Top 20 Herramientas Pentesting Open Source en 2026

El arsenal del pentester open source

Para un pentester, el mejor amigo es el repositorio de GitHub. La industria del hacking ético está construida sobre un ecosistema masivo de herramientas open source mantenidas por la comunidad. Saber cuáles son las imprescindibles te ahorra años de andar dando vueltas con tools comerciales que cuestan miles de euros y hacen lo mismo (o peor).

Aquí van las 20 herramientas de pentesting open source que tienes que conocer en 2026, agrupadas por categoría.

🔍 Reconocimiento / Recon

1. Nmap — El estándar absoluto

Si solo aprendes una herramienta, que sea esta. Nmap (Network Mapper) es el escáner de puertos y servicios por excelencia. Desde escaneo básico hasta scripting avanzado con NSE (Nmap Scripting Engine), Nmap es el primer paso de prácticamente todo pentest.

nmap -sV -sC -p- target.com debería ser de los primeros comandos que aprendas de memoria.

2. theHarvester

OSINT recon: emails, subdominios, IPs, virtual hosts de un dominio objetivo, usando fuentes públicas (Google, Bing, LinkedIn, Shodan, etc.). Excelente para la fase inicial de un engagement.

3. Maltego CE

Maltego Community Edition es la versión gratuita del rey de la visualización OSINT. Te permite mapear relaciones entre personas, dominios, IPs, redes sociales, etc. en grafos navegables.

4. Recon-ng

Framework modular de reconocimiento. Si Maltego es para presentaciones bonitas, Recon-ng es para trabajar duro en terminal. Cientos de módulos para extraer info pasiva.

🌐 Pentesting web

5. Burp Suite Community

Burp es la herramienta para auditoría web. La versión Community es gratis y suficiente para muchos casos: proxy interceptor, repeater, decoder, secuencer. La Pro (€) añade scanner automatizado pero no es estrictamente necesaria para aprender.

6. OWASP ZAP

La alternativa 100% open source a Burp. Mantenida por OWASP. Si Burp Community se queda corto y no quieres pagar Burp Pro, ZAP es tu siguiente parada.

7. SQLmap

Automatiza la detección y explotación de inyecciones SQL. Cubre prácticamente todos los DBMS (MySQL, Postgres, Oracle, MSSQL, SQLite…) y técnicas (boolean blind, time-based, error-based, UNION, stacked queries). Imprescindible.

8. Nikto

Escáner clásico de vulnerabilidades web. Detecta configuraciones inseguras, archivos peligrosos, versiones de software vulnerables. No es la herramienta más moderna pero sigue dando resultados útiles.

9. Gobuster / Ffuf

Dos herramientas de directory/file brute-forcing. Gobuster es el clásico estable; Ffuf es el moderno rápido y flexible. Para encontrar endpoints/recursos no indexados.

🔓 Explotación

10. Metasploit Framework

El framework de explotación más usado del mundo. Más de 4.000 módulos entre exploits, payloads, auxiliaries y post-exploitation. Saber Metasploit es saber pentesting básico.

Punto importante: Metasploit es para entender exploits, NO para confiar en él en pentests reales modernos (muchos antivirus detectan los payloads por defecto). Aprende, pero también aprende a hacer payloads custom.

11. Hydra

Ataque de fuerza bruta a servicios (SSH, FTP, HTTP, RDP, SMB, etc.). Modular, rápido, soporta diccionarios y reglas. Útil cuando es legalmente autorizado (lo cual es muy poco frecuente en el mundo real, asumirlo).

12. Responder

Para pentesting de redes Windows: envenena protocolos broadcast (LLMNR, NBT-NS) y captura hashes NTLM de credenciales para crackear o passing-the-hash. Imprescindible en Active Directory engagement.

🔑 Passwords / cracking

13. Hashcat

El cracker de hashes más rápido del mundo. Usa GPU (NVIDIA/AMD). Soporta cientos de algoritmos (MD5, SHA-1, NTLM, bcrypt, scrypt, etc.). Para auditorías de fortaleza de contraseñas, recuperación legítima de credenciales propias o forense.

14. John the Ripper

El otro grande del cracking. Más antiguo que Hashcat, soporta más formatos exóticos, ideal para hashes que Hashcat no maneja bien. Históricamente CPU-first, ahora también GPU.

📡 Networking / sniffing

15. Wireshark

El analizador de paquetes universal. Cualquier conversación de red, cualquier protocolo, Wireshark te lo desnuda. Aprenderlo bien es uno de los game-changers de toda carrera en infosec.

16. Aircrack-ng

Suite completa para auditoría WiFi: captura handshakes, ataques de fuerza bruta a PSK, ataques contra WEP (legacy), deauth attacks. Estándar de facto en auditorías inalámbricas.

17. Bettercap

El framework moderno de MITM (Man-in-the-Middle). Sniffing, spoofing, interceptación SSL, captura de credenciales, todo desde una interfaz unificada. Heredero de Ettercap.

🏰 Active Directory / Windows

18. BloodHound

Visualización de grafos de relaciones en Active Directory. Una vez tienes acceso de bajo privilegio a un dominio Windows, BloodHound te muestra el camino más corto hasta Domain Admin. Cambió el juego del pentesting AD en 2017 y sigue siendo imprescindible.

19. Impacket

Suite de scripts Python para protocolos de Windows. SMBclient, psexec, secretsdump, mimikatz-like operations… el Swiss Army Knife de Windows pentesting. Mantenida por SecureAuth/Fortra.

🔬 Forense / análisis

20. Volatility

Análisis forense de memoria RAM. Te dan un dump de memoria y Volatility te extrae procesos, conexiones de red, hashes, archivos en memoria, malware artifacts. Imprescindible para incident response y blue team.

Cómo combinarlas: workflow típico de pentest web

Ejemplo de flujo en una auditoría web autorizada:

1. Recon pasivo: theHarvester + Maltego para mapear el target
2. Recon activo: Nmap con NSE scripts
3. Discovery web: Gobuster/Ffuf para endpoints + Nikto para low-hanging fruit
4. Análisis manual: Burp Suite interceptando todo el tráfico
5. Explotación: SQLmap si encuentras puntos de inyección + Metasploit si hay servicios vulnerables
6. Post-explotación: según el caso (Responder + Impacket si entras a red Windows)
7. Reporte: capturas + comandos + impacto

Aprende cada una jugando

Todas estas herramientas viven preinstaladas en distros como Kali, Parrot o BlackArch. La mejor forma de aprenderlas no es leer docs: es ENFRENTARLAS a problemas reales en laboratorios controlados.

• Plataformas para practicar hacking — donde usar estas tools sin meterte en problemas legales
• Vídeos sobre herramientas de hacking — demos prácticas
• Bases de datos de vulnerabilidades públicas — CVE, Exploit-DB, NVD

Vístete como usas estas tools

Saber usar nmap, Burp y Metasploit te identifica con una tribu. The Hacker Style hace ropa que comunica esa identidad sin gritar:

• Colección Hacking — referencias a la escena
• Colección Code — para quien escribe más comandos que palabras
• Colección Hacker — la identidad clara

Conclusión

Estas 20 herramientas cubren el 95% de lo que necesitas para empezar y crecer en pentesting. Todas son open source, gratuitas, mantenidas activamente. No hay excusa para no aprenderlas.

Mi consejo: no intentes aprender todas a la vez. Elige una por semana, dedícale 4-5 horas, hazte 2-3 retos en plataformas tipo TryHackMe o Hack The Box usando esa herramienta específica. En 5 meses dominas las cinco fundamentales. En un año vas con las 20.

Y nunca olvides: estas herramientas son armas de doble filo. Úsalas solo en sistemas autorizados. Pentesting sin permiso explícito es delito en España y casi todo el mundo. Aprende, practica en labs, certifícate. La industria necesita gente como tú haciéndolo bien.

>_ Únete a la Comunidad [THS]:

SUSCRIBIRSE A LA NEWSLETTER →

>_ Visita la tienda:

VER LA TIENDA →