Hay tres palabras que la gente usa como sinónimos y no lo son: ethical hacking, pentesting y red teaming. Da igual que las confunda tu primo que mira series de hackers. Cuando las confunde un gerente al contratar un servicio, termina pagando USD 30.000 por algo que no resuelve su problema. Cuando las confunde alguien que quiere dedicarse profesionalmente, termina estudiando lo que no corresponde al puesto que busca.

Esta guía es corta a propósito. Te ordena los tres conceptos, te dice cuál necesitás según el caso, y te manda al artículo específico si querés profundizar en algún tema puntual.

TL;DREthical hacking es el paraguas legal: cualquier prueba ofensiva con permiso. Pentesting es búsqueda exhaustiva de vulnerabilidades en un alcance acotado. Red teaming es simular a un atacante real persistente con un objetivo específico. No son tres niveles del mismo servicio — son tres cosas distintas.

Las tres disciplinas en tres párrafos

Ethical hacking es el término paraguas. Un ethical hacker es cualquiera que aplica técnicas de ataque con autorización escrita y propósito defensivo. Debajo de ese paraguas caen pentesting, red teaming, bug bounty, security research y un par más. El "ético" no es un juicio moral sobre la persona — es un marco legal. Hackear sin permiso, aunque sea con buena intención, es delito en cualquier país serio de la región.

Pentesting es el servicio más común que se contrata. Alguien viene, ataca tu infraestructura o aplicación dentro de un alcance bien definido, encuentra la mayor cantidad de vulnerabilidades posible en 1 a 4 semanas, y te entrega un reporte con todo documentado. Metodología conocida (OWASP, PTES, NIST), duración acotada, entregable formal. Es lo que pide ISO 27001, SOC 2, PCI DSS. La mayoría de las empresas que necesitan "un pentest" necesitan esto.

Red teaming es otra cosa. Simula a un atacante real con un objetivo concreto — "exfiltrar la base de datos de clientes", "comprometer al CEO", "llegar a producción". Dura meses, no semanas. Usa ingeniería social, ataques físicos, supply chain, lo que haga falta. Y prioriza no ser detectado por sobre encontrar todo — porque el objetivo no es enumerar problemas, es medir si tu equipo defensivo detecta y responde a un adversario sofisticado. Esto no se contrata hasta que ya tenés pentesting hecho y un SOC medianamente maduro.

Cómo saber cuál necesitás si estás contratando

El error más común es pedir un "pentest" cuando en realidad necesitás otra cosa. Este es el mapa rápido.

Si recién arrancás con seguridad y no tenés controles básicos, no necesitás pentesting. Necesitás un vulnerability assessment (más barato, más amplio, menos profundo) y después trabajar en lo obvio: MFA, EDR, backups, password manager. Pagar USD 20.000 por un pentest cuando no tenés MFA es tirar plata — el pentester va a encontrar tantas cosas básicas que el reporte se vuelve inútil.

Si ya tenés controles básicos funcionando y necesitás validar una aplicación o infraestructura específica, ahí sí: pentest estándar. Típicamente USD 5.000 a 30.000 según alcance. Si es por compliance anual (ISO 27001, SOC 2), vas a querer repetirlo cada año.

Si tenés un SOC propio o contratado y querés medir si detectan ataques reales, ahí entra el red team. USD 50.000 a 250.000+. Antes de gastar esto, asegurate de que ya saliste bien parado de pentests anteriores — si no, es como contratar un Gran Premio de F1 cuando tu auto no arranca.

Si tenés aplicaciones muy críticas y presupuesto, un programa de bug bounty te da testeo continuo de muchos investigadores en paralelo. Complementa, no reemplaza.

La señal de alerta número uno al contratar: un proveedor que te ofrece "pentest" por USD 1.500 no está vendiendo pentest. Está vendiendo un escaneo automatizado con reporte pulido. Los pentests serios los hace gente con OSCP mínimo, y esa gente no trabaja por USD 1.500 por proyecto.

Si querés profundizar en cómo funciona realmente un pentest y cómo evaluar proveedores sin que te vendan humo, lo cubrí en Qué es pentesting y cómo funciona. Y si estás evaluando si tu empresa ya está madura para red teaming, en Red teaming: qué es y cuándo contratarlo tenés los criterios concretos.

Cómo saber por dónde empezar si te querés dedicar

Acá la pregunta es otra. No es "qué contrato" sino "qué estudio".

Seguridad ofensiva es el camino más difícil dentro de ciberseguridad. No el mejor pago, no el peor pago — el más difícil. La curva de aprendizaje hasta un primer rol empleable es de 12 a 24 meses dedicando tiempo serio. Menos que eso solo si tenés un background técnico muy fuerte de antes.

Lo que la gente imagina (alguien tecleando rápido con música electrónica y pantallas verdes) tiene poco que ver con lo real. Lo real es paciencia. Horas leyendo documentación. Scripts que no funcionan. Reconocimiento que no encuentra nada por tres días. Y después, cuando por fin encontrás algo, escribir un reporte bien redactado donde la mitad del trabajo es explicar el hallazgo a gente que no sabe lo que vos sabés.

Si esto no te espanta y te parece más entretenido que frustrante, probablemente te va a gustar. Si lo que te atrae es la estética, probablemente no.

La ruta que funciona para la mayoría:

  1. Fundamentos sólidos — redes, Linux, algo de programación (Python mínimo). Sin esto, lo demás no prende.
  2. Laboratorios guiadosTryHackMe primero, después HackTheBox. Varios meses en cada uno.
  3. Security+ como certificación de entrada para empezar a calificar en ofertas.
  4. OSCP (de OffSec) como objetivo a los 12-18 meses. Es la certificación que te abre las puertas al primer rol.
  5. Primer rol junior, idealmente pentester, aceptable security engineer con posibilidad de rotar.
  6. Especialización después de 1-2 años — red teaming, web, cloud, mobile, exploit dev.

Es un camino largo pero documentado. Gente lo hace todos los años, desde cero. Lo que no funciona es intentar saltearse pasos ni esperar el rol ofensivo perfecto como primer trabajo en ciberseguridad.

Si querés el detalle completo del camino con tiempos, recursos y estrategias, lo desarrollé en Cómo convertirse en pentester desde cero.

Lo que cobran los que ya están adentro

Una pregunta que siempre aparece: ¿paga bien? Respuesta corta: sí, dentro del promedio alto de tech.

En Estados Unidos, un pentester junior está entre USD 90.000 y 130.000. Un senior alrededor de USD 140.000-180.000. Un red teamer experimentado puede llegar fácilmente a USD 200.000+. CISOs y roles de dirección ofensiva escalan bastante más.

En LATAM los números locales están típicamente en el 30-50% del benchmark estadounidense para el mismo rol. Pero acá hay un punto clave: los contratos remotos internacionales acercan esa brecha mucho. Un senior argentino con OSCP y experiencia real trabajando remote para una firma europea o estadounidense cobra sueldos que no tienen nada que ver con los locales. Es una de las pocas carreras tech donde el techo local no te limita si tenés buen inglés y skills demostrables.

El análisis completo por rol, país y experiencia está en Salarios en seguridad ofensiva 2026.

Las certificaciones que realmente mueven la aguja

Tres palabras: OSCP, OSCP, OSCP. Es la certificación que todo empleador reconoce y la única del segmento ofensivo que no permite "adivinar preguntas" — son 24 horas de pentest real contra máquinas reales. Si te va bien, sabés hackear. Si te va mal, volvés a estudiar.

Después de OSCP viene un abanico según dónde te quieras especializar. OSEP si vas hacia red teaming avanzado. CRTO si querés entrar a Active Directory y Cobalt Strike. OSWE si vas a web deep. PNPT como alternativa más económica a OSCP para arrancar. CEH solo si te la pide algún cliente por contrato — técnicamente es menos respetada que OSCP.

Lo que no es certificación pero también vale: participar en bug bounty, resolver CTFs, publicar write-ups, tener CVEs a tu nombre. Para empresas modernas, eso pesa tanto como las siglas en el CV.

El detalle de cada certificación — cuál vale la pena, orden recomendado, ROI real de cada una — está en Certificaciones ofensivas: OSCP, OSEP, CRTO y alternativas.

Lo que vas a usar todos los días

Si algún día terminás dedicándote a esto, hay un puñado de herramientas que vas a abrir literalmente todos los días.

Kali Linux como sistema operativo de trabajo. Burp Suite para cualquier cosa relacionada con web. nmap para reconocimiento de red (lleva décadas siendo el estándar y probablemente va a seguirlo siendo otras dos). Metasploit para explotación. Wireshark para análisis de tráfico. BloodHound si te metés en Active Directory. Cobalt Strike si eventualmente vas hacia red teaming corporativo.

Y un laboratorio propio. No podés aprender esto sin romper cosas, y no podés romper cosas ajenas. Un home lab con un par de VMs vulnerables, una subscripción a HackTheBox o TryHackMe, y tiempo.

La guía completa con setup de laboratorio, herramientas por categoría y cuándo usar cada una está en Herramientas y laboratorios para aprender hacking.

El elefante legal en la habitación

Un punto que no se enfatiza suficiente y que conviene tener claro desde el día uno: hackear sin autorización escrita es delito. Punto. No importa la intención, no importa que sea una empresa "mala", no importa que lo hagas para aprender. Argentina, Brasil, México, Chile y la mayoría de países latinoamericanos tienen legislación específica contra acceso no autorizado a sistemas informáticos. El desconocimiento no es defensa.

Tres reglas simples que se siguen toda la carrera:

  • Sin papel firmado, no hay hackeo. Contrato con alcance explícito antes de empezar cualquier cosa.
  • El alcance es sagrado. Si el alcance dice "solo esta app", el servidor del lado no se toca, aunque esté vulnerable y te muera de ganas.
  • Si encontrás algo grave fuera del alcance, reportás al dueño. Responsible disclosure. Nunca explotás "solo para confirmar".

Esto es lo que separa al ethical hacker del criminal. Técnicamente pueden usar las mismas herramientas. Legalmente están en universos distintos.

Resumen y próximos pasos

Si llegaste hasta acá, ya tenés el mapa. Ethical hacking es el paraguas, pentesting es el servicio estándar, red teaming es la especialidad avanzada. Para contratar, empezás con lo simple y escalás según madurez. Para estudiar, el camino es largo pero documentado y bien pagado. Y todo pasa por trabajar con permiso escrito.

Los artículos específicos donde profundizo cada tema:

Y las guías de ciberseguridad general que complementan este paquete:

¿Dudas específicas sobre el camino, sobre contratar un servicio o sobre cualquier cosa que quedó corta en esta guía? Escribinos a contacto@capacero.online.