CompTIA PenTest+

CompTIA PenTest+ (PT0-003) valida las habilidades necesarias para planificar, definir el alcance y ejecutar pruebas de penetración, analizar hallazgos y comunicar resultados de manera efectiva a las partes interesadas. Abarca el ciclo de vida completo de las pruebas de penetración, incluyendo reconocimiento, enumeración, descubrimiento de vulnerabilidades, explotación, post-explotación y movimiento lateral en entornos tradicionales, cloud, híbridos, aplicaciones web, API e IoT.

La versión PT0-003 se lanzó el 17 de diciembre de 2024, añadiendo cobertura de ataques basados en IA, explotación ampliada de cloud y API, técnicas modernas de post-explotación y herramientas actualizadas. Es la única certificación enfocada específicamente en pruebas de penetración con un enfoque práctico basado en el desempeño.

PenTest+ se considera de nivel intermedio, posicionada por encima de Security+ y complementaria a CySA+ (que se enfoca en seguridad defensiva). Se recomienda para profesionales con 3-4 años de experiencia práctica en pruebas de penetración.

El examen consta de un máximo de 90 preguntas a completar en 165 minutos. Las preguntas incluyen tanto opción múltiple como basadas en desempeño (simulación). Las preguntas basadas en desempeño requieren que los candidatos resuelvan problemas en entornos simulados, como ejecutar comandos, analizar la salida de herramientas o configurar exploits.

Las preguntas de opción múltiple incluyen formatos de respuesta única y de respuestas múltiples. Algunas preguntas pueden presentar escenarios que requieren el análisis de diagramas de red, salidas de registros o resultados de herramientas. Las preguntas de arrastrar y soltar evalúan la capacidad de secuenciar fases de ataque o asociar técnicas con escenarios.

La puntuación para aprobar es 750 en una escala de 100-900. Las preguntas tienen pesos diferentes, y las preguntas basadas en desempeño generalmente tienen mayor peso que las preguntas estándar de opción múltiple.

Errores comunes para los candidatos de PenTest+ incluyen:

1. Descuidar la gestión del engagement: Muchos candidatos se enfocan fuertemente en la explotación técnica mientras subestiman la importancia del scoping, las reglas de engagement, las consideraciones legales y los requisitos de cumplimiento. El Dominio 1 (Gestión del Engagement) y el reporte son frecuentemente subestimados.

2. Familiaridad con herramientas sin comprensión: Conocer los nombres de herramientas (Nmap, Burp Suite, Metasploit) sin entender qué significa su salida o cuándo usar cada herramienta. El examen evalúa conocimiento aplicado, no solo reconocimiento.

3. Saltarse la metodología: Ir directo a la explotación sin un reconocimiento y enumeración adecuados. El examen sigue una metodología estructurada de pruebas de penetración y espera que los candidatos entiendan por qué cada fase es importante.

4. Confundir el escaneo de vulnerabilidades con pruebas de penetración: Entender la diferencia entre la evaluación automatizada de vulnerabilidades y las pruebas de penetración manuales es crítico.

5. Habilidades débiles de reporte: El examen evalúa tu capacidad de comunicar hallazgos, redactar resúmenes ejecutivos y recomendar remediación. Las habilidades técnicas por sí solas son insuficientes.

6. Pasar por alto las pruebas de cloud y API: PT0-003 amplió la cobertura de entornos cloud, pruebas de API y superficies de ataque modernas. Los candidatos que solo se preparen para pentesting de redes tradicionales tendrán dificultades.

CompTIA PenTest+ PT0-003 se ofrece a través de los centros de evaluación Pearson VUE en todo el mundo o mediante supervisión en línea desde casa u oficina. El examen está disponible en inglés, francés, japonés y portugués.

El voucher del examen cuesta aproximadamente 404 USD (los precios pueden variar según la región). Los candidatos deben pagar la tarifa completa del examen por cada intento. CompTIA no ofrece repeticiones gratuitas ni descuentos en los reintentos.

No se requieren prerrequisitos formales, pero CompTIA recomienda las certificaciones Network+ y Security+ o conocimientos equivalentes, además de 3-4 años de experiencia práctica en pruebas de penetración.

La certificación es válida por tres años a partir de la fecha de obtención. La renovación requiere obtener 60 Unidades de Educación Continua (CEU) dentro del ciclo de tres años, además de pagar la tarifa anual de CE. Las CEU se pueden obtener a través de cursos de capacitación, conferencias de la industria, enseñanza, publicaciones y otras actividades aprobadas. Alternativamente, aprobar una certificación CompTIA de nivel superior renueva automáticamente PenTest+.