Post

Pentest: O Caminho Realista Para Quem Está Começando

Posted Updated
By Gabriel (hexkaster) Menezes
18 min read
Pentest: O Caminho Realista Para Quem Está Começando

I. INTRODUÇÃO

Este guia reúne opiniões e sugestões pessoais sobre a melhor forma de iniciar e evoluir na área de Pentest, com foco nas particularidades do mercado brasileiro. As recomendações foram elaboradas considerando o cenário local, levando em conta a disponibilidade de recursos, a formação técnica e as oportunidades existentes no Brasil.

O objetivo é ajudar amigos e interessados que desejam migrar ou começar na área de cibersegurança, destacando pontos que considero essenciais para uma transição eficaz e para o desenvolvimento de habilidades indispensáveis no campo de Red Team.

Nota: Pentest e Red Team não são a mesma coisa. Embora sejam áreas complementares, não devem ser jogadas no mesmo saco. No entanto, para facilitar a compreensão ao longo do texto, vou tratá-las de forma similar.

II. ÁREAS DE APRENDIZADO

Normalmente, os profissionais que ingressam na área de Pentesting já atuaram em outras vertentes da segurança ou em setores como administração de sistemas, desenvolvimento ou operações de rede. Essa bagagem prévia facilita bastante a transição para uma função altamente especializada.

De forma geral, essa frente pode ser dividida em duas grandes áreas iniciais:

  • Pentest de Web: Focado na avaliação de aplicações web, APIs e ambientes em nuvem, com o objetivo de identificar vulnerabilidades em sistemas expostos à internet.

  • Pentest de Redes: Voltado para a análise e exploração de infraestruturas internas, como Active Directory, servidores e sistemas operacionais (incluindo Linux), com o intuito de mapear e testar a segurança de redes corporativas.

Além disso, dentro do universo de Pentesting/Red Team, existem áreas ainda mais avançadas, como desenvolvimento de malware, mobile pentesting e operações específicas de Red Team (Red Team Operations). No entanto, para quem está começando, faz muito mais sentido consolidar primeiro os fundamentos antes de se aventurar em especializações mais complexas.

Este guia pretende ser um ponto de partida prático e adaptado à realidade brasileira, ajudando na construção de uma base consistente para sua evolução na área de Pentest/Red Team.

III. POR ONDE COMEÇAR?

Exceto em casos raros e específicos, geralmente associados a um perfil autodidata, habilidades excepcionais e até um pouco de sorte, entrar de cabeça no Pentest não é uma tarefa barata – embora não precise ser necessariamente cara. Existem alternativas mais acessíveis, como a PortSwigger Academy, que oferece ótimos recursos para aprender ataques web. Contudo, essas opções ainda são exceções. Devido à natureza prática dos laboratórios de aprendizado e ao grau técnico dos treinamentos, a maior parte dos cursos e laboratórios pagos acabam tendo um custo significativo.

Além disso, vale destacar que, embora as certificações não sejam essenciais para iniciar na área, elas possuem grande valor de mercado. O problema é que muitas vezes os preços também são elevados. Eu, pessoalmente, me incomodo com os altos custos, principalmente considerando o contexto brasileiro. Por isso, o objetivo deste guia é apresentar um equilíbrio entre opções que cabem no orçamento e aquelas que exigem investimento maior, mas que podem acelerar o desenvolvimento na área de Pentest/Red Team de forma acessível e eficiente.

Vamos ao que interessa

Na minha opinião, um pentester iniciante deve, no mínimo, ter domínio básico de ataques em Web e Redes. No entanto, tentar aprender tudo ao mesmo tempo no início da jornada não é o caminho mais eficiente para dominar ambas as áreas.

Historicamente, as opções eram:

  • Grindar certificações com cursos específicos.
  • Quebrar a cabeça em CTFs como HackTheBox e plataformas similares.
  • Filtrar conteúdos técnicos dispersos pela internet.

Até pouco tempo, essa área era extremamente inacessível (e de certa forma, ainda é). Mas felizmente, isso mudou bastante nos últimos anos.

Minha recomendação é simples: invista na HackTheBox Academy. 👉 https://academy.hackthebox.com/

Sei que pode parecer reducionista recomendar sempre o mesmo caminho para iniciantes, e eu sei que cada caso é único. Ainda assim, o HTB Academy oferece uma das opções com melhor custo-benefício para quem quer aprender o básico de web e de redes.

A plataforma organiza seus treinamentos em módulos básicos, claros e focados, separados entre:

  • Web Pentesting
  • Network Pentesting

Ou seja, exatamente o que você precisa para construir uma base sólida.

É claro que cada pessoa tem necessidades diferentes, mas eu diria que essa é a escolha mais acertada para 90% dos iniciantes.

Vale mencionar: o HTB Academy também oferece conteúdos voltados para blue team, mas este guia não vai abordar essa vertente.

Painel de Job Role Paths do HTB Academy. É aqui que está o melhor custo-benefício.

O conteúdo do HTB Academy é todo em inglês, mas ainda assim representa o melhor custo-benefício para quem está começando. Com uma conta estudantil, você consegue uma assinatura por apenas 8 USD/mês, que já inclui todos os módulos básicos de Web e Redes. Dominar os fundamentos é o primeiro passo, e ambos os cursos cumprem esse papel com excelência.

A abordagem é altamente prática: após cada questão, você acessa um laboratório para aplicar o que foi ensinado, e ao final de cada módulo há um lab final que testa todo o conteúdo aprendido. Essa combinação de teoria + prática é, na minha visão, a forma mais eficaz de aprender.

Minha recomendação pessoal é começar pelo Penetration Tester, já que uma parte considerável do Web Pentest depende de conceitos abordados nele. De qualquer forma, recomendo fortemente fazer os dois paths.

O ideal é grindar as questões do caminho escolhido e, em paralelo, utilizar uma boa ferramenta de notetaking – no meu caso, uso o Obsidian. Essa prática é essencial para consolidar o aprendizado. Ter um repositório organizado de notas permite absorver melhor os conteúdos e revisitá-los sempre que necessário. Meu método é simples: anoto tudo o que considero relevante em cada módulo e, em seguida, faço um refino, destacando apenas o que realmente importa. Esse processo não só solidifica o conhecimento, como também cria uma referência pessoal valiosa para consultas futuras.

Minhas notas organizadas.

Passando dessa etapa, você pode solidificar seus conhecimentos explorando máquinas variadas no HackTheBox – inclusive, os próprios módulos do Academy já fazem referência a boxes relacionadas. Outra opção é o TryHackMe, embora eu, pessoalmente, não curta tanto.

Agora, se o foco for ataques em Web Pentesting, minha recomendação é direta: PortSwigger Academy. Eles são minha principal referência para estudo de ataques web, e a plataforma segue um modelo semelhante ao HTB Academy, combinando conteúdo técnico com labs práticos. A diferença? É 100% gratuito.

Mesmo que você já conheça um ataque, vale a pena conferir os insights da PortSwigger. Sempre aparece algum detalhe útil. Mas o verdadeiro ouro está nos labs: bem estruturados, cobrindo desde o básico até técnicas avançadas, forçando você a aplicar o conhecimento de forma prática. Se o objetivo é aprender web pentesting a fundo, essa é uma das melhores ferramentas disponíveis.

Depois de passar por essa fase inicial – que eu sei que é exaustiva, exigente e muitas vezes frustrante (essa área realmente demanda tempo e esforço, it is what it is) – você já terá uma visão mais clara sobre o que curte, o que não curte e em que deseja se aprofundar.

Esse guia, se é que dá pra chamar assim, é apenas uma tentativa de dar um empurrão inicial, ajudando você a arranhar a superfície da área. O restante virá com o tempo, prática, tropeços e vivência. Então se jogue: participe da comunidade, faça amigos e conexões, troque ideia nos Discords da vida, esteja presente. Aprender com os outros e junto com os outros faz toda a diferença.

IV. CERTIFICADOS & CERTIFICAÇÕES

Se você está começando na área, ou mesmo se já tem alguma vivência, é bem provável (tipo, 95% de certeza) que já tenha esbarrado em algum vídeo no YouTube ou post no LinkedIn falando sobre certificados e certificações. E aqui vai uma opinião que pode não ser a mais popular: a área de cybersec no Brasil (e no mundo também, mas aqui é especialmente frustrante) está lotada de vendedores de sonho e influencers que apontam caminhos duvidosos, muitas vezes porque estão sendo pagos pra isso.

Por isso, quero ser rápido e direto sobre certificações – e principalmente compartilhar minha opinião sincera sobre algumas delas. Vou comentar apenas as que eu já fiz, acompanhei de perto amigos fazendo, ou com as quais tive contato real. No fim, este texto é um apanhado de percepções pessoais e coletivas. Não é verdade absoluta, mas acredito que pode ajudar.

Vale reforçar: certificações são caras, e é muito fácil gastar dinheiro em certs que não ampliam de verdade o conhecimento, mas que ainda assim trazem reconhecimento de mercado – o que, por si só, pode abrir portas e ajudar a conseguir um emprego. Saber equilibrar aprendizado real com credibilidade é essencial para não jogar dinheiro fora.

O mais importante: não acredite cegamente em certificados. Eles, sozinhos, não valem o seu tempo.

  • Certificado do Google de cyber? Não faça.
  • “Certificação” gratuita? Não faça.

Quando eu digo “Não faça”, não quero dizer que esses certificados sejam 100% inúteis ou inválidos. O problema é que acumular certificados superficiais traz duas consequências bem negativas:

  1. Conteúdo raso e repetitivo: na maior parte do tempo, é material abstrato, que dificilmente se traduz em prática real de trabalho, e que muitas vezes já estaria incluído em alguns módulos de um curso mais sério.

  2. Falsa sensação de progresso: talvez o ponto mais perigoso. Você se convence de que está avançando, mas, na prática, não está. Surge aquele pensamento: “porra, já fiz três certificados do Google, postei no LinkedIn, e nada mudou… deve ser o mercado que tá ruim”. Nosso cérebro adora recompensas rápidas, e empilhar certificações fluff só reforça a ilusão de produtividade, quando, na real, você está apenas gastando tempo. O foco precisa estar em algo real e aplicável.

Por fim, vale reforçar: certificações sérias exigem dedicação, prática e investimento. Pagar por uma certificação carrega um recado claro: “estou investindo em mim”. Um certificado do Google, por exemplo, dificilmente vai te garantir um emprego – no máximo pode te ajudar a construir alguma base, mas nada além disso.

Em resumo: não se engane com atalhos fáceis. Invista em algo que realmente faça diferença no seu aprendizado e no seu portfólio. Fico agoniado vendo gente querendo entrar na área e saindo por aí spammando certificado de nível básico como se isso fosse resolver alguma coisa. Tirar cinco certificações júnior não te torna menos júnior, sabe? You feel me?

A seguir, vou colocar alguns bullet-points e depois minha opinião sincera sobre cada um deles.

Certificações equivalem a conhecimento?

Não. Certificações são só um meio para um fim, não substituem experiência e não deveriam ser tratadas como tal. O que realmente importa é a experiência prática adquirida durante a preparação, não o papel em si.

O verdadeiro valor de uma certificação está em oferecer uma base sólida, um caminho estruturado para aprender e se organizar. Mas, se tudo que você faz é copiar e colar comandos, isso não vai te transformar em profissional.

Se você ainda não tem experiência na indústria, existem outros jeitos de provar competência: pesquisa independente, writeups de boxes (como mencionei antes), desenvolvimento de projetos ou qualquer coisa que demonstre interesse real pela área. Certificação não é o único caminho — e se for sua única motivação para estudar, talvez valha repensar. Existem jeitos melhores de aprender e de mostrar que você manja.

Vale a pena o tempo investido?

Depende. Vou abordar essa questão a partir do meu contexto: comecei como universitário em tempo integral e depois passei a conciliar um emprego CLT durante o dia com a faculdade à noite.

Na minha experiência, a maioria das certificações não exige um investimento absurdo de tempo no dia a dia. Mas isso não significa que é rápido. Ainda precisei dedicar muitas horas dos meus finais de semana e do pouco tempo livre que tinha.

No meu caso, além do antigo emprego, onde eu tinha liberdade pra estudar depois de concluir minhas tarefas (❤), a maior parte do tempo que investi nas certificações foi durante as aulas da faculdade (eu levava o notebook e conectava a VM na Wi-Fi; não estava ligando muito pro curso naquela época, fight me). Depois acabei trocando de curso e saí de engenharia pra cursar segurança da informação, mas essa é outra história.

Todas as certificações que tirei foram enquanto equilibrava trabalho e estudo. E, como mencionei antes, a flexibilidade no meu ambiente de trabalho foi essencial e facilitou demais o processo. Se você não tiver essa flexibilidade, as coisas podem ficar mais complicadas.

Também acho que isso varia bastante de pessoa pra pessoa. Alguém com boa bagagem técnica vai passar pela OSCP muuuuuuito (eu digo MUUUUUUUUITO) mais rápido do que alguém que comprou o curso esperando aprender tudo do zero.

Vale a pena o esforço?

Acredito que algumas certificações valem totalmente o esforço — mesmo que isso signifique sacrificar horas após o expediente ou finais de semana. Vou detalhar mais adiante, mas o ponto principal é simples: existem certificações que você faz para aprender e certificações que você faz para ser reconhecido. Se vale a pena ou não, depende puramente do que você espera tirar da cert.

Por exemplo, a OSCP está longe de ser um requisito para entrar na área. Porém, no cenário atual do Brasil (abril de 2025), quem quer construir uma carreira séria em segurança ofensiva vai encontrar um caminho muito mais acessível com ela. Esse cenário pode (e tomara que) mude no futuro, mas, por enquanto, ainda é a forma mais direta de mostrar que você está — no mínimo — no nível júnior-pleno.

Agora, se você está apenas começando e não tem uma pressa absurda para entrar no mercado já ganhando bem, minha dica é: priorize qualidade de aprendizado. Se você ainda nem entrou na área, não faz sentido mirar na OSCP agora. Esquece ela por enquanto.

Se a sua ideia é buscar uma certificação que traga reconhecimento de mercado e, ao mesmo tempo, prove que você realmente sabe o que está fazendo, aí sim eu recomendaria uma CPTS ou uma DCPT (esta última mais voltada especificamente para o mercado brasileiro).

Enfim, existem opções mais inteligentes para quem está dando os primeiros passos.

Vale a pena o dinheiro investido?

Ééééééééé… Depende™.

Acho válido separar as certificações em alguns grupos distintos:

  • Certificações de Aprendizado: são aquelas que realmente valem pelo conhecimento prático que oferecem. Um bom exemplo é a Certified Penetration Testing Specialist (CPTS), que faz parte do Penetration Tester Path da HTB e só pode ser feita após a conclusão desse percurso. Outras que entram nessa categoria são a Certified Red Team Operator (CRTO) e a Certified Red Team Expert (CRTE).

  • Certificações de Clout: servem principalmente pra colocar seu nome no radar dos recrutadores e “provar que você sabe pentestar”. Essa categoria me incomoda um pouco, não porque as certificações sejam ruins, mas porque são caras demais pelo que realmente entregam. Aqui destaco a OSCP, que, entre todas que fiz, é a única que realmente se encaixa nesse perfil. Se você decidir investir nela, tenha em mente que o valor pago é pelo reconhecimento e peso no currículo, não necessariamente pelo aprendizado.

    Atualização (agosto de 2025): estou fazendo a OSEP (rumo ao OSCE3). Essa também entra muito mais na categoria clout do que aprendizado. O curso é muito bom, mas não vale 1700 USD de jeito nenhum.

  • Certificações… Meh?: não é que sejam totalmente inúteis, mas sinceramente não sei se importam tanto assim para um pentester. Elas até podem ter valor dependendo da trajetória profissional, mas, na maioria dos casos, não justificam o investimento. Com a Security+, por exemplo, aprendi alguns conceitos basilares, mas tudo aquilo poderia ter sido estudado de graça ou com materiais muito mais acessíveis — e sem gastar quase mil reais. Aqui também entram certificações como a CEH (ofensivamente cara, não faça), a própria Sec+ e outras do mesmo estilo. Não vou ficar listando todas, mas fica o alerta: se você vê um youtuber com câmera bonitinha fazendo vídeo de divulgação com cupom de desconto na descrição, desconfie. Talvez seja uma dessas. Como já disse antes, essa área está cheia de vendedores de sonho. Se você quer uma review real de qualquer certificação, procure na comunidade: posts no Medium, blogs independentes, fóruns, Discords… qualquer coisa que não seja apenas marketing. Só não entregue seu dinheiro confiando cegamente em quem recebe para te convencer.

No fim das contas, tudo depende dos seus objetivos e aspirações. Mas vou deixar aqui uma dica menos ortodoxa: faça os ProLabs da HTB (Dante, Zephyr, Offshore, etc.). Eles não são “certificações” no sentido formal, mas entregam conhecimento prático aplicado, e qualquer um que esteja minimamente inserido na área vai reconhecer o valor.

Se eu estiver encarregado de puxar um pentester júnior pro time e vejo que a pessoa tem uma pilha de ProLabs no currículo, é quase certo que vou escolher ela.

V. CONSIDERAÇÕES FINAIS

TL;DR:

Aprender o básico é essencial. Mesmo. Não subestime isso. É praticamente impossível se aprofundar em algo que você nem entende o porquê de funcionar ou de quebrar. Ter domínio dos fundamentos te dá clareza, bagagem e confiança para avançar sem se perder.

Então, por onde começar?

  1. HackTheBox Academy: faça os paths básicos. Eles foram desenhados exatamente para construir a base que você precisa em Web e Redes.

  2. PortSwigger Labs: se quiser se aprofundar em Web Pentesting, este é o melhor caminho. É gratuito, direto ao ponto e extremamente prático.

  3. HackTheBox Machines: depois, treine com boxes variadas do HTB. É a melhor forma de solidificar o aprendizado e ganhar experiência prática.

Sobre certificações

Certificações são importantes, sim, mas não caia na armadilha de colocar o carro na frente dos bois. Primeiro vem o conhecimento bem aprendido, depois vem o papel que prova esse conhecimento.

O mercado valoriza as certs, mas o que realmente faz diferença é a capacidade de resolver problemas de verdade. Invista em certificações estratégicas, mas nunca esqueça que elas devem ser consequência de estudo sólido e prática consistente.

No cenário atual, esse ainda é o jeito mais realista e eficiente de começar: construa a base, pratique bastante e só depois invista em certificações que realmente façam sentido para o seu objetivo.

VI. E Depois?

Você terminou a base. Beleza. E agora?

Antes de sair escolhendo qualquer trilha, lembra de uma coisa: os fundamentos ainda são 90% do jogo. Não adianta querer aprender sobre nuvem ofensiva, evasão avançada ou exploit dev se você ainda se perde no terminal ou não entende direito como a rede funciona. O próximo passo só faz sentido se você realmente domina:

  • Linux (de verdade, não só ls e cd)

  • Redes (TCP/IP, subnets, portas, protocolos)

  • Web (HTTP, headers, cookies, sessões)

  • Network Pentesting (equivalente a um CPTS, OSCP ou algo similar)

  • Web Pentesting (equivalente a um CBBH, ótimo até para bug bounty)

Com isso sólido, aí sim você pode escolher uma trilha para focar:

→ Web / AppSec

  • Demanda no mercado: altíssima (toda empresa tem aplicação web).

  • Dificuldade: intermediária a avançada (varia muito conforme a profundidade).

  • Salário: extremamente variável, desde CLT mediano até vagas remotas com salário dolarizado. Além disso, saber Web ajuda bastante em bug bounty.

  • Certificações recomendadas: PortSwigger Academy, CWEE.

Se você gosta de HTTP, APIs, Burp Suite, injeções e de desmontar aplicativos web, essa pode ser a sua praia.

→ RedOps

  • Demanda no mercado: média, mas tende a crescer conforme as empresas amadurecem em segurança.

  • Dificuldade: alta (70%+).

  • Salário: geralmente mais elevado, mas as oportunidades são mais restritas.

  • Certificações recomendadas: CRTO, CRTE.

O foco aqui é simular ataques reais: Cobalt Strike, Active Directory, evasão, infraestrutura ofensiva. É a área para quem quer pentests realistas, em cenários de Red Team.

Cada trilha pode te levar a destinos diferentes. Existem também outras trilhas possíveis que eu não vou ficar listando aqui. Quando você começa a se familiarizar com o mercado e entender melhor como as coisas funcionam, fica muito mais fácil descobrir o que realmente quer fazer. Às vezes você pode acabar se interessando por exploit dev ou por alguma área que nem cogitava no começo, e tudo bem.

O recado final é simples: não tente correr antes de andar. Gaste tempo com os fundamentos, explore com calma e descubra o que realmente te interessa.

cybersec
cybersec
This post is licensed under CC BY 4.0 by the author.

Trending Tags

cybersec