Pentesting

Pentesting (Pruebas de Penetración): Simulación controlada de un ciberataque sobre sistemas, redes o aplicaciones para identificar vulnerabilidades antes de que los atacantes las exploten. Un pentester (hacker ético certificado) usa las mismas técnicas que un atacante malicioso pero con autorización explícita del propietario del sistema.

El mercado global de pentesting crecerá un 13.7% anual hasta 2028 (MarketsandMarkets). Las empresas LATAM exigen penetration testing de manera creciente — impulsado por normativas bancarias (Banxico, CNBV, SFC) y seguros de ciberseguridad. Un pentester certificado gana entre $2,000 y $8,000 USD/mes en la región.

Las 5 fases del pentesting (metodología PTES)

Reconocimiento (Recon): recopilación de información pasiva y activa — OSINT, DNS, subdominios, empleados en LinkedIn, shodan.io
Escaneo (Scanning): enumerar puertos abiertos, servicios, versiones — Nmap, Nessus, OpenVAS
Enumeración: identificar usuarios, compartidos, vulnerabilidades específicas — enum4linux, SMBMap, Nikto
Explotación: intentar comprometer el sistema usando vulnerabilidades identificadas — Metasploit, exploit-db
Post-explotación + Reporte: movimiento lateral, escalada de privilegios → documentar todo en informe ejecutivo y técnico

Tipos de pentesting

Tipo	Información del pentester	Simula
Black Box	Ninguna — como atacante externo	Atacante que no conoce la empresa
White Box	Total — código fuente, arquitectura, credenciales	Auditoría interna completa
Grey Box	Parcial — credenciales básicas, diagrama de red	Empleado comprometido o contratista
Red Team	Ninguna, multiequipo, multi-técnica	APT (Advanced Persistent Threat)

Las 5 fases del pentesting con herramientas para cada etapa de reconocimiento a reporte — Las 5 fases del pentesting: de la recolección de información al informe ejecutivo

Herramientas esenciales de pentesting

Herramienta	Uso	OS
Kali Linux	Distribución con +600 herramientas de seguridad	Linux
Nmap	Escaneo de puertos y detección de servicios	Multi
Metasploit Framework	Explotación de vulnerabilidades	Multi
Burp Suite	Pruebas de aplicaciones web	Multi
Wireshark	Análisis de tráfico de red	Multi
Hashcat / John the Ripper	Cracking de contraseñas (hashes)	Multi
SQLmap	Inyección SQL automatizada	Multi
Aircrack-ng	Auditoría de redes WiFi	Linux

Certificaciones de pentesting más demandadas

CompTIA PenTest+: ideal para iniciar — $404 USD, reconocida en LATAM
CEH (Certified Ethical Hacker): EC-Council, $950 USD — más conocida en RRHH
OSCP (OffSec): la más respetada técnicamente — $1,499 USD, incluye 90 días de labs + examen 24h
eJPT (eLearnSecurity): excelente punto de entrada — $200 USD, online

Infografía: pentesting fases tipos herramientas y certificaciones para hacker ético en LATAM — Infografía: guía de pentesting — fases, tipos, herramientas y carrera de hacker ético en LATAM 2026

Aprende pentesting con el Experto en Ciberseguridad

Módulos de hacking ético, escaneo de vulnerabilidades y reporte profesional — con laboratorios virtuales y preparación para certificaciones.

Ver Experto en Ciberseguridad →

Referencias

MarketsandMarkets. Penetration Testing Market Report 2025-2028. marketsandmarkets.com.
OffSec. OSCP Certification Overview. offensive-security.com.
OWASP. Testing Guide v4.2. owasp.org/www-project-web-security-testing-guide.
PTES. Penetration Testing Execution Standard. pentest-standard.org.
EC-Council. CEH Program Description. eccouncil.org.