Cuando una empresa recibe una propuesta de pentesting, el documento generalmente viene con una sección sobre el equipo que va a trabajar en el engagement, listando certificaciones de cada pentester. OSCP, CEH, CISSP, Security+, CHFI, GCIH. Para alguien que no está inmerso en el rubro, esas siglas son opacas. Suenan serias pero no está claro qué garantizan, cuáles son comparables entre sí, ni qué diferencia hay entre una y otra.

Este artículo es el contexto que falta. Explica qué es cada certificación que aparece habitualmente en propuestas de pentesting, cómo se obtiene, qué capacidad técnica prueba, y qué rol juega en la industria. No es una guía de compras — es información para que las empresas entiendan qué están leyendo cuando se encuentran con estas credenciales, ya sea en propuestas, en perfiles de LinkedIn del equipo del proveedor, o en discusiones técnicas con su CISO.

TL;DR — Las certificaciones de ciberseguridad no son todas equivalentes. Algunas prueban capacidad técnica mediante exámenes prácticos rigurosos (OSCP, OSEP, OSWE); otras validan conocimiento teórico con exámenes de múltiple choice (CEH, Security+); otras certifican trayectoria en management y arquitectura (CISSP). Cada una existe por una razón distinta y significa algo distinto. Entender esa diferencia permite leer mejor las propuestas, entender mejor al equipo asignado, y tener conversaciones más informadas con proveedores y equipos internos.

Por qué existen las certificaciones en ciberseguridad

Las certificaciones técnicas en ciberseguridad cumplen una función específica: proveen señal verificable sobre capacidades de profesionales que no siempre pueden demostrarlas abiertamente.

Un desarrollador puede mostrar código en GitHub. Un diseñador, un portfolio. Un arquitecto, edificios construidos. Un pentester tiene un problema particular: su trabajo es confidencial por naturaleza. No puede compartir pentests que hizo, no puede mostrar vulnerabilidades que encontró en clientes específicos, no puede demostrar su capacidad atacando sistemas a los que no fue invitado.

Las certificaciones cubren ese vacío. Un tercero independiente evalúa al profesional en un entorno controlado y certifica que cumple un estándar. No garantiza que sea el mejor del mundo, garantiza que superó un piso específico y conocido. Ese piso puede ser técnico y práctico (demostrar que puede efectivamente hackear), teórico y conceptual (demostrar que conoce la disciplina), o funcional y metodológico (demostrar que puede gestionar programas de seguridad).

Entender qué evalúa cada certificación es más útil que saber cuál es "mejor" — porque certifican cosas distintas. Una empresa que contrata pentesting típicamente encuentra en las propuestas una mezcla de todas estas categorías. Saber distinguirlas ayuda a tener una lectura informada.

Las certificaciones prácticas ofensivas

Son las que evalúan capacidad técnica real mediante exámenes donde el candidato debe efectivamente comprometer sistemas. El grupo más relevante para pentesting profesional.

OSCP (Offensive Security Certified Professional)

Emitida por OffSec, es la certificación más reconocida globalmente en pentesting práctico y se considera el estándar de facto de la industria.

El examen consiste en 24 horas de pentest práctico contra un laboratorio controlado donde el candidato debe comprometer varios sistemas, seguidas de 24 horas adicionales para escribir un reporte profesional documentando cada hallazgo con evidencia, pasos de reproducción, impacto y recomendaciones. No hay componente teórico ni múltiple choice — si el candidato no logra penetrar los sistemas, no aprueba.

La tasa de aprobación histórica ronda el 30-40% en primer intento, lo que genera una estadística interesante: muchos pentesters serios la rindieron dos o incluso tres veces antes de aprobar, y lo mencionan abiertamente. En la cultura del rubro no se ve como debilidad sino como evidencia de que el examen es realmente exigente.

Lo que certifica: capacidad práctica verificada de comprometer sistemas reales, metodología estructurada en el enfoque, conocimiento amplio que cubre Linux, Windows, Active Directory, web básico y redes, y capacidad de reportar profesionalmente.

Lo que no certifica: especialización profunda en áreas específicas (cloud, mobile, exploit development), experiencia en entornos corporativos reales, o seniority. Un profesional puede tener OSCP con 2 años de experiencia o con 10.

OSCP se renueva cada 3 años bajo la denominación OSCP+ desde 2023. OffSec introdujo la renovación periódica porque una certificación práctica debe mantenerse actualizada con técnicas modernas — un OSCP obtenido en 2018 evaluaba un panorama técnico distinto al actual.

OSEP (Offensive Security Experienced Penetration Tester)

También de OffSec. Examen práctico de 48 horas enfocado en técnicas de evasión avanzadas: bypass de antivirus y EDR, evasión de AppLocker, bypass de AMSI, técnicas de living off the land, y explotación de Active Directory en entornos protegidos.

Es la certificación natural después de OSCP para profesionales que se mueven hacia pentesting avanzado y red teaming inicial. El examen asume que el candidato ya maneja los fundamentos que evalúa OSCP — no es una certificación de entrada, es de profundización.

Lo que certifica: capacidad de operar contra entornos defendidos con EDR moderno, comprensión de técnicas de evasión actuales, y habilidad de ejecutar ataques de infraestructura sofisticados.

OSWE (Offensive Security Web Expert)

Examen de 48 horas centrado en análisis de código fuente y explotación web avanzada. El candidato recibe código fuente de aplicaciones y debe identificar vulnerabilidades complejas y escribir exploits propios.

Es la certificación más específica para web pentesting de nivel senior. A diferencia de OSCP donde el web es uno de varios componentes, OSWE va profundo: vulnerabilidades de lógica de negocio, autenticación y autorización compleja, frameworks modernos, análisis white-box serio.

CRTO (Certified Red Team Operator)

Emitida por Zero-Point Security. Examen práctico de 48 horas en un entorno completo de Active Directory empresarial, enfocado en técnicas modernas de red team: uso de Cobalt Strike, establecimiento de command and control, movimiento lateral sigiloso, persistencia, y evasión de detección moderna.

Es la certificación de red teaming más accesible técnica y económicamente, y ganó mucho reconocimiento en la industria entre 2022 y 2026. El contenido está alineado con técnicas que adversarios reales usan actualmente, lo que la hace particularmente relevante.

OSED y OSEE (Offensive Security Exploit Developer / Expert)

El nivel más técnico del catálogo de OffSec, enfocado en desarrollo de exploits propios. OSED cubre fundamentos — buffer overflows modernos, bypass de mitigaciones como ASLR y DEP, técnicas de ROP. OSEE es la versión avanzada, conocida por ser el examen más difícil del ecosistema OffSec.

Son certificaciones de nicho ultra-técnico. Pocos pentesters las tienen y corresponden a perfiles específicos dedicados a investigación de vulnerabilidades, desarrollo de exploits para research, o análisis de firmware embebido.

GIAC / SANS (GPEN, GXPN, GWAPT, GCIH)

GIAC es el brazo de certificación de SANS Institute, una de las instituciones de formación en ciberseguridad más respetadas globalmente. Las certificaciones prácticas relevantes para pentesting incluyen GPEN (Penetration Tester), GXPN (Exploit Researcher), GWAPT (Web Application Penetration Tester), y GCIH (Incident Handler, muy cercana al pentesting defensivo).

Los exámenes son rigurosos, con contenido actualizado y buena reputación técnica. Son menos comunes que OSCP en el mercado comercial por una razón económica: los cursos SANS que generalmente acompañan la preparación cuestan USD 7.000-9.000, lo que limita quién las saca a profesionales con sponsoring corporativo fuerte.

Son más comunes en entornos de gobierno, defensa, y grandes corporaciones que financian formación de sus equipos internos.

eJPT y PNPT

eJPT (eLearnSecurity Junior Penetration Tester) es una certificación práctica de entrada, menos exigente que OSCP pero con formato práctico legítimo. Apunta a profesionales en etapa inicial.

PNPT (Practical Network Penetration Tester) emitida por TCM Security es una alternativa más reciente que ganó respeto en la industria. Formato práctico serio con examen de 5 días que incluye reporte profesional. Es menos costosa que OSCP y en algunos círculos se considera comparable en rigor.

Las certificaciones teóricas y de fundamentos

Este grupo evalúa conocimiento conceptual sobre ciberseguridad mediante exámenes de opción múltiple o similares. No prueban capacidad práctica ofensiva pero cumplen otros propósitos válidos.

CEH (Certified Ethical Hacker)

Emitida por EC-Council, es probablemente la certificación más conocida del gran público relacionada con "hacking ético". Examen de 125 preguntas de opción múltiple sobre conceptos, herramientas y metodologías.

El formato del examen es su característica más debatida en la industria: se puede aprobar sin haber comprometido jamás un sistema real. Eso genera una percepción dividida — los críticos la consideran una certificación de memorización, los defensores argumentan que valida fundamentos conceptuales amplios y que muchos profesionales serios la tienen.

La realidad en el mercado: CEH es requisito en muchas licitaciones gubernamentales y contratos corporativos grandes, particularmente en Estados Unidos bajo la directiva DoD 8570. Los profesionales que trabajan con sector público frecuentemente la tienen por obligación contractual, independientemente de si la consideran valiosa técnicamente.

En LATAM se encuentra frecuentemente en propuestas de firmas que trabajan con sector público o grandes corporaciones que replican requisitos estadounidenses.

CompTIA Security+, CySA+, PenTest+

CompTIA emite varias certificaciones técnicas de fundamentos. Security+ es la certificación de entrada más común a ciberseguridad, cubriendo amplia y superficialmente todos los dominios. CySA+ (Cybersecurity Analyst) apunta a perfiles analíticos y detección. PenTest+ específicamente a pentesting pero con formato de múltiple choice, sin examen práctico.

Son buenas certificaciones para demostrar fundamentos técnicos amplios, especialmente en las primeras etapas de carrera. No son certificaciones de pentesting profesional senior — son fundamentos.

CISSP (Certified Information Systems Security Professional)

De (ISC)², es una de las certificaciones más prestigiosas de ciberseguridad pero no es una certificación de pentesting. CISSP cubre ocho dominios amplios de seguridad — gobernanza, gestión de riesgo, arquitectura, desarrollo seguro, operaciones, y más — sin profundidad técnica ofensiva.

Requiere 5 años de experiencia documentada en múltiples dominios para obtenerla. Es típicamente el sello de CISOs, Security Architects, y managers seniors de seguridad.

Cuando aparece en propuestas de pentesting, generalmente es del líder ejecutivo o del gerente de la firma — no del pentester que va a hacer el trabajo técnico. Es certificación de contexto, no de capacidad técnica ofensiva.

CISM y CISA

CISM (Certified Information Security Manager) de ISACA es similar a CISSP pero más enfocada en management puro. CISA (Certified Information Systems Auditor) está enfocada en auditoría de sistemas — es la certificación típica de auditores IT, no de pentesters.

Son certificaciones legítimas y respetadas pero para roles distintos del pentesting. Cuando aparecen en una propuesta, clarifican el perfil profesional de quien las tiene: son managers o auditores, no hackers técnicos.

Certificaciones específicas de dominio

Algunas certificaciones validan conocimiento en áreas técnicas específicas que pueden relacionarse con pentesting especializado.

Certificaciones de cloud

AWS Certified Security – Specialty, Microsoft Azure Security Engineer, Google Cloud Professional Cloud Security Engineer. Son certificaciones de los proveedores cloud mismos, enfocadas en seguridad de sus plataformas específicas.

No son certificaciones ofensivas per se — cubren tanto configuración defensiva como entendimiento de superficies de ataque. Para pentesting específico de cloud, estas certificaciones combinadas con experiencia práctica son lo más cercano a "especialización cloud certificada" que existe en 2026.

CCSP (Certified Cloud Security Professional)

De (ISC)². Equivalente cloud de CISSP, cubriendo amplia y generalmente seguridad en ambientes cloud multi-proveedor. Como CISSP, es más certificación de arquitectura que de pentesting práctico.

Certificaciones forenses

CHFI (Computer Hacking Forensic Investigator) de EC-Council, GCFA y GCFE de GIAC. Certifican capacidades de análisis forense digital post-incidente. Se cruzan con pentesting en incident response pero son disciplinas distintas.

Si aparecen en propuesta de pentesting, probablemente el profesional trabajó en respuesta a incidentes además de pentesting ofensivo.

La acreditación institucional: CREST

CREST merece mención aparte porque funciona distinto. No es una certificación individual sino una acreditación de firmas completas. CREST audita periódicamente a las firmas acreditadas, revisando procesos, metodologías, capacidad del personal, procedimientos de manejo de información confidencial, y seguros profesionales.

El modelo tiene ventajas específicas: garantiza que la firma entera, no solo un profesional individual, cumple estándares consistentes. Los clientes no dependen de la suerte de qué profesional específico les asignen — todo el equipo cumple el piso acreditado.

CREST también certifica individuos bajo el paraguas de firmas acreditadas: CRT (Registered Tester), CCT (Certified Tester), con variantes para infraestructura, aplicaciones, etc. Los exámenes son rigurosos con componente práctico.

Es especialmente relevante en mercado británico y europeo, menos común en América Latina. En sectores altamente regulados (finanzas, salud, gobierno, energía crítica) frecuentemente se requiere firma CREST-accredited o equivalente.

Cómo interpretar combinaciones típicas en propuestas

Entender qué significa cada certificación por separado ayuda, pero las propuestas típicamente muestran combinaciones. Algunas configuraciones comunes y lo que generalmente indican:

OSCP + alguna especialización (OSWE/OSEP/CRTO). Perfil típico de pentester profesional con 3-7 años de experiencia. Capacidad práctica general más profundidad en un área específica. Es el perfil técnico más común en firmas medianas de pentesting.

OSCP + CISSP. Profesional senior o en transición hacia roles de liderazgo técnico. Suficiente técnico práctico para dirigir trabajo ofensivo, suficiente contexto estratégico para interlocutar con management.

CEH + Security+ como principales. Perfil junior o en etapa de formación. Fundamentos conceptuales presentes pero sin demostración de capacidad práctica ofensiva. Aparece frecuentemente en propuestas de firmas que trabajan bajo supervisión senior.

Múltiples GIAC. Profesional con sponsoring corporativo fuerte. Típico de firmas grandes que financian formación continua, o de veteranos de sector público.

CISSP + CISM como principales, sin OSCP ni equivalentes. Perfil de management o consultor estratégico, no de pentester técnico. Puede ser el líder del proyecto o el contacto comercial, rara vez el que va a ejecutar técnicamente el engagement.

CEH solo. Frecuentemente indica requisito contractual específico (sector público, licitación gubernamental). Por sí sola no indica capacidad práctica ofensiva avanzada.

CRTO + OSEP. Perfil especializado en red teaming. Si el servicio contratado es red teaming, esta combinación es coherente con lo que requiere el trabajo.

Sin certificaciones relevantes mencionadas. Puede indicar que la firma confía en experiencia documentada por encima de certificaciones, lo cual es legítimo en algunos casos (profesionales muy senior con CVEs publicados, investigación propia, conferencias dictadas). También puede indicar falta de certificaciones — distinguirlos requiere contexto adicional.

Verificación de certificaciones

Todas las certificaciones legítimas son verificables públicamente. Los principales emisores mantienen portales donde cualquiera puede confirmar si una certificación está activa:

Esta verificabilidad es parte del valor de las certificaciones. Una credencial que no se puede verificar públicamente tiene valor limitado.

Certificaciones organizacionales que complementan

Además de certificaciones individuales del personal, algunas firmas tienen certificaciones de la firma completa que aportan contexto adicional.

SOC 2 Type II certifica que la firma misma sigue controles de seguridad para proteger información de sus clientes — incluida la información sensible que genera durante los pentests (hallazgos, evidencia, reportes).

ISO 27001 como estándar internacional de gestión de seguridad de la información de la propia firma.

Afiliaciones con OWASP o contribuciones activas a proyectos de OWASP indican presencia en la comunidad técnica más allá de certificaciones formales.

Participación en conferencias de investigación como DEF CON, Black Hat, Ekoparty o regionales. Charlas disponibles públicamente en YouTube dan una muestra de la profundidad técnica real del equipo que ninguna certificación puede proveer.

El rol cambiante de las certificaciones

Las certificaciones de ciberseguridad son un ecosistema vivo que cambia con la industria. Algunas observaciones sobre hacia dónde evoluciona el panorama:

OSCP se consolidó como estándar práctico en los últimos 10 años, desplazando a otras certificaciones más antiguas que perdieron relevancia. La renovación obligatoria cada 3 años (OSCP+) refleja conciencia de que el campo evoluciona rápido.

Las certificaciones cloud ganan peso progresivamente a medida que la infraestructura empresarial migra. AWS, Azure y GCP invirtieron fuerte en sus certificaciones de seguridad específicas.

CEH mantiene presencia por inercia regulatoria más que por reputación técnica creciente. Mientras existan licitaciones que la requieran específicamente, va a seguir apareciendo en propuestas.

Emergen certificaciones prácticas alternativas como PNPT que compiten con OSCP en rigor a costos menores. El mercado de certificaciones prácticas se diversifica.

Bug bounty y trabajo público ganan importancia relativa frente a certificaciones. CVEs publicados, write-ups técnicos, charlas en conferencias y ranking en plataformas como HackerOne son reconocidos progresivamente como evidencia de capacidad técnica real, complementando o a veces reemplazando certificaciones formales.

Red teaming madura como especialidad certificable con ofertas específicas como CRTO. Hace 5 años no existían certificaciones serias de red teaming; hoy hay varias reconocidas.

Próximos pasos

Si llegaste hasta acá, ya tenés el contexto para interpretar mejor las propuestas y conversaciones técnicas sobre pentesting. Los artículos complementarios:

Para el panorama general, el hub está en Seguridad Ofensiva: qué es Ethical Hacking, Pentesting y Red Teaming.

¿Dudas sobre alguna certificación específica que aparece en una propuesta o conversación técnica? Escribinos a contacto@capacero.online.