Esta lista viene de 14+ años en seguridad ofensiva — OSCP, CISSP, cientos de engagements. Los affiliate links ayudan a mantener este sitio funcionando. Cada libro aquí lo he leído personalmente y se lo daría a alguien que se uniera a mi equipo. Hay dos tipos de listas de “mejores libros de hacking”. El primer tipo es un resumen de libros que alguien encontró en Amazon y clasificó por rating de estrellas. El segundo tipo es una lista de alguien que realmente usó estos recursos en engagements reales, en prep real para certificaciones reales, con clientes reales esperando al otro lado. ...

Escrito por un profesional de seguridad certificado (CISSP, OSCP) con 14+ años en seguridad ofensiva y liderazgo de seguridad. Los affiliate links ayudan a mantener este sitio — solo recomendamos recursos que usaríamos nosotros mismos. Cada mes aparece una nueva lista de “mejores libros de hacking” que parece escrita por alguien que pasó 20 minutos buscando “libros de ciberseguridad” en Google. Esta no es esa. Esta es la lista que le daría a alguien que se une a mi red team. Libros que he leído de principio a fin. Herramientas que uso en engagements reales. Equipo que ha pasado por el abuso del lab y el uso en campo. Si está aquí, se gana su lugar. ...

OffSec acaba de hacer algo interesante. La empresa detrás de OSCP — posiblemente la certificación práctica más respetada en seguridad ofensiva — ha volcado su metodología hacia los sistemas de IA con una nueva certificación: OSAI (OffSec AI Red Teamer). El momento tiene sentido. Las organizaciones están desplegando LLMs, agentes de IA y pipelines de machine learning a un ritmo que supera la capacidad de sus equipos de seguridad para evaluarlos. La metodología tradicional de pentesting no fue diseñada para esto. OSAI es la respuesta de OffSec a esa brecha. ...

OSCP solía ser la única certificación que importaba para pentesters. Entonces TCM Security lanzó PNPT y cambió la conversación. En 2026, PNPT se ha convertido en una de las certificaciones más respetadas de nivel entry-to-mid en seguridad ofensiva — no por reconocimiento de marca, sino por qué el examen realmente prueba. Esta es una reseña completa de si pertenece en tu carrera de certificación. Qué es el PNPT? Practical Network Penetration Tester (PNPT) es una certificación de TCM Security , creada por Heath Adams (The Cyber Mentor). Es un examen completamente práctico — sin opción múltiple, sin flags de CTF, sin memorización. ...

⚠️ Incidente Pasado — 31 de Marzo, 2026. Si corriste npm install o npm update entre la tarde del 30 de marzo UTC y el 31 de marzo, revisa tus sistemas ahora. Ver pasos de remediación abajo. ✅ Historia Concluida — Atribución resuelta (UNC1069 / Sapphire Sleet — Corea del Norte/BlueNoroff), versiones maliciosas eliminadas, post-mortem del mantenedor publicado, vector de ingeniería social completamente confirmado. No se programan más actualizaciones. Última actualización: 7 de abril, 2026 15:00 UTC. ...

🔄 Historia en Desarrollo — Última actualización: 3 de abril de 2026, 16:30 UTC. Se descubrió y parcheó silenciosamente en v2.1.90 un bypass de seguridad en las reglas de denegación. Repositorios troyanizados del leak están propagando el infostealer Vidar y el malware GhostSocks. Ver sección de Actualizaciones abajo. Actualizaciones 3 de abril de 2026 — 16:30 UTC Parche liberado; bypass de seguridad confirmado; campaña de malware en marcha. Primera versión parcheada: v2.1.90. Anthropic liberó silenciosamente Claude Code v2.1.90, corrigiendo una vulnerabilidad de seguridad descubierta por Adversa AI directamente a través del análisis del código fuente filtrado. No se emitió ningún changelog público ni advisory. Los usuarios que aún ejecutan v2.1.88 o cualquier versión anterior a v2.1.90 deben actualizar de inmediato. El paquete original v2.1.88 permanece despublicado en npm. ...

Claude acaba de encontrar 500 zero-days en software de producción. Kali Linux ahora tiene integración nativa con IA. Cada vendor de seguridad le está pegando “con IA” en su página de marketing. Y vos estás ahí pensando: bueno, pero ¿por dónde empiezo? Esta guía es para ti — el pentester que conoce su oficio, entiende la metodología, pero todavía no sabe cómo integrar la IA de forma significativa en compromisos reales. Vamos a cubrir toda la kill chain, con prompts concretos, herramientas reales y una evaluación honesta de dónde ayuda la IA y dónde todavía falla. ...

Un home lab es la inversión de mayor impacto que podés hacer en una carrera de seguridad ofensiva. Las plataformas online son excelentes, pero nada reemplaza la memoria muscular que se construye configurando, rompiendo y reconstruyendo tu propio entorno. La buena noticia: no necesitás gastar miles. Un home lab funcional de pentesting en 2026 se puede armar por menos de $300 — y si ya tenés una laptop decente, posiblemente gratis. ...

Si estás intentando entrar a la seguridad ofensiva — o subir de nivel en tus habilidades existentes — probablemente te dijeron que “simplemente practiques en HTB o THM”. Buen consejo. Pero ¿cuál? ¿Y para qué? He usado ambas plataformas extensamente. Aquí está el análisis honesto, basado en lo que realmente importa para construir habilidades reales de penetration testing. La Respuesta Corta TryHackMe es mejor para principiantes y personas que aprenden de forma estructurada Hack The Box es mejor para profesionales intermedios y avanzados y para preparación laboral La mayoría de los profesionales serios usa ambas Ahora veamos por qué. ...

Las certificaciones son un tema polarizante en seguridad. La mitad de la comunidad te dirá que son inútiles comparadas con la experiencia real. La otra mitad acaba de conseguir un aumento de $30k después de pasar el CISSP. Ambos tienen parte de razón. La verdad: las certificaciones abren puertas, no construyen habilidades. Le señalan a los gerentes de contratación que has alcanzado un estándar de referencia. Lo que realmente sabes depende de cómo te preparaste. Y algunas certificaciones abren puertas mucho más grandes que otras. ...