cualquier curso, puedes entrenar gratis con nuestros CTF Labs: retos reales de pentesting web con varios niveles de dificultad, ranking global y acceso libre tras un registro sencillo. Forma directa de comprobar la metodología antes de invertir en formación.
SQL injection, XSS, IDOR, SSRF y otras técnicas OWASP en un entorno controlado y legal.
FAQ
Preguntas frecuentes sobre pentesting
Las dudas más habituales antes de empezar formación profesional.
¿Qué es el pentesting?
Es una metodología de auditoría de seguridad por la que un profesional autorizado
simula un ataque controlado contra sistemas para identificar vulnerabilidades
reales y documentar su impacto. Se diferencia de un escáner automático en que el
pentester valida cada hallazgo y prioriza por impacto efectivo.
¿Cuáles son las fases de un pentest?
Pre-engagement y scope, reconocimiento e inteligencia, enumeración y mapeo,
identificación y explotación, post-explotación y análisis de impacto, reporting
final. Es un proceso reproducible que sigue metodologías reconocidas como OWASP
WSTG, PTES o NIST 800-115.
¿Qué tipos de pentesting existen?
Web (aplicaciones HTTP/HTTPS y APIs), móvil (Android e iOS), infraestructura
(redes y servicios), cloud (AWS, Azure, GCP), red team (simulación adversaria) y
IoT/hardware. SixHack Academy se centra en web y móvil porque son las más
demandadas en auditoría profesional.
¿Necesito ser programador?
No es imprescindible. Sí ayuda entender HTTP, JSON y cómo se construye una
petición — bases que cubre WXJ desde cero. Conforme avanzas, leer código (PHP,
JS, Python) cada vez es más útil para entender qué hace una aplicación.
¿Qué herramientas usa un pentester?
En web: Burp Suite (principal), DevTools, curl, ffuf, gobuster, frameworks de
explotación. En móvil: Frida, MobSF, herramientas de análisis estático y
dinámico. La regla es que las herramientas son medios, no fines: lo importante
es el método.
¿Cuánto cobra un pentester en España?
Rangos típicos al cierre de 2025: junior 25.000-35.000 € brutos, semi-senior
35.000-50.000 €, senior 50.000-75.000 €, especializados (red team, cloud, hardware)
80.000-100.000 €+. Varía según ciudad, sector y consultora vs equipo interno.
¿Qué es un buen informe de pentesting?
Tres partes: resumen ejecutivo claro para gerencia, detalle técnico con evidencia
reproducible y CVSS por hallazgo, recomendaciones de remediación accionables. El
informe es lo que el cliente realmente ve: un buen pentest mal reportado vale
poco profesionalmente.
Empieza tu camino en pentesting
WXJ es el punto de entrada: fundamentos sólidos, metodología y reporting profesional.