(PT-BR) Pentest: O Caminho Realista Para Quem Está Começando

I. INTRODUÇÃO

Este documento é um guia pessoal que reúne minhas opiniões e sugestões sobre a melhor forma de iniciar e progredir na área de Pentest, com ênfase nas particularidades do mercado brasileiro. As recomendações aqui apresentadas foram elaboradas considerando o cenário do Brasil, levando em conta a disponibilidade de recursos, a formação técnica e as oportunidades existentes em nosso país.

O conteúdo a seguir foi pensado para ajudar amigos que desejam migrar ou iniciar na área de cybersegurança, abordando aspectos que considero essenciais para uma transição eficaz e para o desenvolvimento de habilidades indispensáveis no campo do RedTeam. É importante destacar que o RedTeam, uma das frentes mais especializadas e avançadas da cybersegurança, exige uma base sólida de conhecimentos técnicos e, geralmente, experiência prévia em áreas correlatas.

II. ÁREAS DE APRENDIZADO

Normalmente, os profissionais que entram na área de Pentesting já atuaram em outras vertentes da segurança ou em setores como administração de sistemas, desenvolvimento ou operações de rede, o que lhes proporciona uma bagagem que facilita a transição para essa função altamente especializada. Além disso, acredito que essa frente pode ser majoritariamente dividida em duas grandes áreas INICIAIS:

• Pentest de Web: Focado na avaliação de aplicações web, APIs e ambientes na nuvem, visando identificar vulnerabilidades que possam ser exploradas em sistemas expostos à internet.

• Pentest de Redes: Voltado para a análise e exploração de infraestruturas internas, como Active Directory, servidores e sistemas operacionais (incluindo Linux), com o objetivo de mapear e testar a segurança de redes corporativas.

Adicionalmente, é importante mencionar que, dentro do universo do Pentesting/Red Team, existem áreas ainda mais avançadas, como o desenvolvimento de malware, mobile pentesting ou operações específicas de Red Team (Red Team Operations). Contudo, para quem está começando, faz muito mais sentido focar primeiramente nas partes mais basilares, adquirindo uma sólida compreensão dos fundamentos do pentest, antes de se aventurar nessas especializações mais complexas.

Este guia, portanto, pretende ser um ponto de partida prático e adaptado à realidade brasileira, auxiliando na construção de uma base consistente para sua evolução na área de RedTeam/Pentest.

III. POR ONDE COMEÇAR?

Exceto em casos raros e específicos, que dependem de um perfil autodidata, habilidades excepcionais e até um pouco de sorte, entrar de cabeça no pentest não é uma tarefa barata – embora não precise ser necessariamente cara. Existem opções mais em conta, como a academia PortSwigger, que oferece ótimas oportunidades para aprender ataques web. Contudo, essas alternativas são raras e, dada a natureza dos laboratórios de aprendizado e o grau técnico dos treinamentos, a maior parte dos treinamentos/cursos/laboratórios costumam ter um custo significativo.

Além disso, acho importante destacar que, embora as certificações não sejam essenciais para o início na área, elas têm grande valor. Muitas vezes, essas certificações também possuem preços elevados. Eu, pessoalmente, me incomodo com os altos custos, especialmente considerando o contexto brasileiro. Por isso, o objetivo deste guia é apresentar um equilíbrio entre opções que cabem no orçamento e aquelas que exigem um investimento maior, facilitando a entrada e o desenvolvimento na área de RedTeam/Pentest de forma acessível e eficiente.

Vamos ao que interessa. Na minha opinião, um pentester deve, no mínimo, se dar bem com ataques de web e de redes. No entanto, tentar aprender tudo ao mesmo tempo no início da jornada não é o caminho mais eficiente para dominar ambas as áreas. Historicamente, as opções eram: grindar certificações com cursos específicos, quebrar a cabeça em CTF's como HackTheBox e afins, ou filtrar uma quantidade absurda de conteúdo técnico espalhado por aí. Até pouco tempo, essa área era extremamente inacessível (e, de certa forma, ainda é), mas isso mudou recentemente.

Minha recomendação é simples: invista na HackTheBox Academy.
👉 https://academy.hackthebox.com/

No HTB Academy, você encontra opções com um excelente custo-benefício para aprender o básico de web e de redes. A plataforma oferece treinamentos focados nas áreas fundamentais, dividindo claramente os módulos entre Web Pentesting e Network Pentesting – exatamente o que você precisa para construir uma base sólida. Vale mencionar que o HTB Academy também oferece conteúdos voltados para blue team, mas este guia não abordará essa vertente.

Painel de Job Role Paths do HTB Academy. É aqui que está o melhor custo-benefício.

O conteúdo do HTB Academy é todo em inglês, mas é o melhor custo-benefício para quem está começando. Com uma conta estudantil, você consegue uma assinatura por apenas 8$/mês, que inclui todos os módulos básicos de web e redes. Aprender os fundamentos é o primeiro passo e ambos os cursos fazem isso muito bem.

A abordagem é prática: após cada questão, você acessa um lab para aplicar o que foi ensinado, e ao final de cada módulo, um lab final testa todo o conteúdo aprendido. Para mim, essa combinação de teoria e hands-on é a forma mais eficaz de aprender.

Eu particularmente recomendo fazer o Penetration Tester primeiro, visto que uma parte considerável do pentest web depende de alguns conceitos ensinados nele. De todo modo, faça AMBOS.

O que eu recomendo é que você grinde as questões do path escolhido, e também utilize um bom app de notetaking – eu, por exemplo, uso o Obsidian. Essa ferramenta será essencial para o seu aprendizado; ter um repositório bem estruturado de notas é fundamental para absorver e relembrar conhecimentos. O meu método consiste em anotar tudo o que considero relevante em cada módulo e, depois, fazer um pente fino para destacar aquilo que realmente importa. Essa prática não só solidifica o aprendizado, como também cria uma referência pessoal que pode ser consultada sempre que necessário.

Minhas notas organizadas.

Passando dessa etapa, você pode solidificar seus conhecimentos explorando máquinas variadas no HackTheBox – os próprios módulos do Academy referenciam boxes relacionadas. Outra opção é o TryHackMe, embora eu, pessoalmente, não curta tanto.

Agora, se o foco for tipos de ataques em web pentesting, minha recomendação é clara: PortSwigger Academy. Eles são minha principal referência para estudo de ataques web, e a plataforma segue um modelo semelhante ao HTB Academy, combinando conteúdo técnico com labs hands-on. A diferença? É 100% gratuito!

No painel do PortSwigger Academy, mesmo que você já conheça um ataque, ainda vale a pena ler os insights deles sobre o assunto – sempre tem algum detalhe útil. Mas o ouro de verdade está nos labs. Eles são bem elaborados, cobrindo desde o básico até técnicas avançadas, e forçam você a aplicar o conhecimento de forma prática. Se o objetivo é aprender web pentesting a fundo, essa é uma das melhores ferramentas disponíveis.

Acredito que, depois de passar por essa fase inicial — que eu sei que é cansativa, exigente e, muitas vezes, frustrante (essa área é difícil mesmo, e demanda tempo e esforço… it is what it is) — você já vai ter uma noção mais clara do que curte, do que não curte e do que quer se aprofundar.

Esse "guia" (se é que dá pra chamar assim) é só uma tentativa de te dar um empurrão inicial, te ajudar a arranhar a superfície da área. O restante vem com o tempo, com prática, com tropeço e com vivência. Então se joga: participe da comunidade, faça amigos e conhecidos no meio, troque ideia nos Discords da vida, esteja por perto. Aprender com os outros — e junto com os outros — faz toda a diferença.

IV. CERTIFICADOS & CERTIFICAÇÕES

Se você está começando na área — ou mesmo se já tem alguma vivência — é bem provável (tipo, 95% de certeza) que já tenha esbarrado com algum vídeo no YouTube ou post no LinkedIn falando sobre certificados e certificações. Não sei se essa opinião é das mais populares, mas vamos lá: a área de cybersec no Brasil (e no mundo também, mas aqui é especialmente frustrante) está LOTADA de vendedores de sonho e "influencers" que vivem apontando caminhos duvidosos, muitas vezes só porque estão sendo pagos pra isso.

Por isso, quero falar de forma rápida e direta sobre certificações — e principalmente dar minha opinião sobre algumas delas. Vou comentar especificamente sobre as que eu já fiz, as que acompanhei de perto amigos fazendo, ou com as quais já tive contato real. No fim das contas, isso aqui é um apanhado geral de percepções que eu e meus amigos temos. Não é verdade absoluta, mas acredito que vale alguma coisa.

Vou reforçar o que disse no início: certificações são caras, e é muito fácil gastar dinheiro em certs que não vão expandir seu conhecimento, mas que trazem reconhecimento – o que, por si só, já ajuda bastante na hora de conseguir um emprego. Saber equilibrar entre aprendizado real e credibilidade no mercado é essencial para não jogar dinheiro fora.

O MAIS IMPORTANTE: não acredite em certificados. Eles, sozinhos, não valem o seu tempo. Ponto.

• Certificado do Google de cyber? Não faça.

• "Certificação" gratuita? Não faça.

Infelizmente (ou talvez felizmente), pagar por uma certificação carrega um recado bem claro: "Estou investindo em mim." Certificações sérias exigem dedicação, prática e, muitas vezes, um bom dinheiro. Um certificado do Google, por exemplo, dificilmente vai te colocar em um emprego — talvez ele ajude a construir alguma base, mas é só isso. E só.

Fico agoniado vendo gente querendo entrar na área e saindo por aí spammando certificado de nível básico como se isso fosse resolver alguma coisa. Tirar cinco certificações júnior não te torna menos júnior, sabe? You feel me?

A seguir, vou colocar alguns bullet-points, e depois minha opinião sobre cada um deles.

Certificações equivalem a conhecimento?

Não. Certificações são só um meio para um fim — não substituem experiência e não deveriam ser tratadas como se substituíssem. O que realmente importa é a experiência prática que você adquire enquanto se prepara para elas, não o papel em si.

O verdadeiro valor de uma certificação está em te oferecer uma base sólida, um caminho estruturado pra aprender e se organizar. Mas, se tudo que você faz é copiar e colar comandos do material do curso, isso não vai te transformar em um profissional.

Se você ainda não tem experiência na indústria, existem outros jeitos de mostrar sua competência: pesquisa independente, writeups de boxes (como mencionei antes), desenvolvimento de projetos ou qualquer coisa que prove seu interesse real pela área. Certificação não é o único caminho — e se for o único motivo pelo qual você está estudando, talvez valha mais a pena repensar. Existem jeitos melhores de aprender e de mostrar que você manja.

Vale a pena o tempo investido?

Depende. Vou abordar essa questão partindo do meu próprio contexto: comecei como universitário em tempo integral e, depois, passei a conciliar um emprego CLT durante o dia com a faculdade à noite.

Na minha experiência, a maioria das certificações não exige um investimento absurdo de tempo no dia a dia. Mas isso não quer dizer que é rápido. Eu ainda precisei dedicar muitas horas dos meus finais de semana e do pouco tempo livre que tinha. No meu caso, além do meu antigo emprego — onde eu tinha liberdade pra estudar depois de concluir minhas tarefas (❤) — a maior parte do tempo que investi nas certificações foi durante as aulas da faculdade (eu levava o notebook e conectava a VM na Wi-Fi mesmo; eu não tava ligando muito pro curso naquela época, fight me). Depois acabei trocando de curso e saí de engenharia pra cursar segurança da informação — mas essa é outra história.

Todas as certificações que tirei foram enquanto equilibrava trabalho e estudo. E, como mencionei antes, a flexibilidade no meu ambiente de trabalho foi essencial e facilitou demais o processo. Se você não tiver essa flexibilidade, as coisas podem ficar mais complicadas.

Também acho que isso varia bastante de pessoa pra pessoa. Alguém com uma boa bagagem técnica vai passar pela OSCP muuuuuuito (eu digo MUUUUUUUUITO) mais rápido do que alguém que comprou o curso esperando aprender tudo do zero.

Vale a pena o esforço?

Acredito que algumas certificações valem totalmente o esforço — mesmo que isso signifique sacrificar algumas horas após o expediente ou nos finais de semana. Vou falar mais disso logo, mas o ponto principal aqui é: existem certificações que você faz pra aprender e outras que você faz pra ser reconhecido. “Valer a pena o esforço” depende puramente do que você espera tirar da cert.

Por exemplo, a OSCP está longe de ser um requisito pra entrar na área, mas, no cenário atual do Brasil (abril de 2025), quem quer construir uma carreira séria em segurança ofensiva vai encontrar um caminho mais… acessível com ela. Esse cenário pode (e tomara que) mude no futuro, mas, por enquanto, ainda é a forma mais direta de mostrar que você está — no mínimo — no nível júnior-pleno.

Agora, se você está só começando e não tem uma pressa absurda pra entrar no mercado já ganhando bem, minha dica é: priorize qualidade de aprendizado. Se você ainda nem entrou na área, não faz sentido mirar na OSCP agora. Esquece ela por enquanto.

Se sua ideia é fazer uma certificação que te dê reconhecimento e, ao mesmo tempo, prove que você realmente sabe o que está fazendo, aí sim eu recomendaria uma CPTS ou uma DCPT (essa última mais voltada especificamente pro mercado brasileiro). Enfim, tem opções mais inteligentes pra quem tá começando.

Vale a pena o dinheiro investido?

Ééééééééé… Depende™.

Acho válido separar as certificações em alguns grupos distintos:

• Certificações de Aprendizado: são aquelas que realmente valem pelo conhecimento que oferecem. Um bom exemplo é a Certified Penetration Testing Specialist (CPTS), que faz parte do Penetration Tester Path da HTB e só pode ser feita após a conclusão desse percurso. Outras que entram nessa categoria são a Certified Red Team Operator (CRTO) e a Certified Red Team Expert (CRTE).

• Certificações de Clout: servem principalmente pra colocar seu nome no radar dos recrutadores e “provar que você sabe pentestar”. Essa categoria me incomoda um pouco — não porque as certificações sejam ruins, mas porque são caras demais pelo que realmente entregam. Aqui, destaco a OSCP, que, entre todas que fiz, é a única que realmente se encaixa nesse perfil. Se você decidir investir nela, tenha em mente que o valor pago é pelo reconhecimento e pelo peso no currículo — não necessariamente pelo aprendizado em si.

Com algum tempo na área, você percebe que muitas certificações servem mais pra agradar o RH do que pra agregar conhecimento de verdade. Um exemplo pessoal: tirei a Security+ no ano passado. Embora eu não me arrependa, sinceramente, não sei se o tempo e dinheiro investidos valeram a pena pelo retorno real que tive no mercado.

E isso nos leva ao terceiro grupo:

• Certificações… Meh?: não é que sejam ruins, mas eu sinceramente não sei se importam tanto assim pra um pentester. Elas até têm seu valor, dependendo da trajetória profissional, mas não sei se valem o investimento. Com a Security+, por exemplo, aprendi conceitos basilares e tals — mas eu poderia muito bem ter aprendido tudo isso por outras fontes, sem pagar quase mil reais. Aqui também entram certificações como a CEH (ofensivamente cara — não faça), a própria Sec+ e outras do mesmo estilo.

No fim das contas, tudo depende dos seus objetivos e aspirações. Mas vou deixar aqui uma “dica” menos ortodoxa: faça os prolabs da HTB (Dante, Zephyr, Offshore, etc.). Eles não são “certificações”, tecnicamente falando, mas te entregam conhecimento prático aplicado — e qualquer um que esteja minimamente inserido na área vai pagar pau.

Se eu estiver encarregado de puxar um pentester júnior pro time e vejo que a pessoa tem uma pilha de prolabs no currículo, é quase certo que vou escolher ela.

V. CONSIDERAÇÕES FINAIS

TL;DR:
Aprender o básico é essencial. Mesmo. Não subestime isso. É quase impossível se aprofundar em algo que você nem entende o porquê de funcionar — ou quebrar. Ser bom no fundamental te dá clareza, te dá bagagem, e te dá segurança pra ir além sem se perder.

Então:

• Faça os paths básicos da HackTheBox Academy.

• Se quiser se aprofundar em web, PortSwigger Labs é o melhor caminho.

• Treine com boxes do HTB pra solidificar tudo.

Certificações são importantes, sim — mas não coloque o carro na frente dos bois.
Conhecimento bem aprendido vem antes de tudo.
E, no cenário atual, esse ainda é o jeito mais realista e eficiente de começar.

VI. E Depois?

Beleza, você passou pela base. E agora?

Antes de sair atirando pra todo lado, vale reforçar uma coisa: os fundamentos ainda são 90% do jogo. Não adianta querer aprender sobre nuvem ofensiva, evasão avançada ou exploit dev se você ainda tá tropeçando no terminal ou não entende o básico de redes. Sério — não inventa de seguir pro próximo passo sem ter isso aqui dominado:

• Linux (de verdade, não só saber usar ls e cd)

• Redes (TCP/IP, subnets, portas, protocolos)

• Web (HTTP, headers, cookies, etc.)

• Network Pentesting (pensa numa CPTS, OSCP ou algo equivalente em conhecimento prático)

• Web Pentesting (pique CBBH — ótimo até pra bug bounty)

Depois disso? Aí sim dá pra escolher uma trilha e começar a focar. Dá uma olhada:

→ Web / AppSec

• Demanda no mercado: 100% (toda empresa tem aplicação web)

• Dificuldade: 60%–80% (varia MUITO com o grau de profundidade — tem coisa de web que você tem que ser meio bizonho pra conseguir exploitar)

• Salário: muito variável (de PJ ganhando mal, CLT ganhando mais ou menos, até sênior remoto ganhando salário dolarizado. É uma bagunça. Saber web também facilita muito pra fazer bug bounty $$$)

• Certificações:

  • PortSwigger Academy

  • CWEE

Se você curte HTTP, APIs, Burp Suite, injeções e acha legal desmontar aplicativos web... vai fundo.

→ RedOps

• Demanda no mercado: ~60% (depende muito da maturidade de segurança das empresas)

• Dificuldade: 70%

• Salário: geralmente mais elevado (mas mais fechado também. Como dito: é mais fácil achar um bom pentester web do que um bom pentester que manja de RedOps)

• Certificações:

  • CRTO

  • CRTE

Foco aqui é em simulação de ataque real: Cobalt Strike, AD, evasão, infraestrutura ofensiva. Se você curte a ideia de um pentest aprofundado, com pegada realista, é aqui.

→ Cloud

• Demanda no mercado: 80% (mas dificilmente você encontra alguém focado só nisso — geralmente é um plus de quem já manja muito de web ou rede)

• Dificuldade: 50%

• Salário: médio-alto

• Certificações:

  • 🤷‍♂️ É complicado... (cada provedor tem a sua, e segurança ofensiva ainda é nichada nelas. Não vou opinar mais que isso)

Se você já trabalha com cloud ou tem interesse, vale muito. Pouca gente faz ofensiva na nuvem bem.

→ Exploit Dev

• Demanda no mercado: de verdade? Não sei nem quantificar. Vocês são unicórnios. No Brasil, acho que conheço duas pessoas que fazem isso bem.

• Dificuldade: 110%

• Salário: até onde eu sei, muito bom (mesmo. Só o fato de ser difícil achar gente nessa área já justifica o valor)

• Certificações: quase nenhuma válida pro mercado comercial. As que existem, eu não fiz — então não vou opinar.

Se você curte assembly, heap, buffer overflow e quer virar um mago da engenharia reversa, esse é o caminho. Mas se prepara: é deep end of the pool. Quem mexe com isso lá fora geralmente vai trabalhar pro governo.

Cada uma dessas trilhas pode te levar pra um lugar diferente. Mas, de novo: não tenta correr antes de andar. Gasta seu tempo com os fundamentos, explora com calma e vai descobrindo o que realmente te interessa.