Certificaciones de ciberseguridad. El mercado europeo de la ciberseguridad demanda 883.000 profesionales adicionales respecto a los actualmente en activo, según el análisis publicado por ENISA junto con la Comisión Europea.
La brecha de competencias es el verdadero cuello de botella que frena el cumplimiento de NIS2 y del Cyber Resilience Act. Y en ese contexto, una certificación reconocida es la vía más rápida para superar los filtros automáticos de los ATS corporativos cuando un currículum llega a la mesa de un reclutador.
Los profesionales certificados en ciberseguridad cobran entre un 10 y un 25% más que sus homólogos sin certificación equivalente, según los estudios anuales de ISC2 y CompTIA. La diferencia no es solo económica: las certificaciones validan competencias específicas ante empleadores que no pueden evaluar directamente el nivel técnico en un proceso de selección.
Esta guía organiza las certificaciones más relevantes por nivel de experiencia y por especialización, con precios y criterios para elegir la correcta según el perfil y el objetivo profesional.
Por qué las certificaciones importan en ciberseguridad
La ciberseguridad es uno de los pocos campos tecnológicos donde las certificaciones tienen un peso real en el proceso de selección, no solo simbólico. Las razones son concretas.
Primero, la ciberseguridad tiene una dimensión regulatoria significativa. El Esquema Nacional de Seguridad en España, la directiva NIS2 europea y los estándares del Departamento de Defensa de Estados Unidos (DoD 8140) mencionan certificaciones específicas como evidencias de competencia.
En licitaciones públicas y contratos con administraciones, tener el perfil correcto certificado puede ser un requisito contractual. Segundo, la amplitud del campo hace que las certificaciones funcionen como señalización de especialización.
Un OSCP dice algo muy concreto: esta persona ha hackeado máquinas reales en un entorno controlado durante 24 horas. Un CISSP dice otra cosa: esta persona entiende la gestión de seguridad a nivel organizativo con experiencia demostrable. Esa especificidad facilita la selección.
Tercero, la brecha de talento en ciberseguridad hace que el mercado sea más receptivo a perfiles sin título universitario si tienen certificaciones sólidas y proyectos demostrables. Las certificaciones democratizan el acceso al sector de una forma que los títulos convencionales no permiten.
Mapa de certificaciones por nivel de experiencia
| Nivel | Certificación | Entidad | Coste aprox. |
|---|---|---|---|
| Entrada | ISC2 CC | ISC2 | Gratis |
| Google Cybersecurity Certificate | Google / Coursera | ~200€ | |
| CompTIA Security+ | CompTIA | ~392$ | |
| Medio | eJPT | eLearnSecurity | ~200$ |
| CompTIA CySA+ | CompTIA | ~392$ | |
| CEH | EC-Council | ~1.200$ | |
| Avanzado | OSCP | Offensive Security | ~1.499$ |
| CCSP | ISC2 | ~599$ | |
| CISM | ISACA | ~575$ | |
| CISSP | ISC2 | ~699$ |
Certificaciones de nivel de entrada
ISC2 Certified in Cybersecurity (CC)
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLa certificación más accesible para quien empieza desde cero. ISC2 la lanzó con acceso gratuito al curso de preparación y examen para aumentar la base de profesionales certificados ante la brecha de talento global. Cubre los fundamentos de seguridad: principios de seguridad, continuidad de negocio, control de accesos, seguridad de redes y operaciones de seguridad.
No requiere experiencia previa. El examen se hace online y el coste es prácticamente nulo. Para quien quiere una primera credencial institucional reconocida antes de invertir en Security+, es el punto de partida más lógico.
Google Cybersecurity Certificate
Diseñado para quienes hacen una transición de carrera sin conocimientos previos de IT. Cubre fundamentos de redes, Linux, Python básico, SIEM, herramientas de detección de amenazas y respuesta a incidentes. Se completa en aproximadamente 6 meses a tiempo parcial y prepara para posiciones de Analista SOC de nivel inicial.
Su ventaja es la accesibilidad: bajo coste, ritmo flexible y orientado al mercado laboral desde el primer módulo. No tiene el reconocimiento institucional de CompTIA Security+ en procesos de selección más formales, pero es un buen primer paso para construir base antes de certificaciones más exigentes.
CompTIA Security+
Es la certificación más versátil para entrar al mercado de ciberseguridad. Aparece en el 70% de las ofertas laborales de nivel inicial según datos de Indeed y LinkedIn. Cumple con los requisitos del estándar DoD 8140 de Estados Unidos, lo que la hace especialmente relevante para contratos con administraciones públicas y empresas de defensa.
Cubre amenazas e incidentes, criptografía, identidad y accesos, infraestructura, gestión de riesgos y operaciones de seguridad. El examen tiene 90 preguntas en 90 minutos, combinando opción múltiple con preguntas basadas en rendimiento (simulaciones prácticas).
No tiene requisitos previos formales, aunque CompTIA recomienda tener Network+ antes. Es la base recomendada antes de especializarse en Blue Team con CySA+ o en Red Team con CEH y OSCP.
Coste del examen: ~392$. Vigencia: 3 años (renovable con CEs).
Certificaciones de nivel medio
eLearnSecurity Junior Penetration Tester (eJPT)
Es la certificación práctica más recomendada como primer paso hacia el pentesting antes de invertir en CEH u OSCP. El examen es completamente práctico: hackear máquinas en un entorno de laboratorio real. No hay preguntas de opción múltiple.
Es accesible económicamente (~200$) y tiene una curva de aprendizaje adecuada para quien viene de Security+ y quiere confirmar que el pentesting es la dirección correcta antes de comprometerse con la inversión del OSCP. Es el punto de entrada más honesto al Red Team: demuestra que se sabe hacer el trabajo, no que se conoce la teoría.
CompTIA CySA+ (Cybersecurity Analyst+)
Es la evolución natural de Security+ para quien se orienta hacia el Blue Team y los roles de analista SOC. Cubre análisis de amenazas, inteligencia de amenazas, gestión de vulnerabilidades, respuesta a incidentes y cumplimiento normativo.
Requiere tener Security+ o equivalente, más 4 años de experiencia en seguridad IT. Es la certificación de referencia para posiciones de Analista de Ciberseguridad, Analista SOC de nivel medio y roles de respuesta a incidentes.
CEH – Certified Ethical Hacker
Es la certificación de hacking ético más reconocida corporativamente. Cubre las fases del ataque (reconocimiento, escaneo, explotación, post-explotación) y las técnicas más usadas: sniffing, inyección SQL, XSS, escalada de privilegios, evasión de antivirus.
Sus requisitos: al menos 2 años de experiencia en InfoSec o una certificación equivalente. El examen tiene 125 preguntas de opción múltiple en 4 horas. Su orientación es más teórica que el OSCP, lo que la hace más accesible pero también menos valorada entre profesionales ofensivos puros.
Donde el CEH tiene ventaja real es en entornos corporativos y gubernamentales donde las certificaciones del EC-Council tienen reconocimiento formal en las fichas de puesto. El Esquema Nacional de Seguridad en España la menciona como evidencia aceptable para responsables de seguridad.
Coste: ~1.200$ (incluye formación oficial) / ~950$ (solo examen con 2 años de experiencia). Vigencia: 3 años.
Certificaciones avanzadas
OSCP – Offensive Security Certified Professional
Es la certificación más valorada en el mercado ofensivo. La razón es simple: el examen consiste en hackear máquinas reales en un entorno controlado durante 24 horas, sin ayuda externa y documentando cada paso con un informe técnico. No hay opción múltiple. No hay teoría. Solo resultados.
El proceso incluye el curso PEN-200 de Offensive Security con acceso a laboratorios de práctica (90 días en el plan estándar), seguido del examen de 24 horas. Es exigente en tiempo de preparación: los candidatos que aprueban en el primer intento suelen haber dedicado entre 200 y 400 horas de laboratorio.
OSCP es la certificación que INCIBE-CERT, CCN-CERT y las empresas de seguridad ofensiva más relevantes del mercado buscan en sus procesos de selección. En Red Team, es el estándar de facto.
Coste: ~1.499$ (90 días de lab + examen). Vigencia: sin caducidad (aunque Offensive Security ha lanzado OSCP+ como actualización).
CISSP – Certified Information Systems Security Professional
Es la certificación más reconocida para puestos de dirección y arquitectura de seguridad. Cubre los ocho dominios del Common Body of Knowledge (CBK): gestión de seguridad, seguridad de activos, arquitectura y diseño, seguridad de redes, control de accesos, testing de seguridad, operaciones y seguridad en desarrollo de software.
El requisito más exigente es la experiencia: mínimo 5 años de trabajo remunerado en al menos dos de los ocho dominios. Hay posibilidad de exención de un año si se tiene un título universitario de cuatro años. El examen usa un formato CAT (Computer Adaptive Testing) de hasta 175 preguntas.
CISSP entrega la mayor prima salarial absoluta a largo plazo. Es la certificación que justifica rangos salariales de CISO, Director de Seguridad y Arquitecto de Seguridad. Para quien está en el inicio de la carrera, es una certificación a planificar a 5-7 años vista.
Coste del examen: ~699$. Vigencia: 3 años (renovable con CEs).
CISM – Certified Information Security Manager
Es la certificación de ISACA orientada a la gestión de la seguridad de la información. Cubre gobernanza, gestión de riesgos, gestión de programas de seguridad y respuesta a incidentes desde una perspectiva de dirección.
Se diferencia del CISSP en que está más orientada al rol de manager que al de arquitecto técnico. Requiere 5 años de experiencia en gestión de seguridad. Es especialmente valorada en entornos empresariales donde el responsable de seguridad reporta al consejo de administración.
Coste del examen: ~575$ (miembros ISACA) / ~760$ (no miembros). Vigencia: 3 años.
CCSP – Certified Cloud Security Professional
Con la migración masiva a la nube, la seguridad en entornos cloud se ha convertido en una especialización con demanda propia. El CCSP, de ISC2, es la certificación de referencia para profesionales que trabajan con seguridad en AWS, Azure o GCP: cubre arquitectura cloud, diseño, operaciones, seguridad de aplicaciones y cumplimiento legal.
El Reglamento Europeo de IA y NIS2 están generando una nueva capa de demanda de perfiles que combinen conocimiento de cloud con criterio de cumplimiento normativo. CCSP es la certificación que posiciona mejor para esos roles en el mercado europeo.
Coste del examen: ~599$. Requiere 5 años de experiencia IT con 3 en seguridad y 1 en seguridad cloud.
Certificaciones por especialización: Blue Team y Red Team
Ruta recomendada:
ISC2 CC → CompTIA Security+ → CompTIA CySA+ → GSEC (GIAC) → GCIA o GCIH (respuesta a incidentes)
Para SOC Analyst y analistas de respuesta a incidentes. Foco en detección, análisis de logs, SIEM y gestión de amenazas.
Ruta recomendada:
CompTIA Security+ → eJPT → CEH → OSCP → CRTO (Red Team Operator)
Para Penetration Tester y Red Team. Foco en explotación, escalada de privilegios, evasión y reporte técnico. OSCP es el nivel de entrada al mercado ofensivo serio.
El contexto España: ENS, INCIBE y NIS2
En España, las certificaciones de ciberseguridad tienen un peso particular por el marco regulatorio local y europeo.
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, exige a las administraciones públicas y sus proveedores adoptar medidas de seguridad documentadas. Las licitaciones públicas de seguridad suelen mencionar Security+, CISSP, CEH o CISM como evidencias aceptables para los responsables de seguridad de la información.
INCIBE-CERT y CCN-CERT, los dos equipos nacionales de respuesta a incidentes, reclutan habitualmente analistas con certificaciones GIAC/SANS y OSCP. Para quien quiere trabajar en el sector público de ciberseguridad en España, estas son las certificaciones más alineadas con los requisitos de esos puestos.
La directiva NIS2 obliga a miles de empresas españolas de sectores críticos a tener responsables de seguridad cualificados. Eso está generando una demanda directa de perfiles con CISSP, CISM y Security+ para cubrir los nuevos requisitos de cumplimiento.
Javier llegó al Bootcamp de Ciberseguridad de KeepCoding desde trabajos temporales sin experiencia técnica previa. Siempre había tenido la ciberseguridad como hobby pero nunca como carrera posible.
Siete meses después de terminar estaba trabajando en el sector. Lo que más valoró fue el enfoque full-stack: cubrir todos los campos de la ciberseguridad para saber dónde especializarse, con herramientas reales tanto del lado ofensivo como defensivo.
Cómo elegir la certificación correcta
La elección depende de tres variables: el nivel de experiencia actual, el rol objetivo y el presupuesto disponible.
Lo que hemos visto acompañando a profesionales que hacen la transición a ciberseguridad es que el error más frecuente es invertir en una certificación cara antes de validar con proyectos prácticos que el campo realmente les interesa. Security+ o ISC2 CC como primer paso, seguido de laboratorios en plataformas como Hack The Box o TryHackMe, es una forma mucho más eficiente de confirmar la dirección antes de invertir en CEH u OSCP.
El retorno de inversión de cada certificación en función del momento de la carrera es el siguiente: Security+ tiene el mejor ratio coste-prima a nivel inicial. OSCP tiene la mejora más pronunciada a corto plazo para especialistas ofensivos. CISSP entrega la mayor prima absoluta a largo plazo, pero requiere 5 años de experiencia para obtenerla.
Para construir la base técnica sobre la que después aplican las certificaciones, el Ciberseguridad Full Stack Bootcamp de KeepCoding cubre el recorrido completo desde los fundamentos hasta las técnicas avanzadas de ataque y defensa en 7 meses, con profesores en activo en el sector.
Conclusión
Las certificaciones de ciberseguridad son un diferenciador real en el mercado laboral: los certificados cobran entre un 10 y un 25% más, acceden más rápido a ofertas que filtran por credenciales y tienen ventaja en licitaciones públicas reguladas por el ENS y NIS2. Ciberseguridad Full Stack Bootcamp de KeepCoding.
El mapa es amplio pero la secuencia es clara: Security+ como base universal, eJPT o CySA+ para la primera especialización según el rol, OSCP o CISSP como certificación avanzada según el camino elegido. Intentar saltarse pasos raramente funciona: la OSCP sin base sólida es una inversión frustrante; el CISSP sin experiencia real no tiene sentido.
La base técnica que hace que las certificaciones valgan algo no se adquiere solo estudiando para el examen. Se construye trabajando en entornos reales y enfrentando problemas de seguridad concretos.
- Qué es el phishing: tipos, ejemplos y cómo protegerse
- Qué es el spear phishing y cómo detectarlo
- Qué es el phishing impulsado por IA
- Caso de éxito: de reponedor a ciberseguridad en 7 meses
- Caso de éxito: cambiar de país y trabajo con ciberseguridad
- Bootcamp de Ciberseguridad Full Stack de KeepCoding
La referencia más completa sobre el mapa de certificaciones con rutas actualizadas está disponible en pauljerimy.com/security-certification-roadmap/, el mapa colaborativo que organiza todas las certificaciones de ciberseguridad por dominio y nivel de dificultad.
