¿Quieres dedicarte a la ciberseguridad pero no sabes por dónde empezar?
Yo estuve exactamente ahí. Sin carrera, sin contactos. Y en 3 años pasé de no tener ni idea a trabajar como hacker ético.
Hoy te voy a contar exactamente qué haría si empezara desde cero a aprender hacking en 2026. No es una lista de temas. No es un roadmap genérico. Es el camino real, con los errores que yo cometí, las cosas que de verdad importan y las que son una pérdida de tiempo.
El error que comete todo el mundo
Antes de decirte qué estudiar, necesito que entiendas una cosa. Porque si no lo entiendes, da igual lo que aprendas.
El error número uno que veo en la gente que quiere entrar en ciberseguridad (y lo veo constantemente en mis alumnos y en gente que me escribe) es estudiar en círculos. Cursos, YouTube, más cursos, otro vídeo, otra plataforma, otra certificación. Y llevan meses o años así. Sin dirección. Sin objetivo claro. Sin práctica real.
Voy a ser muy sincero: ver cursos no te hace mejor profesional. Si no pones en práctica lo que estudias, estás fuera del juego. Punto.
Yo cometí ese error. Estuve 4 años trabajando en otro sector con el hacking aparcado. Sabía que quería dedicarme a esto desde que tenía 9 años, pero nunca di el paso. ¿Por qué? Porque no tenía dirección. No tenía un plan. Y sin plan, te quedas parado.
Así que lo primero que necesitas no es un curso. Es un destino claro y un camino con checkpoints.
Checkpoints, no un objetivo lejano
¿Qué quiero decir con checkpoints? Te lo explico con mi caso.
Mi objetivo era ser pentester. Hacker ético. Eso era la meta final. Pero si me hubiera puesto directamente a intentar conseguir un trabajo de pentester, habría tardado mucho más y probablemente habría abandonado. Porque es un objetivo lejano, sin recompensas intermedias.
Lo que hice fue establecer checkpoints. Pasos intermedios que me acercaban al objetivo y que cada uno me daba algo: experiencia, contactos, conocimiento, un sueldo.
Checkpoint 1: conseguir cualquier trabajo relacionado con ciberseguridad, aunque fuera un 60%. Conseguí un puesto como analista de redes para Telefónica. A los 6 meses de empezar a estudiar.
Checkpoint 2: pasar a un trabajo 100% de ciberseguridad. Poco después, conseguí entrar como analista de ciberseguridad en una consultora.
Checkpoint 3: pivotar al área de pentesting, que es donde quería especializarme.
Cada etapa me dio bases que la siguiente requería. Y cada vez que llegaba a un checkpoint, recibía un boost. Una pequeña victoria que me permitía seguir.
¿Puedes ir directamente a por el objetivo final? Sí. Pero te frustras más, tardas más y probablemente abandonas.
Tu primer objetivo es conseguir tu primer trabajo en ciberseguridad. Ese es el primer checkpoint. Todo lo que viene ahora va orientado a eso.
Qué aprender realmente (y en qué orden)
No te voy a dar una lista de 20 temas para que te agobies. Te voy a dar lo esencial, en orden, con opinión. Porque la opinión es lo que le falta a la mayoría de guías sobre esto.
Redes: entiende por dónde viajan los datos
Lo primero. Si quieres hacer hacking, necesitas entender cómo se conecta todo. Internet no es magia. Son máquinas hablando entre sí siguiendo unas reglas. Y esas reglas son las que tú vas a intentar romper.
¿Qué necesitas saber? El modelo TCP/IP, los protocolos básicos (HTTP, HTTPS, TCP, UDP), cómo funcionan las IPs y el subnetting, y qué hacen los routers, switches y firewalls.
No necesitas ser un ingeniero de redes. Necesitas entender el flujo. Cómo viajan los datos de un punto a otro. Porque cuando hagas un escaneo, necesitas saber qué estás viendo. Si no entiendes qué es un puerto, qué es un servicio o por qué un firewall filtra un paquete, el output es ruido.
Linux: tu herramienta de trabajo
Segundo. Linux. Si quieres trabajar en ciberseguridad, vas a vivir en Linux. Los servidores corren en Linux. Las herramientas de pentesting corren en Linux. Kali Linux, Parrot OS, todo tu entorno profesional va a ser Linux.
Instálalo en una máquina virtual y empieza a moverte. Aprende los comandos básicos: navegar por directorios, mover archivos, editar textos, gestionar permisos, conectarte por SSH. Que te sientas cómodo en una terminal.
Y no subestimes Windows. Muchas empresas tienen entornos corporativos Windows. Saber moverte en Active Directory, entender permisos, logs, PowerShell, eso te va a dar una ventaja importante.
Programación: lo justo para tu primer trabajo
¿Necesitas programar? Sí. ¿Necesitas ser programador? No.
Necesitas saber scripting básico. Poder automatizar tareas, entender cómo funciona una aplicación, leer código y saber qué hace.
Python: el lenguaje por excelencia en ciberseguridad. Fácil de aprender, versátil, con bibliotecas específicas para seguridad. Empieza por aquí.
Bash: para automatizar tareas en Linux. Si vas a trabajar con servidores, lo vas a necesitar.
JavaScript básico: porque muchas vulnerabilidades web, como Cross-Site Scripting, están directamente relacionadas con cómo se ejecuta JavaScript en los navegadores.
Un consejo importante: busca cursos de programación enfocados a hacking, no a desarrollo de aplicaciones. Tu trabajo va a ser encontrar vulnerabilidades, no crear software.
Herramientas: las que vas a usar de verdad
No te voy a dar una lista de 50 herramientas. Te voy a dar las que yo uso y las que vas a necesitar para tu primer trabajo.
Nmap: escaneo de redes. Descubrir puertos, servicios, versiones. Es la primera herramienta que vas a usar en cualquier auditoría. Aquí tienes un artículo donde explicamos los comandos básicos de Linux incluyendo nmap.
Burp Suite: seguridad de aplicaciones web. Interceptar peticiones, probar inyecciones SQL, XSS. La versión gratuita es más que suficiente para aprender.
Metasploit: framework de pentesting. Para entender cómo se explotan vulnerabilidades.
Wireshark: análisis de tráfico de red. Para ver qué está pasando realmente en una red.
Con estas cuatro herramientas tienes de sobra para empezar. Cuando las domines, irás descubriendo las demás de forma natural.
Y una cosa: aprende a usarlas de forma manual. Sí, hay IA que puede lanzar nmap por ti. Pero si no sabes qué hace nmap, la IA no te salva. Esta es la capa base sobre la que después construirás.
Práctica: donde realmente aprendes
Esto es lo más importante de todo este artículo. La práctica.
Puedes ver todos los cursos del mundo. Si no practicas, no sabes nada. Yo he visto gente con 10 certificaciones que no sabe hacer un escaneo básico. Y he visto gente sin ninguna certificación que consigue trabajo porque ha practicado.
Monta tu propio laboratorio. Con VirtualBox puedes instalar máquinas vulnerables como DVWA, Metasploitable y practicar en un entorno controlado.
Usa plataformas. TryHackMe está genial para empezar porque te guía paso a paso. Hack The Box es más libre y retador. Las dos son complementarias.
Participa en CTFs. Son competiciones donde resuelves retos de seguridad contrarreloj. Es como ir al gimnasio para hackers. Te obligas a pensar bajo presión y aprendes técnicas muy concretas.
Un proyecto real vale más que 10 certificaciones. Si puedes documentar un pentest completo sobre una máquina vulnerable, reconocimiento, escaneo, explotación, informe. Y enseñarlo en una entrevista, eso pesa más que cualquier papel.
Seguridad web: el entorno más atacado
Si te tuviera que decir un área por la que empezar a especializarte, sería seguridad web. ¿Por qué? Porque es el entorno más atacado. Todo está en la web. Y las empresas necesitan gente que sepa auditar aplicaciones web.
La mayoría de ataques comienzan por una web. Y cuando estás empezando y aún no tienes experiencia, normalmente la empresa que te contrate no te permitirá auditar infraestructura, es algo más crítico. Primero harás varias auditorías de seguridad web.
Empieza por el OWASP Top 10. Es un documento que lista las vulnerabilidades web más comunes. Aprende a identificarlas, a explotarlas y a documentarlas. En el blog tienes artículos sobre varias de ellas: SSRF, IDOR, SSTI, Path Traversal, File Upload.
Eso, combinado con Burp Suite, te da una base de seguridad web que ya es empleable.
Lo que las empresas realmente quieren
Bien, ahora vamos con la parte que nadie te cuenta. Porque puedes saber mucho de hacking y no conseguir trabajo.
No necesitas ser muy técnico para tu primer trabajo
Esto lo digo siempre y siempre genera polémica: no necesitas ser muy técnico para tu primer trabajo en ciberseguridad. La mentalidad y las soft skills pesan más que la parte técnica en tu primera posición.
Enviar bien un correo electrónico a un cliente puede ser más importante que saber explotar una SQL Injection. Porque en tu primer trabajo, lo que la empresa quiere es alguien que aprenda rápido, que se comunique bien, que sea responsable y que tenga la actitud correcta. La parte técnica se puede enseñar. La actitud no.
Yo conseguí trabajo antes que ingenieros con máster. ¿Por qué? No porque supiera más. Porque tenía la mentalidad correcta, la actitud correcta y había demostrado que podía aprender rápido.
Si no encuentras trabajo, revisa tu perfil
Si llevas tiempo buscando trabajo en ciberseguridad y no lo encuentras, el problema no es el mercado. El mercado está pidiendo gente. El problema es tu perfil.
Necesitas adaptarte a lo que las empresas piden, no a lo que a ti te gusta estudiar. Mira ofertas de trabajo. Mira qué piden. Mira qué herramientas mencionan, qué certificaciones valoran, qué experiencia buscan. Y construye tu perfil en esa dirección.
Yo lo hice. Cuando quería pasar de analista de ciberseguridad a pentester, hablé con profesionales del sector y me dijeron qué necesitaba. No inventé mi propio camino. Pregunté, escuché y adapté mi plan.
La universidad no es requisito
La universidad no es requisito para trabajar en ciberseguridad. ¿Te da conocimiento? Sí. ¿Es el único camino? No. Lo que importa es lo que sabes hacer, lo que puedes demostrar y la actitud con la que llegas.
Y créeme, si lo conseguí yo sin universidad ni estudios reglados, no hay excusa.
Certificaciones: herramienta, no objetivo
Las certificaciones son una herramienta, no un fin. Te ayudan a estructurar tu aprendizaje, te obligan a estudiar con foco, y en algunos procesos de selección te abren la puerta.
¿Cuáles recomiendo para empezar?
La eJPT de eLearnSecurity es ideal como primera certificación de pentesting. Es práctica, accesible y te da una buena base. Fue mi primera certificación y gracias a ella conseguí mi primer trabajo de analista de seguridad.
CompTIA Security+ también es buena opción para roles más defensivos.
Pero recuerda: la certificación no es el objetivo. Lo importante son los conceptos y técnicas que aprendas.
Tu plan de acción
Lo primero: para de buscar más vídeos sobre cómo empezar. Ya tienes el camino. Redes, sistemas operativos, scripting básico, herramientas, práctica, práctica y más práctica. Ahora toca ejecutar.
Segundo: establece tu primer checkpoint. No es «quiero ser pentester». Es «quiero conseguir mi primer trabajo en ciberseguridad en los próximos 12 meses». Un objetivo concreto, medible, con fecha.
Tercero: empieza hoy. No mañana. Hoy. Instala Kali en una máquina virtual. Abre una terminal. Escribe tu primer comando. Ese es el primer paso.
Preguntas frecuentes sobre cómo empezar en hacking y ciberseguridad
1. ¿Cuánto tiempo se tarda en aprender hacking desde cero?
Depende de tu dedicación y tu punto de partida. Con un plan estructurado y práctica diaria, puedes conseguir tu primer trabajo relacionado con ciberseguridad en 6 a 12 meses. Eso no significa que seas un experto, significa que tienes las bases suficientes para empezar a trabajar y seguir aprendiendo en el puesto.
2. ¿Necesito una carrera universitaria para trabajar en ciberseguridad?
No. La universidad te da conocimiento, pero no es el único camino. Lo que importa es lo que sabes hacer y lo que puedes demostrar. Muchos profesionales de ciberseguridad, incluyéndome, hemos entrado al sector sin estudios universitarios. Las certificaciones prácticas, un portfolio de proyectos y la actitud correcta pesan más que un título.
3. ¿Qué lenguaje de programación debo aprender primero?
Python. Es el lenguaje más usado en ciberseguridad, tiene bibliotecas específicas para seguridad, es fácil de aprender y muy versátil. Después aprende Bash para automatizar tareas en Linux, y JavaScript básico para entender vulnerabilidades web como XSS. No necesitas ser programador, necesitas saber scripting.
4. ¿Cuál es la mejor certificación para empezar?
La eJPT de eLearnSecurity es ideal como primera certificación de pentesting. Es práctica, accesible económicamente y te da una buena base en metodología de pentesting. CompTIA Security+ es buena alternativa si te interesa más el lado defensivo. Pero recuerda: la certificación es una herramienta, no el objetivo.
5. ¿Es mejor TryHackMe o Hack The Box para empezar?
Para empezar, TryHackMe. Te guía paso a paso con rutas de aprendizaje estructuradas. Hack The Box es más libre y exigente, ideal cuando ya tienes las bases. Las dos son complementarias: empieza con TryHackMe y cuando te sientas cómodo, pasa a Hack The Box para desafíos más reales.
6. ¿Qué herramientas de hacking necesito aprender primero?
Las cuatro esenciales: nmap (escaneo de redes), Burp Suite (seguridad web), Metasploit (explotación) y Wireshark (análisis de tráfico). Con estas cuatro puedes hacer un reconocimiento completo, encontrar vulnerabilidades y explotarlas. Cuando las domines, irás descubriendo las demás de forma natural.
7. ¿Puedo aprender hacking gratis?
Sí, hay muchísimos recursos gratuitos: YouTube, TryHackMe (tiene rutas gratuitas), plataformas como Dockerlabs, máquinas vulnerables como Metasploitable, y CTFs online. Lo que no puedes hacer gratis son las certificaciones y algunos cursos avanzados. Pero la base técnica la puedes construir sin gastar dinero.
8. ¿Por qué la seguridad web es la mejor área para empezar?
Porque es el entorno más atacado y el que más demanda profesionales. Todo está en la web. Las empresas necesitan auditorías web constantemente. Y cuando eres junior, las empresas suelen asignarte auditorías web antes que auditorías de infraestructura, que son más críticas. Dominar el OWASP Top 10 con Burp Suite te hace empleable.
9. ¿Con la IA en ciberseguridad, vale la pena aprender hacking manualmente?
Absolutamente sí. La IA acelera al que ya sabe, pero no sustituye el conocimiento base. Si no sabes qué hace nmap por debajo, no vas a poder validar si lo que la IA te devuelve tiene sentido. Primero aprende las herramientas nativas, y después la IA se convierte en un multiplicador de tu conocimiento.
10. ¿Qué soft skills necesito para mi primer trabajo en ciberseguridad?
Comunicación clara (tanto escrita como verbal), capacidad de aprendizaje rápido, documentación de hallazgos, trabajo en equipo y actitud proactiva. En tu primer trabajo, la empresa quiere alguien que aprenda rápido y se comunique bien. La parte técnica se enseña. La actitud no. Un buen correo a un cliente puede importar más que una SQL Injection.