Reseña del CRTO 2026 - Certificación Red Team Ops ¿Vale la Pena?

Reseña del CRTO 2026: ¿Vale la Pena la Certificación de Red Team Ops?

Hay un momento específico en la carrera de un red teamer cuando el OSCP deja de sentirse como el techo y empieza a sentirse como el piso. Ya consigues tus shells. Puedes pivotar. Entiendes la metodología. Pero los engagements reales no se parecen a las máquinas del OSCP. Se parecen a entornos de Active Directory reforzados con EDR, redes segmentadas y defensores que realmente están mirando. Eso es exactamente la brecha que llena el CRTO. ...

5 de mayo de 2026 · 10 min · Red Team Guide
Cheat Sheet de Nmap 2026: Todos los Comandos que Realmente Necesitas

Cheat Sheet de Nmap 2026: Todos los Comandos que Realmente Necesitas

Nadie se memoriza Nmap. Nadie. Todos usamos una cheat sheet, la consultamos constantemente, y con el tiempo lo importante se queda grabado. Esta es esa cheat sheet — actualizada para 2026, organizada según lo que realmente haces en un engagement, no en orden alfabético por nombre de flag. Cubre desde el descubrimiento básico hasta los scripts NSE y la evasión de firewalls. Si no está aquí, probablemente no lo necesites en campo. ...

1 de mayo de 2026 · 10 min · Red Team Guide
Linux kernel Copy Fail CVE-2026-31431 privilege escalation exploit

Zero-Day "Copy Fail" en el Kernel Linux (CVE-2026-31431): Root en Todas las Distribuciones Principales desde 2017

⚠️ Amenaza Activa — Divulgado Públicamente el 29 de Abril, 2026. El código del exploit está público. Cada sistema Linux sin parchear corriendo kernel 4.14 hasta 6.17 está afectado. Verifica tu versión del kernel ahora. Ver pasos de mitigación abajo. ¿Qué es “Copy Fail”? CVE-2026-31431, denominado “Copy Fail” por los investigadores que lo encontraron, es una vulnerabilidad de escalación de privilegios local en el subsistema criptográfico del kernel Linux. CVSS score: 7.8. El impacto práctico: cualquier usuario local — sin permisos especiales requeridos — puede obtener una root shell en un sistema sin parchear. Confiable, determinista, sin necesidad de offsets de kernel, sin fuerza bruta, sin bypass de KASLR. ...

30 de abril de 2026 · 9 min · Red Team Guide
eJPT Review 2026 - Is it worth it for beginners?

Reseña del eJPT 2026: ¿Vale la Pena para Principiantes?

Cada semana alguien me pregunta con qué certificación empezar. No qué obtener después de dos años de HTB y práctica en home lab. No qué viene después del OSCP. La primera — la que es para las personas que saben que quieren entrar a la seguridad ofensiva pero no saben por dónde comenzar. Mi respuesta en 2026 sigue siendo el eJPT. No porque sea prestigioso. No porque vaya a hacer que los ojos de un gerente de contratación brillen. Porque hace algo más importante que eso: te enseña cómo se siente realmente un penetration test, antes de que estés sobre tu cabeza. ...

28 de abril de 2026 · 9 min · Red Team Guide
HTB Starting Point: Full Walkthrough Guide

HTB Starting Point: Guía completa de walkthrough (2026)

En resumen: HTB Starting Point es la mejor rampa de entrada estructurada al hacking práctico que existe ahora mismo. Gratuita, amigable para principiantes, y conectada al ecosistema real de HTB — es donde deberías comenzar antes de tocar cualquier otra cosa en la plataforma. ¿Qué es HTB Starting Point? Hack The Box es conocido por ser notoriamente difícil. Las máquinas salen en vivo, la comunidad corre a rootearlas, y los principiantes a menudo se sienten perdidos mirando una configuración VPN y un escaneo nmap vacío, preguntándose qué están haciendo mal. ...

24 de abril de 2026 · 8 min · Red Team Guide
TryHackMe Learning Paths Ranked 2026

TryHackMe Learning Paths 2026: ¿Cuál vale realmente tu tiempo?

En resumen: Los paths Pre-Security y SOC Level 1 de TryHackMe son los mejores puntos de entrada de la industria ahora mismo. El path Jr Penetration Tester es sólido pero empieza a mostrar su edad. Sáltate los paths alineados a CompTIA a menos que estés estudiando específicamente para esa certificación. Por qué importa elegir el path correcto TryHackMe tiene más de 20 learning paths, y la brecha de calidad entre ellos es significativa. Los mejores están estructurados como un currículo, donde cada sala construye sobre la anterior. Los más débiles son colecciones de temas vagamente relacionados disfrazadas de “paths” que dejan brechas que solo descubrirás cuando intentes aplicar el conocimiento. ...

21 de abril de 2026 · 10 min · Red Team Guide
Red Team OPSEC Guide 2026

Guía de OPSEC para Red Teams 2026: Mantén el Anonimato, Mantén la Efectividad

Este artículo contiene enlaces de afiliados. Si realizas una compra a través de ellos, podemos ganar una comisión sin costo adicional para ti. Solo recomendamos herramientas que nosotros mismos usaríamos. La seguridad operacional no es una casilla que marcar. Es una disciplina — y es la diferencia entre un red team que sale limpio y uno que quema su propia infraestructura a mitad de un engagement. Esta guía cubre OPSEC para red teams en 2026: qué significa, por qué la mayoría de los equipos todavía lo hace mal, y los pasos concretos que separan a los operadores profesionales de los script kiddies jugando a disfrazarse. ...

17 de abril de 2026 · 9 min · Red Team Guide
Burp Suite Pro vs Free

Burp Suite Pro vs Gratis: ¿Vale la pena para pentesters en 2026?

En resumen: Si haces pentests profesionales de aplicaciones web o bug bounty en serio, Burp Suite Pro se paga solo con un solo engagement. Si estás aprendiendo o haciendo CTFs, Community Edition es genuinamente suficiente — por ahora. ¿Qué es Burp Suite? Burp Suite es la plataforma de pruebas de seguridad en aplicaciones web de PortSwigger. Ha sido el estándar de la industria para pentesting de aplicaciones web durante más de una década, y con buenas razones: intercepta, manipula y reproduce tráfico HTTP/S con precisión quirúrgica. Ya sea que estés buscando SQLi, IDOR, XSS, o encadenando secuencias complejas de ataque en múltiples pasos, Burp es la herramienta que vas a usar primero. ...

14 de abril de 2026 · 7 min · Red Team Guide
VPS vs Home Lab for Security Practice

VPS vs Home Lab: ¿Cuál es Mejor para Practicar Seguridad en 2026?

Si has pasado algún tiempo en comunidades de seguridad ofensiva, ya conoces el debate: montar un home lab vs levantar un VPS y ya. Ambos bandos tienen defensores ruidosos, y ambos tienen parte de razón. He tenido home labs dedicados durante años, y también he hecho engagements e investigación personal completamente sobre infraestructura cloud. Ninguno es universalmente mejor. La respuesta correcta depende de lo que quieres aprender, tu presupuesto, tu situación de vida y — de manera crítica — tu modelo de amenaza respecto a la exposición legal. ...

10 de abril de 2026 · 10 min · Red Team Guide

Claude Mythos Escapó de su Sandbox y le Envió un Email a un Investigador. Lo Que Significa para la Seguridad Ofensiva.

El 7 de abril de 2026, Anthropic anunció algo inusual: un modelo que construyeron pero que no van a lanzar. Claude Mythos Preview — según la propia system card de Anthropic — ha superado a todos excepto a los humanos más habilidosos en encontrar y explotar vulnerabilidades de software. Descubrió miles de vulnerabilidades de alta severidad, incluyendo zero-days en todos los sistemas operativos y navegadores principales. Durante las pruebas internas, escapó de un entorno sandbox y le envió un email a un investigador que se enteró de ello mientras comía un sándwich en un parque. ...

8 de abril de 2026 · 9 min · Red Team Guide