Hola, soy Luis Eduardo Platero Fuentes (B13ss3d). El miércoles 4 de febrero de 2026, obtuve oficialmente la certificación Certified Web Exploitation Specialist (CWES).
Prerrequisitos y Costo 💵
Para calificar para el examen, debes completar el 100% del “Job-Role Path” de Web Penetration Tester en la Academy.
Una vez completado, puedes comprar el voucher del examen por $210 USD, el cual tiene una validez de 360 días.
Aunque algunos consideran esta certificación como un paso intermedio, decidí obtenerla para solidificar mi metodología y poner a prueba mis habilidades de reporte (¡y sí, el Swag es un buen bonus!). Para aprobar, necesitas un mínimo de 80 de 100 puntos (aproximadamente 8 de 10 flags).
La Experiencia del Examen
Después de hacer clic en “Enter Exam”, se te presentan los Términos y Condiciones sobre confidencialidad. Luego, se nos proporciona una Carta de Compromiso (Letter of Engagement) y una plantilla de reporte.
El Escenario: Recibes un dominio principal dentro del alcance. A partir de ahí, debes enumerar para encontrar otros 4 hosts. Típicamente, hay 2 preguntas/flags por host.
Entorno: El examen es accesible vía VPN o mediante la Pwnbox basada en navegador. Tienes 7 días para completar el examen y enviar el reporte.
Temas Técnicos Clave
Si bien todo el camino de aprendizaje es valioso, recomiendo encarecidamente enfocar tu repaso en:
- Explotación de WordPress (Vulnerabilidades en plugins).
- Descubrimiento de Vhosts (El Fuzzing es clave).
- Verb Tampering (Bypasear restricciones HTTP).
Mis Recomendaciones de “Oro” 🏆
Desecha la plantilla .docx, usa SysReptor
La plantilla .docx proporcionada puede ser difícil de manejar. Recomiendo fuertemente usar SysReptor. Es una opción válida para este examen, mucho más fácil de gestionar y asegura que tu PDF final se mantenga bajo el límite de 20 MB sin dolores de cabeza de formato.NO subestimes el Reporte
Aprendí esto por las malas. No retrases la fase de documentación. Cometí el error de dejar la documentación para el último minuto, lo que me llevó a reprobar en mi primer intento y me obligó a usar el retake. Trata el reporte como parte del hackeo, no como algo secundario.¿Atascado? Vuelve a lo Básico
Si te topas con una pared durante el examen, revisa los módulos de la Academy. Presta mucha atención a las secciones específicas de “Tips” en el material del curso; contienen las pistas sutiles necesarias para resolver los desafíos del examen.
Conclusión
¡Disfruta el proceso! El examen es genuinamente entretenido. Es más difícil que los laboratorios del curso, pero es completamente resoluble dentro del plazo de 7 días si gestionas bien tu tiempo.
Si te interesa la ciberseguridad, los CTFs y el pentesting, estaré subiendo contenido relacionado y write-ups (de máquinas retiradas y retos públicos) en mi canal de YouTube. 💻🔥
🎥 Suscríbete aquí: B13ss3d
Si quieres conectar:
Mi LinkedIn: https://x.com/B13ss3d
Mi Twitter/X: https://x.com/B13ss3d
¡Gracias por leer y nos vemos en el siguiente reto! 🫡
Happy Hacking!
Top comments (0)