Resumen
El CWES (Certified Web Exploitation Specialist) de Hack The Box es una certificación centrada en explotación web realista, metodología y capacidad técnica aplicada a entornos tipo laboratorio y examen.
En este post quiero dejar mi experiencia personal: qué me gustó, qué no y si realmente merece la pena para alguien que quiere mejorar en web.
¿Qué es el CWES?
El CWES es un examen completamente enfocado en vulnerabilidades web, así que no esperes rootear toda la máquina como si fuera una box tradicional de HTB. Primero tienes que conseguir un acceso inicial y, a partir de ahí, escalar privilegios hasta convertirte en Web Root dentro de la aplicación.
El examen tiene una duración de 7 días y, durante ese tiempo, también debes preparar y entregar el informe final. Si no envías el reporte dentro de ese plazo, el examen se considera reprobado.
Antes de rendir el examen
Antes de presentarme, ya había realizado certificaciones como eJPT, eCPPT y eWPTX. Considero que esta última es la que más se le acerca, pero aun así no la pondría al nivel del CWES.
Aproximadamente me tomó 2 meses completar el path de estudio de Hack The Box y complementar la preparación con laboratorios de PortSwigger y Vulnyx.
Contenido y temario
Si hablamos del temario, mi recomendación es completar todo el path que ofrece HTB, en este caso el de Web Penetration Tester.
Lo que más me aportó
Sinceramente, me ayudaron bastante los laboratorios recomendados por Jackie0x17, muchos de los cuales se pueden encontrar en Vulnyx. Algunos de los que más me sirvieron fueron los siguientes:
- Swamp
- Express
- Bola
- JarJar
- Gattaca
- Future
- Jerry
- Lost
Lo que se me hizo más flojo
Lo que se me hizo realmente pesado fue tomar apuntes de lo que estaba estudiando. Había veces en las que ya entendía cómo funcionaban ciertas vulnerabilidades, pero aun así me daba pereza documentar cada una.
Aun así, hacerlo me terminó ayudando bastante, porque al momento de repasar todo estaba mucho más ordenado y me resultó más fácil fijar conceptos, recordar vectores de ataque y llegar mejor preparado al examen.
Dificultad real
Mi sensación general fue la siguiente:
- Dificultad técnica:
Intermedia - Dificultad del examen:
Intermedia - Avanzada - Gestión del tiempo:
8 horas de examen + 2 horas de descanso
Mi experiencia con los laboratorios
- Buena calidad de laboratorios.
- Se aplica de forma práctica gran parte de lo aprendido en el path.
- Ayudan a desarrollar criterio para no caer tan fácilmente en rabbit holes.
- Hay una buena relación entre teoría y práctica.
Mi experiencia con el examen
Logré completar todo el examen en un total de 3 días y me tomé 2 días adicionales para terminar el reporte con calma. Mi organización fue bastante metódica: primero construí una checklist por cada aplicación web y fui validando qué vulnerabilidades eran realmente explotables y cuáles no, para no perder tiempo en caminos que no aportaban nada.
En este examen, fuzzear bien es totalmente clave, porque encontrar archivos, rutas y directorios ocultos puede marcar la diferencia más adelante en la cadena de explotación. También me pareció muy interesante que varias partes obligaran a concatenar vulnerabilidades para llegar a obtener acceso inicial o incluso privilegios de Web Root, ya que eso lo vuelve mucho más realista y exigente a nivel metodológico.
En mi caso, la parte más dura fue la flag número 8. Me tomó alrededor de 7 horas entender por completo la vulnerabilidad y, al final, era algo que sí se había visto en los laboratorios. Mirándolo en retrospectiva, creo que el verdadero problema no fue técnico, sino mental: la presión y el miedo a quedarse atascado pueden hacer que compliques más de la cuenta algo que realmente estaba a tu alcance.
Mi recomendación para quien quiera presentarse es clara: lleva una metodología estricta desde el inicio, documenta todo mientras avanzas y no subestimes la enumeración. En una certificación como esta no solo importa encontrar la vulnerabilidad, sino saber priorizar, descartar rabbit holes rápido y mantener la cabeza fría cuando una parte del examen empieza a consumir demasiado tiempo.
Lo mejor del CWES
- La certificación tiene una relación muy clara con lo aprendido en el path, así que sientes que el estudio realmente aporta al examen.
- La calidad de los laboratorios me pareció buena y, en general, ayudan bastante a desarrollar criterio en web.
- Me gustó que el enfoque fuera práctico y orientado a explotar vulnerabilidades de forma metódica, no solo a memorizar teoría.
Lo peor del CWES
- En algunas ocasiones los laboratorios se caían, y eso puede cortar bastante el ritmo de estudio.
- Hay ciertos rabbit holes que te hacen perder tiempo, especialmente si todavía no tienes mucha soltura filtrando lo importante.
¿A quién se lo recomendaría?
Yo se lo recomendaría a:
- Personas que ya tengan una base en pentesting web y quieran dar un salto hacia un entorno más exigente y práctico.
- Gente que disfrute la metodología, la enumeración y la explotación encadenada de vulnerabilidades.
No se lo recomendaría a:
- Personas que recién están empezando en web security.
- Quienes todavía dependan demasiado de herramientas automáticas sin entender bien lo que están haciendo.
Veredicto final
Para mí, el CWES es una certificación muy sólida si de verdad quieres mejorar en explotación web desde un enfoque práctico. No me pareció un examen para memorizar conceptos, sino para demostrar metodología, criterio y capacidad de análisis bajo presión.
Si ya tienes una base previa y estás dispuesto a dedicarle tiempo serio a la preparación, me parece una muy buena certificación y una experiencia que sí volvería a repetir.
Certificado
