Guía honesta del pentester ofensivo y red teamer en España: las 6 especialidades reales del sector (Web, AD, Red Team Ops, Cloud, Mobile, Hardware), las certificaciones que sí pagan, las plataformas de práctica que abren puertas y un selector que te dice qué especialidad encaja con tu perfil con plan de 12 meses incluido.
Esta guía está centrada exclusivamente en el lado ofensivo de la ciberseguridad: pentesting profesional, ataques controlados y operaciones de Red Team. Si lo que buscas es el ecosistema más amplio de ciberseguridad (analista SOC, Blue Team, ingeniero de seguridad, compliance), tenemos otra guía específica. Aquí hablamos de quien explota vulnerabilidades, no de quien las defiende.
España vive una situación paradójica en este sector: un déficit estructural de 24.000 profesionales según los últimos informes del INCIBE, pero al mismo tiempo una saturación curiosa de juniors recién certificados sin saber por dónde tirar. La razón es simple: el rol “pentester” no existe en singular. Hay seis especialidades muy distintas, con stacks y certificaciones diferentes, y la mayoría de personas eligen mal o por defecto. Esta guía soluciona exactamente eso.
⚔️ Pentester vs Red Team Operator: la diferencia importante
Ambos roles están en el lado ofensivo, pero operan en escalas y con objetivos muy distintos. Confundirlos es uno de los errores más típicos del sector:
- Pentester (Penetration Tester): realiza pruebas de intrusión acotadas en tiempo y alcance (típicamente 1-3 semanas) sobre activos definidos (una aplicación web, una red interna, una API). El objetivo es encontrar el mayor número de vulnerabilidades posibles en el periodo y entregar un informe detallado. Es ruidoso, no busca pasar desapercibido.
- Red Team Operator: ejecuta operaciones de simulación de adversario que pueden durar semanas o meses. El objetivo no es maximizar vulnerabilidades, sino conseguir objetivos críticos específicos (acceso a datos confidenciales, dominio de Active Directory, exfiltración) emulando técnicas de un actor real (APT). La clave es la evasión: pasar desapercibido frente al Blue Team y los sistemas de detección.
- Purple Team: colaboración estructurada entre Red y Blue para mejorar la postura defensiva. Cada vez más demandado en banca y telcos.
- Bug Bounty Hunter: trabaja sobre programas públicos o privados (HackerOne, Bugcrowd, Intigriti, YesWeHack). Cobra por vulnerabilidad reportada. Modelo de ingresos muy variable.
🛠️ Funciones del día a día en Red Team
Reconocimiento (OSINT)
Recopilación pasiva de información: subdominios, empleados, tecnologías, repositorios públicos, leaks. Antes de tocar el objetivo, lo conoces a fondo.
Escaneo y enumeración
Identificación activa de servicios, puertos, versiones y configuraciones. Nmap, Masscan, BloodHound para Active Directory, herramientas custom.
Explotación inicial
Conseguir el primer foothold: phishing dirigido, explotación de servicios expuestos, vulnerabilidades n-day, bypass de controles perimetrales.
Post-explotación
Movimiento lateral, escalada de privilegios, persistencia, evasión de EDR. Aquí está la diferencia real entre un junior y un senior.
Command and Control (C2)
Infraestructura para mantener comunicación con los implantes desplegados: Cobalt Strike, Sliver, Mythic, Havoc. Configuración de redirectors y operación segura.
Ingeniería social
Phishing dirigido, vishing, intrusión física (físicos red team). Especialidad muy valorada en operaciones realistas de banca.
Reporting
El producto final del pentest es el informe. Junior técnicamente bueno + informe malo = mismo valor que un mediocre. Habilidad infravalorada.
Investigación y desarrollo
Desarrollar exploits propios, bypass de mecanismos defensivos, custom tooling. La diferencia entre un operario y un investigador real.
🎯 Las 6 especialidades reales del pentester moderno
Esto es lo que muy pocos artículos te cuentan: “pentester” es como decir “médico”. Hay 6 sub-especialidades muy distintas que requieren stacks, certificaciones y carreras diferentes. Elegir la adecuada es la decisión más importante que tomarás en el sector:
🌐 Web Application Pentester
Auditoría de aplicaciones web, APIs y servicios HTTP. OWASP Top 10, Burp Suite, autenticación, autorización, inyecciones. La especialidad con más oferta junior.
🖥️ Internal / Active Directory Pentester
Pentesting interno con foco en redes Windows: Active Directory, Kerberos, NTLM, BloodHound, lateral movement, Mimikatz. Lo que casi todo cliente necesita.
👹 Red Team Operator
Operaciones de simulación de adversario sostenidas. Evasión de EDR/AV, C2 frameworks (Cobalt Strike, Sliver), persistencia, malware development. El tramo alto del mercado.
☁️ Cloud Pentester
Auditoría de AWS, Azure, GCP. Misconfiguraciones IAM, escape de contenedores, exploitation de servicios cloud. Rol que más rápido sube de sueldo en 2026.
📱 Mobile Pentester
Auditoría de apps iOS y Android. Frida, Objection, OWASP Mobile Top 10, reverse engineering básico de binarios. Demandado en banca digital y fintech.
🔧 Hardware / IoT / OT Pentester
Análisis de firmware, JTAG/UART, protocolos industriales (Modbus, OPC-UA), SCADA. Muy demandado en defensa, industria y energía. Pocos profesionales en España.
📚 MITRE ATT&CK: el lenguaje del Red Team
Si vas a entrar en Red Team profesional, hay un framework que aparece en todas las ofertas de empleo serias: MITRE ATT&CK. Es una base de conocimiento pública que cataloga las tácticas, técnicas y procedimientos (TTPs) que usan los atacantes reales en el mundo. Cubre 14 tácticas (Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact, Resource Development) con cientos de técnicas asociadas.
Para Red Team es la espina dorsal del trabajo: diseñas escenarios basados en TTPs de actores específicos (APT29, APT28, FIN7, Lazarus…) y operas emulándolos. En las entrevistas senior, esperar que respondas preguntas tipo “¿cómo ejecutarías la técnica T1078 en este entorno?” es habitual.
📋 Requisitos imprescindibles
Base técnica común a todas las especialidades
- Linux a nivel intermedio: bash, networking, gestión de procesos, troubleshooting. Sin esto no avanzas.
- Networking sólido: TCP/IP, DNS, HTTP, TLS, VPNs, firewalls. Si no entiendes una traza de Wireshark, vuelve aquí.
- Programación en Python: para scripting, automatización, exploits sencillos.
- Bash y PowerShell: imprescindible para post-explotación.
- Conceptos de criptografía aplicada: hash, cifrado simétrico/asimétrico, certificados, jwt.
- Inglés técnico C1: la documentación, los CVE, los blogs y los CTFs internacionales están en inglés.
- Mentalidad adversarial: pensar en “cómo romper esto”, no en “cómo funciona esto”. Es lo más difícil de transmitir y lo que más diferencia.
🎯 Selector: qué especialidad Red Team te conviene
Esta herramienta cruza tu background, conocimientos previos, intereses personales, tipo de trabajo objetivo, tiempo y presupuesto con los requisitos reales de las 6 especialidades para devolverte: la mejor recomendada con explicación, el ranking completo de encaje, salario esperado, certificaciones específicas, plataformas de práctica alineadas y un plan de 12 meses concreto. Es la decisión más importante de tu carrera ofensiva.
⚔️ Tu plan personalizado Red Team
6 especialidades cruzadas con tu perfil · Sin registro · Datos del mercado 2026
📈 Tu plan personalizado de pentester
—
—
🏆 Ranking de las 6 especialidades para tu perfil
Salario estimado
Tras certificación principal
Tiempo hasta empleable
Con tu disponibilidad horaria
Inversión total
Certs principales del roadmap
📜 Roadmap de certificaciones para tu especialidad
🧪 Plataformas de práctica recomendadas (en orden)
🏢 Empresas / vías de empleo para tu especialidad
🚀 Plan 12 meses paso a paso
Estimaciones basadas en datos del mercado español 2026 (Glassdoor, Indeed, KeepCoding, Yeeply, ofertas reales de Iberdrola, Telefónica Tech, BBVA, S2 Grupo). Tu progresión real dependerá de constancia, calidad del portfolio y capacidad de aprender en condiciones adversas (entornos reales no documentados).
💰 Cuánto cobra un pentester en España en 2026
Por nivel de experiencia
| Nivel | Experiencia | Sueldo bruto anual | Notas |
|---|---|---|---|
| Junior | 0-2 años | 22.000 – 32.000 € | Sin cert ofensiva, en consultoría. Con eJPT/PNPT: 26-35k. |
| Pentester con OSCP | 1-3 años | 32.000 – 50.000 € | El salto típico es 8-15k al pasar OSCP. |
| Mid / Senior | 3-5 años | 45.000 – 65.000 € | Con especialización clara (web, AD, cloud). |
| Red Team Operator senior | 5+ años | 60.000 – 95.000 € | Con OSEP o equivalente, banca y multinacional. |
| Lead Red Team / Team Lead | 7+ años | 80.000 – 100.000+ € | Equipo interno banca top o consultora boutique. |
| Remoto empresa internacional | 3+ años | 60.000 – 130.000+ € | UK, NL, DE o US contratando desde España. |
Sectores que mejor pagan
- Banca y fintech: BBVA, Santander, Openbank, CaixaBank. Suelen tener equipos internos de Red Team estables y buenos paquetes.
- Telecomunicaciones: Telefónica Tech, Vodafone, Orange. Mucha rotación pero buenas tarifas.
- Defensa y aeroespacial: GMV, Indra, Navantia, Sener. Estables, exigen nacionalidad española para algunos proyectos.
- Energía y utilities: Iberdrola, Repsol, Naturgy. Demanda creciente en seguridad OT/SCADA.
- Consultoría especializada: S2 Grupo, NCC Group, Innotec, Tarlogic, Entelgy. Tarifas medias-altas, gran formación.
- Big Four: Deloitte, KPMG, EY, PwC. Mejor escuela pero exigentes en horas.
🎓 Certificaciones que sí pagan en 2026
Las certificaciones ofensivas tienen un valor real en el mercado, pero no todas valen lo mismo. Esta tabla es nuestra valoración honesta de cada una:
| Certificación | Especialidad | Coste | Dificultad | Valor real |
|---|---|---|---|---|
| eJPT (INE Security) | Generalista entrada | ~200 $ | ⭐⭐ | Bueno como puerta |
| PNPT (TCM Security) | Internal / AD | ~400 $ | ⭐⭐⭐ | Muy práctica, valorada |
| OSCP (Offensive Security) | Generalista, gold standard | ~1.600 $ | ⭐⭐⭐⭐ | EL DIFERENCIADOR clave |
| BSCP (PortSwigger) | Web Application | 99 $ | ⭐⭐⭐ | Muy buena para Web |
| OSWE (Offensive Security) | Web avanzado | ~1.600 $ | ⭐⭐⭐⭐⭐ | Top en web, exigente |
| CRTO (Zero Point Security) | Red Team Ops | ~400 $ | ⭐⭐⭐⭐ | La estrella de Red Team |
| OSEP (Offensive Security) | Red Team / Evasion | ~1.800 $ | ⭐⭐⭐⭐⭐ | Premium senior Red Team |
| CPTS (Hack The Box) | Pentesting general | ~500 $ | ⭐⭐⭐⭐ | Buena alternativa a OSCP |
| CRTP / CRTE | Active Directory | ~250-700 $ | ⭐⭐⭐⭐ | Muy específico AD |
| CEH (EC-Council) | Generalista teórico | ~1.200 $ | ⭐⭐ | Filtro en licitaciones públicas |
| OSWP | WiFi | ~450 $ | ⭐⭐ | Nicho concreto |
| OSEE (Offensive Security) | Exploit dev avanzado | ~5.000 $ | ⭐⭐⭐⭐⭐ | Élite exploit development |
🧪 Plataformas de práctica para entrenar
La teoría no construye un pentester: lo construye la práctica. Estas son las plataformas reales donde se forman los profesionales del sector:
- Hack The Box (HTB): la referencia. Máquinas vulnerables que cambian semanalmente. HTB Academy ofrece rutas formativas estructuradas con certificación CPTS al final.
- TryHackMe: orientado a principiantes. Rutas guiadas. Ideal para arrancar.
- PortSwigger Web Security Academy: GRATIS y excelente para Web Application. Material oficial del creador de Burp Suite.
- OffSec Proving Grounds (PG): similar a HTB pero alineado con OSCP. Es donde te preparas para el examen.
- HackTricks: la wiki definitiva. Documentación de técnicas específicas. Consulta diaria.
- PayloadsAllTheThings (GitHub): repositorio gigante de payloads y técnicas por categoría.
- Pwn.college: orientado a exploit development y reverse engineering.
- RootMe: alternativa europea. CTFs y desafíos por categorías.
- VulnHub: máquinas vulnerables descargables. Gratis.
- HackerOne CTF / Bugcrowd University: para preparación bug bounty.
🛤️ Rutas para entrar al puesto
1. Desde sysadmin / network admin
La transición más natural. Tienes Linux, networking y conoces sistemas reales. Plan típico de 9-15 meses: HTB Academy + TryHackMe → eJPT o PNPT → portfolio → primer puesto como pentester junior en consultoría.
2. Desde developer
Tienes la base de programación, te faltan los fundamentos de sistemas y red. Plan típico de 12-18 meses: refuerzo Linux + networking → PortSwigger Academy + BSCP → eJPT → especialización web. Encajas mejor en Web Application Pentester.
3. Desde DevOps / Cloud Engineer
Camino directo a Cloud Pentester: la combinación más demandada en 2026. Plan típico de 6-12 meses: HTB Cloud → AWS Security/Pentest Specialty → primer puesto.
4. Desde FP de Grado Superior
ASIR + Curso de Especialización en Ciberseguridad da una base sólida. Plan total de 24-30 meses incluyendo el ciclo + práctica intensiva + eJPT/OSCP.
5. Desde universidad (Ingeniería Informática / Ciberseguridad)
Buena base teórica. A partir de 3er año, complementar con CTFs intensivos, HTB y bug bounty. Apuntar a programas trainee de consultoras Big Four o S2 Grupo.
6. Reorientación desde otro sector sin base técnica
La ruta más larga y exigente. Plan típico de 18-30 meses: antes pasar 6-12 meses como sysadmin o helpdesk para tener experiencia técnica básica + en paralelo TryHackMe/HTB + eJPT. Saltar directo a pentester sin base IT previa fracasa en el 80% de los casos.
⚖️ Aspectos legales y éticos
Es lo que diferencia a un profesional de un delincuente: el permiso explícito. Sin él, las mismas acciones que en un pentest legal serían un trabajo bien pagado, fuera de él son delito tipificado en el Código Penal español (arts. 197 a 264).
- Contrato y scope claros: antes de tocar nada, contrato firmado con alcance específico (rangos IP, dominios, ventanas horarias, tipos de prueba permitidos y prohibidos).
- Reglas de engagement (RoE): documento técnico detallando qué se puede y no se puede hacer. Imprescindible para Red Team.
- NDA: acuerdo de confidencialidad. La información que ves en pentest es muy sensible y nunca sale del informe.
- Bug bounty solo en programas autorizados: nunca testees una empresa “porque sí” aunque encuentres un fallo. Sin programa público o autorización privada, es delito.
- Datos personales: GDPR aplica. Si durante un pentest accedes a datos personales reales, hay procedimientos específicos. No exfiltrar nunca a sistemas externos sin autorización explícita.
- Tu portfolio NO contiene targets reales: muchos juniors quedan eliminados de procesos por subir capturas de targets identificables a GitHub. Usa siempre máquinas de HTB, THM, VulnHub o lab propio.
❓ Preguntas frecuentes
¿Necesito carrera universitaria para ser pentester?
¿Cuánto tardo en ser pentester junior desde cero?
¿OSCP vale lo que cuesta (1.600 $)?
¿Bug bounty puede ser ingreso principal?
¿Qué cert sacar primero?
¿La IA generativa va a sustituir al pentester?
¿Es realista trabajar 100% remoto?
¿Cuáles son las empresas españolas top en pentesting/Red Team?
¿Es legal hacer pentest a webs aleatorias para “practicar”?
¿Qué libros recomiendas?
¿Listo para entrar en el lado ofensivo?
Explora los recursos complementarios de infoeducacion.es para reforzar tu base técnica.
Guía del Artículo
- ⚔️ Pentester vs Red Team Operator: la diferencia importante
- 🛠️ Funciones del día a día en Red Team
- 🎯 Las 6 especialidades reales del pentester moderno
- 📚 MITRE ATT&CK: el lenguaje del Red Team
- 📋 Requisitos imprescindibles
- 🎯 Selector: qué especialidad Red Team te conviene
- 💰 Cuánto cobra un pentester en España en 2026
- 🎓 Certificaciones que sí pagan en 2026
- 🧪 Plataformas de práctica para entrenar
- 🛤️ Rutas para entrar al puesto
- ⚖️ Aspectos legales y éticos
- ❓ Preguntas frecuentes