Un buen itinerario de pentesting no sirve para acumular teoría: tiene que enseñarte a detectar fallos, probarlos con criterio y documentarlos de forma útil para que una organización pueda corregirlos. En esta guía explico qué debe incluir una formación seria, cómo distinguir una oferta superficial de una práctica de verdad y qué encaja mejor según tu nivel, tu tiempo y tu presupuesto. También aterrizo el tema al contexto de España, porque no todas las rutas formativas aportan lo mismo ni exigen el mismo punto de partida.
Lo esencial para elegir una formación que sí te lleve a practicar
- La práctica pesa más que el volumen de vídeos: sin laboratorios, el aprendizaje se queda corto.
- Un buen programa debe cubrir reconocimiento, escaneo, explotación controlada, evidencias e informe final.
- En el mercado español hay opciones desde cursos gratuitos o muy baratos hasta programas de 4 meses y 1.400 €.
- Si partes de cero, te conviene reforzar redes, Linux y algo de web antes de meterte en una ruta avanzada.
- La autorización, el alcance y el reporte no son extras: forman parte del pentesting serio.
Qué busca realmente quien empieza en pentesting
Yo separaría este tema en dos perfiles muy claros. El primero es quien quiere entrar en ciberseguridad ofensiva desde cero y necesita una base sólida; el segundo es quien ya trabaja en sistemas, redes o soporte y quiere dar el salto a auditoría, pruebas de penetración o red team junior. En ambos casos, el objetivo real no es “aprender a hackear”, sino aprender a identificar, verificar y comunicar vulnerabilidades con método.En España, además, el interés por esta especialidad ya no se limita a academias privadas: existe incluso una vía oficial de FP que incorpora el módulo de Hacking ético. Eso me parece importante porque confirma que no hablamos de una moda pasajera, sino de una competencia técnica que empieza a tener un recorrido formativo más serio y estructurado.
También conviene ajustar expectativas. Un curso útil no te convierte en pentester en unas semanas; te da un proceso, unas herramientas y un criterio para empezar a trabajar en laboratorios y entornos controlados. Si de verdad quieres aprovecharlo, la pregunta correcta no es “¿cuánto dura?”, sino “¿qué soy capaz de hacer al terminarlo?”. Con esa idea clara, toca mirar qué contenidos son realmente útiles y cuáles solo adornan el programa.
Qué tiene que enseñar una formación práctica de verdad
Cuando reviso un temario, busco una secuencia lógica. Si una formación salta de la teoría a herramientas sueltas sin mostrar el flujo completo, suele quedarse en superficie. Para mí, un buen curso de pentesting debe cubrir al menos estos bloques:
| Bloque | Qué deberías ver | Por qué importa |
|---|---|---|
| Reconocimiento y OSINT | Recopilación de información pública, superficie de ataque y activos expuestos | Sin contexto, pruebas a ciegas y pierdes tiempo en objetivos irrelevantes |
| Escaneo y enumeración | Descubrimiento de hosts, puertos, servicios y versiones | Te dice dónde merece la pena profundizar y qué fallos son plausibles |
| Pruebas web y de red | Aplicaciones web, tráfico HTTP/S, servicios expuestos y validación de debilidades | La mayor parte de los entornos reales mezcla web, red y configuración débil |
| Explotación controlada | Pruebas de concepto, validación del impacto y uso responsable de herramientas | Convierte la hipótesis en evidencia sin romper el entorno |
| Post-explotación y evidencias | Comprobación del alcance, privilegios, persistencia limitada y recolección de pruebas | Te enseña a medir el impacto real y a no confundir acceso con valor |
| Informe y remediación | Redacción técnica y ejecutiva, severidad, pruebas y recomendaciones | Sin informe, el trabajo no ayuda a corregir nada y se queda en ejercicio de laboratorio |
| Marco legal | Permisos, alcance, horarios, tipos de prueba permitidos y gestión de evidencias | Es la línea que separa una auditoría legítima de una actividad imprudente |
En cuanto a herramientas, yo no me fijaría en la cantidad, sino en el uso que les dan. Nmap sirve para descubrir hosts, puertos y servicios; Wireshark ayuda a inspeccionar tráfico de red; Burp Suite es clave para trabajar con aplicaciones web; Metasploit permite validar exploits de forma controlada; y Kali Linux suele ser el entorno de trabajo por defecto en muchos laboratorios. Si el temario menciona esas herramientas pero no explica cuándo usarlas, por qué y con qué límite, la formación se queda a medias.
Mi criterio es simple: si un programa no te obliga a pensar como auditor, a repetir pruebas y a redactar conclusiones útiles, no está enseñando pentesting, solo está enseñando nombres de herramientas. Cuando sabes leer el temario, la siguiente decisión es escoger el formato que encaja con tu nivel y tu tiempo disponible.
Qué formato encaja mejor con tu nivel y tu tiempo
En el mercado español actual conviven formatos muy distintos. Yo veo desde cursos breves de unas 21 horas y 30 minutos o rutas de 5 semanas, hasta programas de 100 a 186 horas y formaciones guiadas de 4 meses con un precio en torno a 1.400 €. También hay vías oficiales más largas, con calendario académico y una progresión menos acelerada. La clave está en no comparar solo por precio, sino por ritmo, acompañamiento y profundidad.
| Formato | Duración orientativa | Precio orientativo | Me encaja si... | Límite habitual |
|---|---|---|---|---|
| Curso corto | 21 h 30 min a 5 semanas | 0 a 100 € | quieres una primera toma de contacto o validar si te interesa el área | suele quedarse corto en práctica y feedback |
| Formación práctica intermedia | 100 a 186 horas | 225 a 370 € | ya sabes algo de redes o Linux y quieres trabajar con laboratorios | exige más autonomía fuera de clase |
| Programa guiado profesional | 4 meses | alrededor de 1.400 € | necesitas estructura, tutorías y seguimiento | es más caro y más rígido en calendario |
| Vía oficial de FP | según calendario académico | variable y normalmente más accesible | buscas una ruta formal, con continuidad y base amplia | avanza más despacio y no siempre es la opción más directa |
Si partes desde cero, yo no iría directo a una formación avanzada. Te puede faltar contexto en redes, sistemas o scripting y acabarías memorizando comandos sin entender el problema. En cambio, si ya manejas TCP/IP, Linux básico y algo de web, una formación práctica intermedia te puede dar un salto real sin obligarte a pagar por un programa demasiado generalista. A partir de ahí, el presupuesto importa, pero no tanto como el valor real que te llevas.
Cuánto cuesta formarse y qué retorno puedes esperar
La pregunta del precio no se responde bien con un número suelto. Yo prefiero verlo como una combinación entre coste, tiempo y capacidad real de aprender. Un curso barato puede ser una puerta de entrada excelente si te ofrece laboratorios y una base clara; una formación más cara puede compensar si incluye tutorías, proyecto final, soporte y una progresión bien diseñada. Lo que no pagaría nunca es un nombre llamativo sin práctica detrás.
Hay tres escenarios que me parecen razonables. El primero es el de la exploración, con cursos muy asequibles o gratuitos para probar si te atrae la disciplina. El segundo es el de la especialización inicial, con precios en la franja de 225 a 370 €, donde ya esperas casos reales, ejercicios y certificación de finalización. El tercero es el de una ruta más completa, con importes como 1.400 €, que solo tiene sentido si de verdad aprovechas la mentoría, el seguimiento y el proyecto final.
El retorno, en cualquier caso, no debería medirse por el diploma. En pentesting, lo que más pesa es tu capacidad para demostrar hallazgos, explicar impacto y proponer mitigaciones. Un buen indicador de que has aprendido es poder enseñar dos o tres informes de laboratorio bien hechos, con capturas, pasos reproducibles y recomendaciones claras. Si un curso solo te deja con un certificado y ninguna evidencia práctica, el retorno es flojo. Y justo por eso conviene detectar las señales de una oferta débil antes de comprometerte.
Las señales que me harían desconfiar de una oferta
Yo me pongo exigente con cuatro cosas: la práctica, el profesorado, el contexto legal y la capacidad de transferir lo aprendido a entornos reales. Si una oferta falla en alguna de ellas, no la descartaría automáticamente; si falla en varias, sí la miraría con mucha cautela.
- Promete resultados demasiado rápidos. Si te vende la idea de pasar de cero a pentester en muy poco tiempo, lo normal es que simplifique en exceso la curva real de aprendizaje.
- No tiene laboratorios o CTFs. Sin práctica guiada, la teoría se olvida rápido y el uso de herramientas queda superficial.
- Ignora el reporting. Si no enseña a documentar hallazgos, severidad y remediación, no completa el ciclo profesional.
- Habla mucho de marcas, poco de metodología. Nombres como Nmap o Burp Suite ayudan, pero no sustituyen un proceso de trabajo.
- No explica prerrequisitos. Cuando una formación avanzada dice que vale para cualquiera, sin matices, suele ocultar huecos importantes.
- No aclara quién enseña ni con qué experiencia. En esta materia, la trayectoria del docente importa mucho porque la diferencia entre saber teoría y haber auditado de verdad se nota enseguida.
También me fijo en algo muy concreto: si el programa muestra casos reales o al menos escenarios realistas. No hace falta que el alumno ataque sistemas auténticos desde el primer día, pero sí que trabaje con superficies de ataque plausibles, errores de configuración y aplicaciones web que se parezcan a las que verá fuera del aula. Si el curso parece una colección de diapositivas, yo lo dejaría pasar. La última capa, que a menudo se subestima, es la legal y la ética.
La parte legal y ética que separa la práctica seria del postureo
El hacking ético no es una etiqueta bonita; es un marco de trabajo. En un pentest profesional, todo empieza con autorización escrita, alcance definido y reglas claras. Eso incluye qué activos se van a revisar, qué técnicas están permitidas, en qué horario se hacen las pruebas y cómo se escalan incidencias si algo sale mal. Sin eso, no hay una auditoría seria, solo improvisación.
Yo también valoro mucho que una formación explique la gestión de evidencias. No basta con “entrar” en un sistema de laboratorio: hay que registrar el camino, conservar capturas o trazas relevantes y escribir un informe que otro profesional pueda revisar y reproducir. Ese informe suele incluir la vulnerabilidad, el impacto, la probabilidad de explotación, la prueba realizada y una recomendación de corrección.
- Alcance. Define qué se puede tocar y qué queda fuera.
- Ventana de pruebas. Evita interrupciones en producción y reduce ruido operacional.
- Técnicas permitidas. Limita las acciones agresivas o destructivas.
- Canal de comunicación. Sirve para reportar hallazgos críticos sin perder tiempo.
- Tratamiento de evidencias. Protege la calidad del informe y la trazabilidad de las pruebas.
Si una formación pasa de largo sobre esto, yo desconfío. En el mundo real, la calidad de un pentest no depende solo de encontrar fallos, sino de hacerlo dentro de un marco legal, reproducible y útil para quien tiene que corregirlos. Con todo eso en la mesa, la ruta adecuada deja de ser una apuesta y pasa a ser una decisión razonada.
La ruta que yo seguiría para no perder tiempo ni dinero
Si empezara hoy, no intentaría abarcarlo todo a la vez. Primero reforzaría redes, Linux y algo de web; después elegiría una formación con laboratorios y reportes; y solo entonces pasaría a una ruta más avanzada o a una certificación que tenga sentido para mi objetivo. Ese orden evita frustraciones y te da contexto para aprovechar mejor cada módulo.
También me marcaría un criterio práctico: antes de pagar, quiero saber qué voy a construir. Si al final del curso no puedo enseñar un entorno de laboratorio, unas notas técnicas y un informe decente, la formación se me queda corta. Si, en cambio, salgo con método, criterio y práctica suficiente para seguir aprendiendo por mi cuenta, entonces sí merece la inversión.
En resumen, la mejor elección no es la más vistosa ni la más larga, sino la que te obliga a practicar de forma seria, te enseña a pensar como auditor y te deja una base real para seguir creciendo en ciberseguridad ofensiva.
