Las certificaciones de ciberseguridad más reconocidas, comparadas.
Cuatro nombres aparecen en casi cualquier oferta de empleo. Esto es lo que evalúa realmente cada uno, para quién es de forma realista y si merece la pena el dinero en tu etapa profesional.
Abre diez ofertas de empleo de ciberseguridad y verás repetirse, en alguna combinación, las mismas cuatro siglas en casi todas: Security+, CEH, OSCP, CISSP. Para alguien que acaba de llegar al sector, esto parece una lista de tareas pendientes: consíguelas las cuatro y te contratan. No es así. Estas cuatro certificaciones evalúan cosas distintas, a niveles distintos, para puestos distintos, y quien empieza sin saberlo termina o bien gastando dinero en la equivocada, o bien dando por hecho que una credencial importa más de lo que realmente importa. Esta es una comparación directa y honesta de qué es cada una, para quién es de verdad y dónde las ofertas exageran su importancia.
| Certificación | Proveedor | Nivel | Formato | Puesto típico |
|---|---|---|---|---|
| CompTIA Security+ | CompTIA | Inicial | Tipo test | Base general de seguridad informática; a menudo es un filtro de contratación más que una señal de especialización. |
| CEH (Certified Ethical Hacker) | EC-Council | Intermedio | Tipo test (existe una versión práctica aparte) | Cercana a la seguridad ofensiva, pero arrastra una reputación desigual entre profesionales frente a alternativas más prácticas. |
| OSCP | OffSec | Avanzado | Examen totalmente práctico | Ampliamente considerada el referente de credibilidad para puestos de pentesting. |
| CISSP | ISC2 | Avanzado/directivo | Tipo test; requiere ~5 años de experiencia verificada | Credencial amplia de gobernanza/riesgo/arquitectura, habitual en puestos de seguridad sénior o de liderazgo. |
Security+: la puerta, no el destino
CompTIA Security+ es donde empieza el recorrido de certificaciones de la mayoría, y hay una buena razón para ello: es realmente de nivel inicial, cubre una base amplia de fundamentos —criptografía básica, conceptos de seguridad de redes, tipos de ataque habituales, nociones de riesgo— y muchísimos empleadores, incluidos bastantes puestos públicos y de contratas gubernamentales en EE. UU., la incluyen como mínimo exigido o preferente. Ese último punto importa en la práctica aunque no importe técnicamente: algunas ofertas simplemente no dejan pasar tu currículum sin ella, independientemente de lo que sepas por lo demás.
Lo que honestamente no es: una especialización ni la prueba de que estás listo para un puesto concreto. Aprobar un examen tipo test sobre conceptos de seguridad no te convierte en analista de SOC ni en pentester, igual que aprobar el examen teórico de conducir no te convierte en buen conductor. Security+ es útil precisamente como primera credencial, obtenida mientras avanzas por los fundamentos en el orden que plantea la hoja de ruta real de ciberseguridad —redes, Linux, conceptos básicos, un laboratorio en casa—, no como sustituto de esa secuencia.
CEH frente a OSCP: la versión honesta de este debate
Esta comparación genera más discusiones de foro que cualquier otra pareja de esta lista, y conviene ser directo al respecto en lugar de mantenerse en una vaguedad diplomática. El examen estándar de CEH es tipo test: evalúa si reconoces nombres de herramientas, categorías de ataque y la terminología asociada a la seguridad ofensiva. EC-Council sí ofrece una versión práctica aparte, menos buscada, pero la credencial que casi todo el mundo tiene en mente cuando dice «CEH» es el examen de reconocimiento de conocimientos.
OSCP funciona de otra manera por diseño. El examen en sí es una prueba práctica cronometrada: te dan máquinas que tienes que comprometer de verdad y después redactas un informe documentando cómo lo hiciste, como lo harías para un cliente real. No hay ninguna parte tipo test a la que recurrir: o consigues una shell o no la consigues.
La consecuencia de esa diferencia es una opinión bastante asentada entre los pentesters en activo, no una postura marginal ni contraria por contrariar: OSCP es la señal más fuerte y respetada de capacidad práctica real, y los responsables de contratación en puestos de seguridad ofensiva tienden a valorarla en consecuencia. Eso no es un desprecio a quien tenga un CEH: es una credencial legítima y más rápida de obtener, que da a alguien que aún no está listo para un examen totalmente práctico una vía estructurada para demostrar conocimientos cercanos a la seguridad ofensiva, y sigue abriendo puertas, sobre todo en mercados o empresas menos al tanto de esa diferencia de reputación a nivel profesional. Pero si estás eligiendo dónde invertir un tiempo y un dinero de estudio limitados para una carrera de pentesting en concreto, entiende cuál trata el sector realmente como la prueba más exigente.
CISSP: la certificación del gestor
CISSP es un animal distinto a las otras tres, y la diferencia empieza antes incluso de sentarte al examen: ISC2 exige unos cinco años de experiencia laboral relevante y verificada para tener la credencial completa. No puedes salir de un bootcamp con un CISSP como sí puedes con un Security+ o, a base de machacar, con un CEH. Esa barrera por sí sola ya te dice para quién es.
El contenido encaja con esa barrera. CISSP es amplio en lugar de profundo: abarca gobernanza, gestión de riesgos, arquitectura de seguridad, operaciones y consideraciones legales y de cumplimiento a nivel conceptual, en vez de evaluar si sabes configurar un cortafuegos o explotar una vulnerabilidad. Encaja mucho más de forma natural con las trayectorias de gobernanza, riesgo y cumplimiento (GRC) y de liderazgo en seguridad que con los puestos técnicos prácticos; es una credencial pensada para quien gestiona un programa de seguridad, no para quien ejecuta los escaneos. Si esa es la dirección que llevas, merece la pena leer la descripción del puesto de Analista GRC en el artículo de la hoja de ruta para ver cómo se estructura de verdad esa trayectoria profesional antes de comprometer años al requisito de experiencia.
Qué determina de verdad si merece la pena el dinero
Ninguna de estas certificaciones tiene una respuesta fija y universal sobre si «merece la pena»: el valor depende por completo del puesto al que aspiras, y la forma más habitual en que la gente malgasta dinero en este terreno es pagar por una certificación que no encaja con ese puesto. Un puesto de analista de SOC valora el conocimiento amplio pero superficial que representa Security+ (y, un nivel por encima, CySA+): reconocer patrones de alertas, entender los tipos de ataque habituales, hablar el vocabulario del trabajo. Un puesto de pentesting valora la prueba de destreza práctica —un OSCP, o una capacidad equivalente demostrada— mucho más que cualquier examen tipo test, CEH incluido. Un puesto sénior de GRC o de liderazgo en seguridad valora el CISSP, precisamente porque es lo que la credencial se creó para señalar.
Comprar un CISSP para entrar en un puesto de SOC de nivel inicial, o machacar hacia el OSCP antes de haber construido los fundamentos de redes y Linux que da por supuestos, gasta dinero y meses resolviendo el problema equivocado. Ajusta la certificación al puesto que de verdad intentas conseguir, no a la sigla que más aparece en las ofertas que has leído.
Las certificaciones son una señal, no un sustituto de los fundamentos. Comprimen «domino este campo» en una línea del currículum, pero no reemplazan el orden de aprendizaje que construye de verdad la capacidad de fondo: empieza por ahí. Nuestra guía de hoja de ruta y carreras en ciberseguridad plantea ese orden y los puestos a los que conduce, y cómo aprender ciberseguridad de verdad cubre los hábitos de estudio que hacen que cualquiera de estos exámenes —sea certificación o no— sea mucho más fácil de aprobar de forma honesta.