Si ya tienes el eJPT o una base sólida de pentesting y buscas el siguiente escalón antes de intentar el OSCP, el eCPPT de INE Security es una de las opciones más reconocidas en el mundo de la seguridad ofensiva de nivel intermedio. Esta reseña recoge el estado actual de la certificación bajo INE y los datos verificados del examen v3, lanzado en junio de 2024.
¿Qué es el eCPPT y quién está detrás?
El eCPPT (eLearnSecurity Certified Professional Penetration Tester) nació bajo la marca eLearnSecurity, que fue absorbida por INE (Internetwork Expert). Hoy la certificación se comercializa íntegramente bajo INE Security (security.ine.com) y el nombre se mantiene sin cambios. No ha sido retirada ni renombrada: sigue activa y disponible con su nuevo propietario.
La tercera versión, eCPPTv3, fue publicada en junio de 2024 e introdujo cambios relevantes respecto a la v2: el examen pasó de ser un pentest de varios días con informe escrito a un formato de 24 horas totalmente autocalificado. Es la versión vigente a mediados de 2026.
¿Para quién es el eCPPT?
Está orientado a profesionales con conocimientos previos de pentesting que quieran certificar sus habilidades a nivel intermedio. INE recomienda al menos comprensión básica de redes, Linux y Windows, y experiencia con herramientas de reconocimiento y explotación. El salto desde el eJPT es considerable: quien venga directamente de certificaciones de nivel entry sin haber practicado en plataformas como laboratorios de práctica puede encontrarlo difícil.
Es una buena opción para:
- Pentesters junior que quieran una credencial intermedia verificable.
- Profesionales que preparan el OSCP y buscan un paso previo más asequible.
- Candidatos que prefieren un examen práctico y autocalificado frente a la exigencia del informe de OffSec.
Formato del examen (eCPPTv3, vigente 2024-2026)
El examen actual difiere significativamente de la versión anterior. Los puntos clave verificados en reseñas de candidatos reales (2024-2025) son:
- Duración: 24 horas en una sola sesión.
- Formato: 45 preguntas, la mayoría de opción múltiple; algunas son flags obtenidas del entorno.
- Entorno: máquina atacante Kali Linux en navegador (Guacamole); sin acceso a internet desde la máquina del examen; herramientas limitadas a las preinstaladas.
- Autocalificación: resultados automáticos en pocas horas, sin esperar revisión manual.
- Sin informe escrito: a diferencia del eCPPTv2 y del OSCP, el v3 no requiere redactar un informe de pentest. Esto simplifica el proceso pero también reduce la experiencia de documentación real.
- Validez: 3 años desde la fecha de aprobación.
- Reintentos: un reintento gratuito si se falla, dentro de los 14 días siguientes.
- Validez del voucher: 180 días desde la compra para presentarse al examen.
Temas del examen
El eCPPTv3 pivota claramente hacia Active Directory. Los temas principales verificados en reseñas de candidatos incluyen:
- Reconocimiento y enumeración de redes Windows y Linux.
- Explotación inicial y acceso a sistemas.
- Escalada de privilegios (Linux y Windows).
- Pentesting de Active Directory: enumeración, movimiento lateral, ataques de credenciales.
- Cracking de hashes y fuerza bruta de credenciales.
- Algo de explotación web básica.
Cambios respecto al v2: el buffer overflow desapareció del examen (aunque sigue en el curso). El pivoting, central en el v2, tiene mucho menos peso en el v3. La certificación ha ganado en componente de AD y perdido en técnicas de red avanzadas.
Curso asociado: Penetration Testing Professional (PTP)
INE ofrece la ruta de aprendizaje Penetration Testing Professional (PTP) — edición 2024, el material oficial para preparar el eCPPT. Según la plataforma, incluye más de 6.500 diapositivas, más de 17 horas de vídeo y 27 laboratorios prácticos. Requiere suscripción INE Premium para acceder. El voucher del examen solo se puede adquirir vinculado a dicha suscripción.
Un punto a tener en cuenta: varias reseñas de candidatos apuntan a que el curso no cubre por completo todo lo que aparece en el examen, especialmente en la parte de Active Directory. Se recomienda complementar con práctica adicional en plataformas de laboratorios antes de presentarse.
Precio orientativo
El precio exacto varía y no está listado de forma fija en las páginas indexadas al momento de escribir esta reseña. Lo que sí se puede afirmar con datos de diversas fuentes es que el voucher requiere suscripción INE Premium activa y que el coste orientativo del bundle (suscripción + voucher) ha oscilado históricamente entre 200 y 400 USD, con frecuentes descuentos en temporadas de ofertas (Black Friday, etc.). Para el precio actual y vigente, conviene consultar directamente la página oficial en security.ine.com.
eCPPT vs OSCP vs eJPT
| Característica | eJPT (INE) | eCPPT v3 (INE) | OSCP (OffSec) |
|---|---|---|---|
| Nivel | Entry / Junior | Intermedio | Intermedio-Avanzado |
| Duración examen | ~2 horas | 24 horas | 23h 45min (+ 24h informe) |
| Informe escrito | No | No (v3) | Sí, obligatorio |
| Formato | Preguntas + flags | Preguntas + flags | Máquinas + informe |
| Active Directory | Básico | Presente (peso alto) | Central (cadena AD obligatoria) |
| Peso de mercado | Bajo-medio | Medio | Alto (estándar del sector) |
| Precio orientativo | ~200 USD | ~200-400 USD (bundle) | ~1.649 USD (OSCP+) |
| Validez | 3 años | 3 años | 3 años |
El eCPPT ocupa el espacio entre el eJPT y el OSCP, pero su reconocimiento en el mercado laboral es notablemente inferior al de la certificación OSCP. Para candidatos que buscan una credencial que abra puertas de forma efectiva, el OSCP sigue siendo el referente; el eCPPT es útil como escalón de preparación o como certificación complementaria.
Cómo preparar el eCPPT
Dado que el examen enfatiza Active Directory, el reconocimiento y la escalada de privilegios en entornos Windows/Linux, una preparación realista incluiría:
- Completar el curso PTP de INE: es el material oficial alineado con los objetivos del examen. Aunque no cubre todo, es el punto de partida obligatorio.
- Practicar AD en laboratorios: plataformas como TryHackMe o Hack The Box tienen rutas de Active Directory que complementan lo que el curso no llega a cubrir en profundidad.
- Dominar las herramientas disponibles en el examen: el entorno tiene internet bloqueado y herramientas limitadas. Conocer bien las que están preinstaladas en Kali (nmap, netexec/crackmapexec, impacket, bloodhound, etc.) es clave.
- Practicar cracking de hashes: hashcat y john the ripper son habituales en el examen según reseñas de candidatos.
- Gestionar el tiempo: 24 horas es suficiente para la mayoría de candidatos con preparación adecuada, pero el entorno puede tener inestabilidad y las máquinas pueden necesitar reset.
Para contexto más amplio sobre las rutas de preparación en seguridad ofensiva, el mapa de certificaciones de seguridad ofrece una visión completa del ecosistema.
Puntos débiles del eCPPTv3 a tener en cuenta
Las reseñas de candidatos reales (2024-2025) señalan de forma recurrente algunos problemas que conviene conocer antes de invertir:
- Entorno inestable: resets del laboratorio con retrasos, flags que no aparecen tras el reset, herramientas que no funcionan correctamente (evil-winrm, smbexec, wmiexec reportados como problemáticos en algunos intentos).
- Foco en fuerza bruta: el examen da mucho peso al cracking de credenciales y hash, lo que algunos consideran poco representativo de un pentest real.
- Sin informe: ventaja en comodidad, pero desventaja si el objetivo es practicar la documentación profesional de un pentest.
- Reconocimiento limitado: el eCPPT no tiene el peso del OSCP en ofertas de empleo. Si el objetivo es maximizar el retorno de la inversión en certificaciones, conviene valorar si el eCPPT es el paso correcto o si es mejor ir directamente al OSCP.
Veredicto
El eCPPT de INE Security es una certificación práctica de nivel intermedio que tiene sentido en dos escenarios: como paso de preparación estructurada antes del OSCP, o como credencial para quien quiere una certificación hands-on sin el coste y la presión del examen de OffSec. El formato autocalificado del v3 lo hace más accesible y rápido que su versión anterior, aunque a costa de perder la experiencia de redactar un informe de pentest real.
Los problemas de estabilidad del entorno y el peso excesivo del brute force son los puntos más criticados. Si se opta por él, la clave es no limitarse al curso PTP: la práctica en AD y en plataformas de laboratorios es imprescindible para llegar al examen con garantías.
Para una visión de conjunto sobre las mejores certificaciones de pentesting y cómo encaja el eCPPT en una ruta de carrera ofensiva, consulta nuestra guía del mapa de certificaciones.
Preguntas frecuentes (FAQ)
¿El eCPPT sigue siendo de eLearnSecurity o ahora es de INE?
eLearnSecurity fue adquirida por INE. Desde entonces, el eCPPT se gestiona íntegramente bajo INE Security (security.ine.com). El nombre de la certificación no ha cambiado.
¿El eCPPTv3 requiere escribir un informe?
No. El examen actual (v3, desde junio de 2024) es de 45 preguntas y se califica automáticamente. No hay informe escrito obligatorio, a diferencia del eCPPTv2 y del OSCP.
¿Incluye buffer overflow o pivoting en el examen?
En el eCPPTv3, el buffer overflow no forma parte del examen (aunque sigue en el material del curso). El pivoting, que era central en el v2, tiene mucho menos presencia en la versión actual. El foco ha pasado a Active Directory y escalada de privilegios.
¿Merece la pena el eCPPT frente al OSCP?
Depende del objetivo. Si la meta es el reconocimiento del sector, el OSCP tiene mucho más peso en el mercado laboral. El eCPPT puede tener sentido como paso previo o como certificación complementaria con menor inversión. Para pentesting professional como credencial principal ante empleadores, el OSCP es el estándar.
¿Se puede hacer el eCPPT sin la suscripción INE Premium?
El voucher del examen solo se puede adquirir vinculado a una suscripción INE Premium, según la propia plataforma de INE. No es posible comprar únicamente el voucher sin acceso al plan.
¿Qué hay después del eCPPT en la ruta INE Security?
INE ofrece certificaciones de nivel superior como el eCPTX (eLearnSecurity Certified Penetration Tester eXtreme), orientado a red team avanzado. Fuera del ecosistema INE, el OSCP y certificaciones GIAC como el GPEN son los pasos lógicos para quien quiera seguir avanzando en seguridad ofensiva.
