ofensiva
hacking ético
ethical hacking
OSCP

Qué es hacking ético: tipos de hackers, certificaciones y marco legal

Qué es el hacking ético, tipos de hackers (white/grey/black hat), certificaciones (OSCP, OSWE, CEH), camino profesional y marco legal en España.

Secra12 de mayo de 202614 min de lectura

El hacking ético es el uso autorizado de técnicas ofensivas para descubrir vulnerabilidades antes que un atacante malicioso. Se ejecuta con contrato formal, alcance acotado y objetivo de mejorar la seguridad, usando el mismo nivel de habilidad y herramientas que el atacante real pero con propósito defensivo. En 2026 es una de las disciplinas más demandadas en el mercado laboral español de ciberseguridad, con escasez estructural de perfiles senior y salarios al alza.

Esta guía explica qué es exactamente el hacking ético, los tipos de hackers que aparecen en cualquier conversación profesional (white, grey, black, red, blue, purple), las certificaciones que de verdad se piden en el mercado español (OSCP, OSWE, CEH, PNPT, eJPT, HTB CPTS), el camino profesional típico para llegar a perfil senior, la diferencia con pentesting y Red Team, el marco legal en España (Código Penal y RGPD) y cómo se entra al sector sin perderse en cursos genéricos.

Qué es el hacking ético

El hacking ético es el uso autorizado de técnicas y herramientas ofensivas para identificar vulnerabilidades, validar controles defensivos y mejorar la postura de seguridad de una organización. Las cuatro propiedades que lo definen y lo distinguen del cibercrimen:

  1. Autorización formal por escrito. Sin contrato y alcance documentado, no es hacking ético; es delito.
  2. Alcance acotado. Define qué activos, qué técnicas, qué ventana de tiempo, qué información puede mirar el ejecutor.
  3. Reporte responsable. Los hallazgos se entregan al propietario primero, con plan de remediación y plazos razonables antes de cualquier publicación.
  4. Mejora defensiva como objetivo. El producto final es un sistema más seguro, no un trofeo personal ni un compromiso comercial del cliente.

Lo que aporta operativamente:

  • Validación empírica de que los controles defensivos funcionan ante TTPs reales.
  • Priorización de inversión en seguridad basada en lo que el atacante real explotaría primero.
  • Cumplimiento de marcos que exigen pruebas de penetración (NIS2, DORA, PCI DSS, ENS).
  • Cobertura del seguro cibernético, que en 2026 cada vez más exige pentesting periódico.
  • Reducción de superficie de ataque antes de un incidente real.

Cuatro situaciones que no cuentan como hacking ético aunque la persona lo crea así:

  • Investigar sistemas de terceros sin autorización, aunque sea por curiosidad o motivo benigno (delito Art. 197 bis CP).
  • Comprar exploits para uso fuera de contrato.
  • "Hackear" la cuenta de una expareja o investigar a un familiar (delito grave).
  • Reportar vulnerabilidades exigiendo dinero antes de divulgación pública (extorsión, no responsible disclosure).

Tipos de hackers

La taxonomía de "sombreros" es cultural, pero útil para conversaciones rápidas. Las seis categorías que aparecen.

White hat

Profesional ético contratado por la organización propietaria. Pentester, Red Teamer, investigador de bug bounty con autorización. La actividad está cubierta por contrato y por las leyes. Es donde Secra y la mayoría de boutiques de ciberseguridad trabajan.

Black hat

Ciberdelincuente. Actúa sin autorización buscando beneficio personal: extorsión, robo de datos, fraude, sabotaje. Penado por el Código Penal con penas que pueden alcanzar varios años de prisión.

Grey hat

Zona gris. Investigador que descubre vulnerabilidades en sistemas que no le pertenecen pero las reporta al propietario sin haber tenido autorización previa. Su intención es benigna pero su método es ilegal estricto. Muchos casos terminan en disputa legal porque el propietario reacciona mal y denuncia.

Red team

No es un sombrero individual sino una función dentro de una organización: equipo ofensivo autorizado que ejecuta ejercicios complejos contra el resto de la empresa. Detalle en la guía de Red Team.

Blue team

Equipo defensivo. SOC, threat hunters, ingenieros de detección. La contraparte del Red Team dentro de la organización. No es ofensivo, pero comparte cultura técnica y vocabulario.

Purple team

Ejercicio o equipo donde Red Team y Blue Team trabajan colaborativamente: el atacante ejecuta una técnica, el defensor valida en directo si la detección funciona, ambos ajustan en el momento. Es la forma más rápida y rentable de subir la madurez defensiva en pocas semanas.

Certificaciones que se piden en España

El sector está lleno de certificaciones, muchas con poca señal real. Las que aparecen en RFPs reales y que los clientes valoran en 2026:

OSCP (Offensive Security Certified Professional)

La certificación de pentesting más reconocida globalmente y la que más se cita en oferta laboral senior española. Examen de 24 horas hands-on contra una red controlada, más informe profesional. Marca un nivel mínimo de capacidad real, no solo teórico. Es el filtro que muchos clientes exigen para validar perfiles de equipo del proveedor.

OSWE (Offensive Security Web Expert)

Especialización en explotación de aplicaciones web profundas. Examen de 48 horas. Bastante más exigente que OSCP y muy valorada en proyectos de auditoría web crítica. Detalle en pentesting de aplicaciones web.

CEH (Certified Ethical Hacker)

De EC-Council. Más conocida en sector público y RFPs administrativos. Examen tipo test, menos hands-on que OSCP, criticada en la comunidad técnica por baja exigencia práctica. Sigue apareciendo en pliegos de licitación administrativos españoles, sobre todo en TIBER-EU y proyectos de administración pública.

PNPT (Practical Network Penetration Tester) y eJPT (eLearnSecurity Junior Penetration Tester)

PNPT (TCM Security) y eJPT (INE) son alternativas modernas con buen reconocimiento. Más asequibles que OSCP y bien diseñadas para perfiles junior-mid.

HTB CPTS (Hack The Box Certified Penetration Testing Specialist)

Certificación más nueva (2023+) que ha ganado tracción rápido. Examen hands-on de calidad alta y precio razonable. Cada vez más mencionada en ofertas laborales.

CRTO, CRTP y CRTE

CRTO (Certified Red Team Operator) es de Zero-Point Security (Daniel Duggan / RastaMouse), enfocado en operaciones Red Team con C2 (Cobalt Strike, Mythic, Sliver) y evasión moderna.

CRTP (Certified Red Team Professional) y CRTE (Certified Red Team Expert) son de Altered Security (antes Pentester Academy, de Nikhil Mittal), enfocados en explotación profunda de Active Directory y forest attacks.

Las tres son muy valoradas en proyectos serios de Red Team y se complementan entre sí. Detalle del entorno en pentesting de infraestructura.

GIAC (SANS)

GPEN, GXPN, GWAPT, GMOB, GCIH. Caras, riguroso, fuerte reconocimiento en sector público estadounidense y multinacionales. En España aparecen pero menos que OSCP por coste.

Burp Suite Certified Practitioner y otras vendor-specific

Útiles como complemento. No sustituyen a OSCP o equivalente.

Lo importante en 2026 no es la certificación en sí, sino la combinación de certificación con CV demostrable (CTFs, write-ups, proyectos públicos, contribuciones a herramientas open source).

Camino profesional típico

La trayectoria habitual hasta perfil senior de hacking ético en España.

0-12 meses. Fundamentos: redes (CCNA o equivalente), Linux (LFCS), programación básica (Python). CTFs introductorios en TryHackMe, HackTheBox starting point, OverTheWire. Primer empleo en SOC L1, soporte IT o consultoría junior. Lectura intensiva: The Web Application Hacker's Handbook, OWASP Testing Guide, Red Team Field Manual.

1-3 años. Certificación junior (eJPT, PNPT) y especialización inicial (web, infraestructura, móvil, OT). Primer rol como pentester junior o auditor de seguridad. Participación regular en CTFs (HTB, root-me, CTF nacionales). Comunidad: H4ckPlayers, Hackplayers, INCIBE Bug Bounty (donde aplique).

3-5 años. OSCP idealmente. Especialización clara en uno o dos verticales (red team AD, cloud security, móvil, web avanzada). Proyectos completos como líder técnico. Write-ups públicos o ponencias en eventos comunidad (No cON Name, Hackplayers Talks, Hack&Beers, Mundo Hacker).

5+ años. Certificación avanzada (OSWE, CRTO, OSCE3 que agrupa OSWE+OSED+OSEP de Offensive Security, GXPN según especialización). Liderazgo de equipo, gestión de proyectos complejos, capacidad de comunicación a comité de dirección. Aquí los perfiles escasean y el mercado paga bien.

10+ años. Investigación pública con CVEs publicadas, ponencias internacionales (Black Hat, DEF CON, RootedCON), o rol de research/founder/CTO en consultoría boutique. Pocas personas, contratación competitiva, perfil bien identificado en la comunidad.

Hacking ético, pentesting y Red Team

Confusión habitual en quien entra al sector. Las diferencias.

  • Hacking ético es la disciplina general: cualquier uso ofensivo autorizado.
  • Pentesting es un servicio concreto: auditoría ofensiva acotada sobre activos específicos en ventana de tiempo definida, con informe detallado de hallazgos.
  • Red Team es un ejercicio adversarial completo y silencioso: simulación de un atacante real durante semanas, sin que la organización defensora sepa que está sucediendo, con objetivo concreto (entrar a un sistema crítico, llegar al CEO, exfiltrar datos sensibles).
  • Bug bounty es modalidad de hacking ético con marco contractual particular: la empresa publica programa con alcance y recompensas, hackers independientes encuentran y reportan vulnerabilidades, cobran por hallazgo según severidad.

En España, el mercado profesional de hacking ético se distribuye principalmente entre estas modalidades, con el pentesting como entrada y el Red Team como cima de complejidad.

Práctica clave que diferencia profesional de delincuente.

Autorización formal y por escrito

El contrato debe especificar: alcance técnico (URLs, IPs, sistemas), alcance temporal (fechas y horas), técnicas permitidas y prohibidas, mecanismo de comunicación durante el ejercicio, kill switch para parar si algo va mal, responsabilidades de las dos partes, confidencialidad sobre lo descubierto, plazo de divulgación responsable. Sin esto, no hay defensa legal.

Código Penal aplicable

  • Artículo 197: descubrimiento y revelación de secretos. Penas de uno a cuatro años de prisión.
  • Artículo 197 bis: intrusión informática. Acceder a sistema ajeno sin autorización es delito en sí, aunque no se cause daño.
  • Artículo 197 ter: producción y comercialización de programas para cometer los delitos anteriores. Aplicable a desarrolladores de herramientas si se demuestra finalidad delictiva.
  • Artículo 264: daños informáticos. Borrado, alteración, deterioro de datos.
  • Artículo 264 bis: agravantes específicos cuando los daños afectan a sistemas informáticos críticos o causan perjuicio grave.

RGPD y LOPD-GDD

Si el pentest toca datos personales (lo que ocurre casi siempre), el contrato debe incluir cláusulas de tratamiento de datos. El proveedor actúa como encargado de tratamiento; las medidas técnicas y organizativas deben documentarse; los datos extraídos durante el ejercicio se borran al cierre. Sin esto, infracción RGPD sancionable por la AEPD.

Los programas formales (HackerOne, BugCrowd, Intigriti, Yes We Hack) ofrecen Safe Harbor: cláusula que protege legalmente al investigador que sigue las reglas. Casos como la prueba de concepto del Ministerio de Asuntos Económicos (programa público español pionero) o las iniciativas voluntarias de INCIBE son ejemplos. Sin programa formal, reportar a una empresa sin canal previo es zona gris que ha terminado en denuncias.

Investigación responsable y publicación de CVE

El estándar es divulgación responsable: notificar al fabricante, esperar parche en plazo razonable (90 días es la norma Google Project Zero), publicar después. El registro formal vía CNA (INCIBE-CERT es CNA paraguas en España) protege al investigador. Detalle en la guía de qué es un CVE.

Errores típicos al entrar al sector

Lo que se observa en mentorías y procesos de contratación.

Acumular certificaciones sin práctica real. Tres certificaciones sin proyecto demostrable valen menos que una con write-ups públicos y CTFs documentados.

Especializarse demasiado pronto. Saltar a Red Team avanzado sin dominar pentesting web e infraestructura básica deja huecos que aparecen en cualquier proyecto serio.

Ignorar el lado defensivo. El mejor pentester entiende cómo lo van a detectar. Pasar 6 meses en SOC o como threat hunter mejora drásticamente el trabajo ofensivo posterior.

Subestimar la comunicación. La técnica abre la puerta; los proyectos los renuevan los clientes que entienden el informe. Saber escribir y presentar a comité de dirección es lo que separa senior de mid.

Cruzar líneas legales por presión social. Comunidad underground, foros, retos no éticos: trampa que ha truncado carreras. Una denuncia tarde a los 22 años aparece a los 35 cuando el cliente hace background check.

Vivir solo de tutoriales. Los cursos enseñan máquinas dirigidas; los proyectos reales son ambiguos y caóticos. Sumar experiencia real (junior en empresa, programas bug bounty con autorización clara) es lo que profesionaliza.

Olvidar OSINT. La fase de reconocimiento es la mitad del trabajo en Red Team y due diligence. Quien ignora OSINT se queda en pentester técnico, no llega a operador completo.

Salidas profesionales típicas

Por dónde se mueve la gente que entra al sector en España.

  • Consultora boutique (Secra, Tarlogic, A2Secure, S2 Grupo). Proyectos variados, aprendizaje rápido, exposición a sectores múltiples. Salarios competitivos a partir de mid.
  • Big 4 y consultoras grandes (Deloitte, PwC, KPMG, EY, Accenture). Más proceso y menos técnica pura, mejor para perfiles híbridos compliance + técnico.
  • In-house en banca, telco, energía. Salario más alto, estabilidad, riesgo de estancamiento técnico si la organización no invierte en Red Team interno.
  • Bug bounty full-time. Pocos perfiles a nivel mundial llegan a vivir solo de bug bounty. Más realista como complemento.
  • Research y vendor. Equipos de research en Microsoft, Google, Mandiant, CrowdStrike, fabricantes de EDR. Selectivo, internacional.
  • Freelance senior. Posible a partir de 7-8 años con red de clientes establecida. Inestable los primeros años.
  • Formación y contenido. Hispano-instructores en plataformas, contenido en YouTube, libros, mentoría. Combinable con consultoría.

Encaje con compliance

El hacking ético es parte explícita o implícita de varios marcos:

  • NIS2 (artículo 21). Pruebas de seguridad como parte de las medidas técnicas exigibles a entidades esenciales e importantes.
  • DORA (artículos 24-27). Pruebas avanzadas de penetración basadas en amenazas (TLPT) obligatorias para entidades financieras. Detalle en TIBER-EU y TLPT.
  • ISO 27001:2022 (control 8.29). Test de seguridad en desarrollo y aceptación.
  • ENS Real Decreto 311/2022 (mp.s.x). Pruebas de penetración periódicas para sistemas de categoría media y alta.
  • PCI DSS v4.0 (req. 11.4). Pentesting anual obligatorio para entornos que procesan datos de tarjeta.
  • RGPD (artículo 32). Pruebas, verificación y evaluación periódica como medida técnica obligatoria.

Preguntas frecuentes

Sí, siempre con autorización formal por escrito del propietario del sistema y dentro del alcance pactado. Sin esos dos elementos, cualquier prueba ofensiva contra sistemas ajenos es delito (artículo 197 bis del Código Penal).

¿Diferencia entre hacking ético y pentesting?

Hacking ético es la disciplina general. Pentesting es un servicio concreto y acotado dentro de esa disciplina. Todo pentest es hacking ético; no todo hacking ético es pentest.

¿Cuánto se cobra como hacker ético en España?

Varía mucho con experiencia, especialización y empleador. Los rangos públicos en informes de Hays, Page, ICSA y Manfred sitúan al pentester junior con OSCP en franjas medias, al senior con especialización en franjas altas, y al perfil de research o liderazgo en franjas ejecutivas. La escasez de perfiles senior empuja al alza año tras año.

¿Qué certificación empezar?

Para perfil junior sin trayectoria, eJPT o PNPT abren puerta. CompTIA Security+ está sobrevalorada para hacking ofensivo. CEH abre RFPs administrativos pero es criticada técnicamente. OSCP sigue siendo el filtro mid-senior estándar. HTB CPTS es alternativa moderna de calidad.

¿Hacking ético sin estudios universitarios?

Posible y frecuente. La carrera en ingeniería informática o telecomunicaciones acelera pero no es requisito. CV con certificaciones reales (OSCP, OSWE), proyectos demostrables (CTFs, write-ups, CVEs publicadas, contribuciones open source) sustituyen título en empleadores serios.

¿Bug bounty es trabajo de verdad?

Para la mayoría es complemento, no salario completo. Solo un porcentaje pequeño llega a vivir de bug bounty exclusivamente. Plataformas serias (HackerOne, BugCrowd, Intigriti, YesWeHack) pagan por hallazgo. En España hay programa formal del Estado (Equipo de Vulnerabilidades) y programas privados activos de telco, banca y SaaS.

¿IA generativa va a sustituir al hacker ético?

A 2026 no. Acelera fases concretas (generación de queries OSINT, ayuda en code review, primer análisis de muestras), pero el trabajo de explotación de cadenas complejas, lógica de negocio y operación Red Team sigue requiriendo experiencia humana. Lo que sí cambia es que los perfiles que no incorporan IA en su flujo quedan menos competitivos.

Recursos relacionados

Hacking ético profesional en Secra

En Secra ejecutamos hacking ético como servicio para clientes B2B españoles en cuatro modalidades principales: pentesting de aplicaciones web, móvil y APIs; pentesting de infraestructura interna y externa con foco Active Directory; ejercicios Red Team de varias semanas con objetivos negocio acordados; y auditorías específicas (cloud, OT, móvil, contenedores). Cada proyecto sigue metodología documentada, entregable reproducible y mapeo a frameworks regulatorios cuando aplica. Si tu organización quiere validar empíricamente sus controles defensivos antes de un incidente real o necesita cubrir requisitos NIS2, DORA, PCI DSS o ENS, escríbenos a través de contacto o consulta nuestro servicio de Red Team.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

Qué es ingeniería social: tipos, casos reales y cómo defenderse

Qué es la ingeniería social, principios de Cialdini, tipos (phishing, vishing, BEC, pretexting), casos reales (Twitter, Uber, MGM) y defensa.

2026-05-1213 min
ofensiva

Qué es OSINT: ciclo, fuentes, herramientas y marco legal en España

Qué es OSINT (Open Source Intelligence), ciclo de inteligencia, fuentes, herramientas (Maltego, Shodan, SpiderFoot), casos de uso y marco legal RGPD.

2026-05-1214 min
ofensiva

Ataques Kerberos en Active Directory: Kerberoasting, Golden Ticket y delegaciones

Cómo funciona Kerberos en Active Directory y guía técnica de Kerberoasting, AS-REP Roasting, Golden Ticket, delegaciones y DCSync, con detección y mitigación.

2026-05-1015 min