El 4 de diciembre de 2024, aprobé una de las certificaciones más desafiantes en hacking web: el eWPTX. Y créeme, no lleva la palabra EXTREME en su nombre por casualidad.
Tras lograr este hito, quiero compartir contigo mi experiencia: cómo me preparé, en qué consiste el examen y qué necesitas para aprobarlo en tu primer intento.
La certificación eWPTX (eLearnSecurity Web Application Penetration Tester eXtreme) de INE es una de las más reconocidas en el ámbito del pentesting web avanzado. (Ahora entiendo por qué).
Esta certificación cubre en profundidad el OWASP Top Ten, es decir, las 10 vulnerabilidades más críticas en aplicaciones web. Para afrontarla, necesitas sentirte cómodo explotando:
Y mucho más.
El examen no solo evalúa tus habilidades técnicas, sino que también pone a prueba tu capacidad para:
Esta es una certificación centrada exclusivamente en hacking web, por lo que no será necesario comprometer el sistema completo ni escalar privilegios. Eso sí, deberás cumplir con ciertos requisitos que el examen impone (de los cuales hablaremos más adelante).
Para preparar el examen seguí exactamente lo que expliqué en mi vídeo de preparación. En resumen, dividí mi preparación en dos fases clave: Fase teórica y fase práctica.
En la fase teórica estudié la definición, el funcionamiento y cómo interpretar cada vulnerabilidad, para así tener una base sólida de conocimiento en la que poder trabajar. Todo esto para que al pasar a la fase práctica y enfocarme en la realización de laboratorios, no tener dudas sobre a qué me estoy enfrentando.
Para la preparación, te recomiendo utilizar la academia de PortSwigger. En el canal, tenemos la resolución de más de 20 laboratorios, que te ayudarán a comprender algunas de estas vulnerabilidades.
Añadido a esto, algo que no hice y que te recomiendo encarecidamente hacer es, realizar CTFs.
En la academia de PortSwigger, te enfrentas a problemas concretos, lo cual es perfecto para comprender la vulnerabilidad en sí. Sin embargo, cuando ese mismo problema lo encuentras en un laboratorio de CTF, la forma de explotarlo puede ser totalmente distinta. Esto se debe a que, en PortSwigger, la dinámica es bastante similar en todos los laboratorios.
Por eso, si después de completar los laboratorios de PortSwigger realizas entre 5 y 10 laboratorios de CTF, no perderás la dinámica del pentesting. Estos ejercicios te permitirán practicar todo el proceso: reconocimiento, modelado de amenazas y explotación.
Además, es fundamental saber programar y comprender código en lenguajes como PHP y Python.
Como comenté en mi vídeo de preparación
«A diferencia del eCPPTv2 o el eJPTv2, esta certificación no se puede aprobar con herramientas automáticas. En algún momento de la auditoría, tendrás que crear un script manual o algo similar para avanzar.»
Pasemos ahora a la estructura del examen.
El examen se divide en dos fases: la fase práctica y la fase del informe. Tienes 14 días para completar el examen, al igual que en el eCPPTv2:
Una vez comienzas el examen, recibirás una carta de compromiso, donde se detallan los objetivos y necesidades del pentesting. Lee muy bien esa carta antes de empezar. Posteriormente, recibirás acceso por VPN y un dominio principal, que será el objetivo de análisis. Este dominio cuenta con varios subdominios que también deberás evaluar.
El examen simula un pentesting real. Debes reportar todo lo que encuentres, lo que puede resultar algo estresante, ya que nunca tienes certeza de cuándo has terminado. Además de reportar todas las vulnerabilidades encontradas, necesitas cumplir dos requisitos mínimos para aprobar el examen:
Además de cumplir estos objetivos, tendrás que reportar varias vulnerabilidades. En mi caso, para medir si había hecho suficiente, traté de:
Siempre trato de ponerme en la piel del cliente: ¿Cómo les afectaría si estas vulnerabilidades fueran explotadas por un actor malicioso?
Aun así, no voy a engañaros: hasta que no recibí la confirmación de que había aprobado, no estaba seguro de si había hecho lo suficiente.
Tardé 6 días en explotar todo y 3 días en realizar el informe. En mi caso, por las mañanas trabajaba, y por las tardes le dedicaba tiempo al examen, aprovechando especialmente el fin de semana para avanzar más intensamente.
¿Cuál ha sido mi experiencia con el eWPTX?
Sinceramente, hubo momentos difíciles, donde las dudas y la frustración me acompañaron más de lo que me gustaría admitir. Pero, si hubo algo que me salvó, eso fue horas de bug bounty.
El bug bounty no solo me ha enseñado a encontrar vulnerabilidades, sino que me proporcionó una habilidad clave: pensar fuera de la caja.
En ciberseguridad, las herramientas y los métodos son importantes, pero la verdadera diferencia radica en cómo conectas los puntos. Y en este examen, conectar los puntos es, sin duda, lo más importante.
Si me sigues en Instagram o LinkedIn, sabes que me validaron una vulnerabilidad crítica para la NASA y otra para AIRBUS.
Gracias a esa experiencia en bug bounty, pude aprobar este examen.
Esta certificación tiene «Extreme» en el nombre por algo, y en mi opinión, es una certificación realmente complicada, especialmente por la forma en la que se deben explotar las vulnerabilidades.
Lo curioso es que encontrar todas las vulnerabilidades no me llevó más de 24 horas. El verdadero desafío apareció al intentar explotarlas. Cuando pruebas cinco tipos de payloads y ninguno funciona, tu mente entra en cortocircuito. En ese momento, necesitas aplicar una metodología de prueba, error y análisis.
Si tuviera que definir esta certificación con una palabra, sería IMPROVISACIÓN.
Debes saber qué hacer cuando lo que “se supone que debería funcionar” NO funciona.
¿La recomiendo? 100%.
Así que, voy a compartir contigo algunas recomendaciones que, para mí, marcaron la diferencia en este proceso.
Uno de los principales retos a los que me enfrenté fue la estabilidad del entorno de examen. Era necesario reiniciarlo con frecuencia, lo que podía resultar frustrante y consumir mucho tiempo. Sin embargo, esto también me brindó la oportunidad de practicar la paciencia y la persistencia, cualidades esenciales para cualquier pentester.
Reinicia el entorno si algo no funciona.
Si estás convencido de que el camino es correcto pero no obtienes resultados, reinicia el entorno. A veces, el clásico «apagar y encender» realmente funciona.
Toma notas durante tu preparación.
Tener cheatsheets y guías a mano puede sacarte de más de un apuro durante el examen.
Administra sabiamente los 7 días del examen.
Si te quedas atascado en algo, no pierdas demasiado tiempo. Prueba un par de veces y sigue adelante con otras vulnerabilidades. Siempre podrás volver más tarde con una nueva perspectiva.
Haz bug bounty o lee informes de bug bounty.
Esto te dará una perspectiva realista sobre cómo explotar vulnerabilidades específicas y qué tipos de fallos puedes encontrar en entornos reales. Para mí, clave.
Redacta el informe mientras avanzas.
Documenta todo lo que encuentres a medida que trabajas en el examen. Esto te ayudará a no olvidar detalles importantes y a disponer de tiempo suficiente para perfeccionar el informe. Sobre cómo redactarlo, te dejo un artículo donde enseño a generar informes automáticamente.
Definitivamente, sí.
Si quieres aprender y especializarte en pentesting web, esta certificación consolidará tu conocimiento. Además de ser una credencial reconocida, enfrentarte a este tipo de retos te dará confianza en tus habilidades. El estrés de una semana intensa te ayudará a crecer exponencialmente.
Únete a hacking snacks y recibe el mejor contenido sobre ciberseguridad y hacking ético
Al suscribirte, aceptas la política de privacidad de rinku.tech y recibir noticias, contenidos, comunicaciones relacionados con la web, gratuitos y premium.
