Módulo 10 · Lección 3 · 20 minutos

💼 Primer trabajo como Junior Pentester

Lección final del curso. De «he completado el curso» a «estoy recibiendo un salario». Resume, LinkedIn, cómo pasar una entrevista.

📖 Por qué debes saber esto

En 2023, una gran empresa rusa, Positive Technologies, anunció la contratación de un Junior Pentester. Hubo 1200 solicitudes para 5 plazas. De ellas, 200 eran válidas. De ellas, 30 tenían práctica en HackTheBox y bug bounty. Y solo 8 tenían al menos 3 writeups publicados.

Todos los 5 contratados fueron de esos 8.

Lección: no se trata del diploma ni de los años. Se trata de habilidades demostradas para que los departamentos de recursos humanos y los líderes técnicos puedan asegurarse de que ya estás haciendo esto. Esta lección es sobre cómo «empaquetarte» correctamente para pasar la selección.

📄 El resume de un pentester es diferente al de un IT común

🎯 En resumen, en 30 segundos

En un resume de IT común: educación + experiencia laboral.

En un resume de pentest, lo principal es el portafolio: enlaces a tu cuenta de HackTheBox, perfil de bug bounty, writeups, participaciones en CTF. Estos son pruebas verificables de habilidades.

Un buen resume de pentester:

Contactos + Resumen — 2-3 líneas sobre quién eres
Habilidades — herramientas concretas: Burp Suite, nmap, Metasploit, sqlmap, hashcat
Certificados — OSCP / CPTS / CRTO + fecha de obtención
Portafolio — lo principal: perfil de HTB, perfil de HackerOne, GitHub
Writeups — enlaces a 3-5 de tus análisis públicos
Experiencia laboral — incluso si no es de seguridad (programador, administrador de sistemas, soporte técnico)
Educación — incluso sin diploma (cursos, autodidacta)

🎯 Qué incluir en el portafolio

Qué	Por qué
Perfil de HackTheBox	Muestra tu rango y máquinas resueltas
Perfil de HackerOne / Bugcrowd	Reputación y reportes válidos
GitHub	Tus scripts, herramientas, writeups
Blog personal / Medium	Tus artículos técnicos
CTFtime.org	Participación en CTF en equipo
YouTube (opcional)	Análisis de video de CTF (gran ventaja)

🔗 LinkedIn — el principal canal en 2024

LinkedIn es el principal canal de contratación en empresas internacionales. En Rusia, está creciendo.

📋 Qué debe haber en LinkedIn

Título: «Junior Penetration Tester | OSCP | HTB Pro Hacker» — se ve de inmediato quién eres
Acerca de: 3-5 oraciones con palabras clave (pentest, OWASP, red team)
Experiencia: incluso experiencia no estándar (participación en CTF, hallazgos de bug bounty)
Habilidades: 20+ habilidades, pide a amigos que las confirmen (endorsements)
Actividad: responde a publicaciones de seguridad, publica tus writeups 1-2 veces a la semana

🏢 Dónde presentar la solicitud (para hispanohablantes)

Empresas rusas:

Positive Technologies — la mayor empresa de seguridad de Rusia
Group-IB / F.A.C.C.T. — respuesta a incidentes, inteligencia de amenazas
Bi.Zone — seguridad de Sber
Kaspersky — antivirus, investigaciones
Solar Security — SOC, monitoreo
Tinkoff / Yandex / VK / Sber — equipos de seguridad internos

Empresas extranjeras (para trabajo remoto):

Bishop Fox, NCC Group, Mandiant — consultorías de pentest globales
Praetorian, Cobalt — pentest boutique
EPAM, Luxoft — outsourcing con enfoque en seguridad
Startups de Y Combinator — a menudo contratan junior de seguridad

📧 Plantilla de correo electrónico para el reclutador

Correo electrónico en frío de 10 líneas, concretando + enlaces:

Asunto: Junior Penetration Tester — interés en la posición en [Empresa]

Estimado [Nombre],

Soy Iván, principiante en pentest con enfoque en vulnerabilidades web.

En el último año:
- Aprobé CPTS (HackTheBox)
- Resolví 50+ máquinas en HackTheBox (rango: Pro Hacker)
- Encontré 3 vulnerabilidades válidas en bug bounty (HackerOne, reputación: 45)
- Llevo un blog con análisis de casos reales — [URL]

Vi la posición abierta de Junior Pentester en [Empresa].
Estoy listo para una pantalla técnica en cualquier momento conveniente.

Resume y portafolio: [URL]
HTB: [URL]
HackerOne: [URL]

Atentamente, Iván

🎤 Entrevista técnica — las 7 preguntas principales

📋 A qué prepararse

«Cuenta cómo resolviste la última máquina en HackTheBox» — tu historia
«Explica cómo funciona SQL Injection» — de manera simple, como a un amigo
«¿En qué se diferencia XSS de CSRF?» — en palabras sencillas
«¿Qué es OWASP Top 10?» — nombra 3-5 del lista
«Muestra tu metodología de pentest» — reconocimiento → ataque → post-explotación → informe
«Práctico» — te darán una máquina virtual, pide mostrar cómo empezarías
«¿Qué has leído últimamente sobre seguridad?» — libros, blogs, podcasts

💪 Las habilidades blandas también son importantes

Comunicación — un pentester escribe mucho (informes) y explica a los clientes
Curiosidad — pueden preguntar «¿qué probarías en tal stack?» — la voluntad de investigar es importante
Responsabilidad — pentest = datos sensibles. Acuerdo de confidencialidad, ¿estás listo para responder por tus acciones?
Disposición para aprender — la seguridad cambia rápidamente, es necesario seguir aprendiendo constantemente

📈 Los primeros 3 meses después de la contratación

Calla y aprende — observa cómo trabajan los seniors
Pregúntale «preguntas tontas» — mientras seas junior, está permitido y se fomenta
Realiza tu primer pentest bajo la supervisión de un senior
Cada semana — reunión 1 a 1 con tu mentor
Lleva una base de conocimientos personal (Notion / Obsidian) — registra tu nueva experiencia

💰 Carrera y salarios (Rusia, 2024)

Nivel	Experiencia	Salario
Junior	0-2 años	80-180 mil ₽/mes
Medio	2-4 años	200-400 mil ₽/mes
Senior	4-6 años	400-700 mil ₽/mes
Líder / Principal	6-10 años	700 mil — 2 millones ₽/mes
Consultoría propia / startup	—	sin techo

🤔 Prueba simple para comprobar la comprensión

¿En qué se diferencia el resume de pentest del de un IT común? → El principal es el portafolio (HTB, bug bounty, writeups), no la educación/experiencia
¿Dónde «empaquetarte» para la seguridad? → LinkedIn — el principal canal de contratación en la industria
¿Qué 5 empresas en Rusia para un junior pentester? → Positive Technologies, Group-IB, Bi.Zone, Kaspersky, Solar Security
¿En qué pregunta típicamente «se queman» los principiantes? → «Cuenta cómo resolviste la última máquina» — no hay concreción
¿Cuánto tiempo lleva el camino de Junior a Senior? → 4-6 años de trabajo activo

🛠 Puedes no hacerlo, pero es interesante

Ve a LinkedIn Jobs y busca «Junior Pentester» / «Junior Penetration Tester» / «Security Engineer Intern». Abre 10 vacantes, mira qué habilidades y certificados piden. Esta es tu próxima «lista de compras» para aprender.

🤖 Tarea final de Vibe

Abre Claude y pide:

He completado el curso «Hacking desde cero. AI-powered».

Crea un plan de acción personal para 12 meses:

Meses 1-2 — práctica básica:
- ¿Qué hacer cada día?
- ¿Qué plataformas?
- ¿Cuántas horas?

Meses 3-6 — primera recompensa de bug bounty o primer trabajo:
- ¿Qué pasos concretos?
- ¿Qué aprender?

Meses 7-12 — posición de junior pentester o $1k/mes con bug bounty:
- ¿En qué especializarte?
- ¿A qué empresas presentar la solicitud?

En un año, compararemos los resultados con este plan.
Explica como a un niño de 10 años. Sin jerga.

💡 Conclusión principal de la lección

🎓 Qué te llevas contigo

Resume de pentest = portafolio: HTB, HackerOne, writeups. No diploma.
LinkedIn con título correcto (rol + certificados + habilidades) — canal principal.
5 empresas en Rusia para empezar: Positive Technologies, Group-IB, Bi.Zone, Kaspersky, Solar Security.
Correo electrónico en frío al reclutador — 10 líneas, concretando + enlaces.
Salario junior en Rusia: 80-180 mil ₽. Con experiencia y certificados, crece rápidamente.
Primeros 3 meses en el trabajo: calla, aprende, haz preguntas, lleva una base de conocimientos.

🎉 Pensamiento final

Este curso es 0% de tu futura carrera. 100% es lo que harás después.

Hacking es un maratón, no un sprint. Quien practica 2-4 horas al día — en un año se convierte en profesional. Quien completa el curso y se rinde — en un año olvida todo.

Buena suerte. Hazlo. No te rindas.

🏆 Felicidades por completar el curso!

Qué tienes ahora:

✅ Comprensión de los fundamentos — ética, ley, camino en la carrera
✅ Linux, protocolos de red, web
✅ Experiencia con SQL Injection, XSS, CSRF en DVWA
✅ Conocimiento de Burp Suite, Metasploit, hydra, sqlmap, hashcat
✅ OSINT y reconocimiento de ingeniería social
✅ Plan de bug bounty listo
✅ Plan para el primer trabajo listo

Lo siguiente — práctica. Cada día. Durante mucho tiempo. Con calma.

← Lección 10.2 🏠 Al curso