CompTIA PenTest+ (PT0-002)

A CompTIA PenTest+ (PT0-002) é a certificação intermediária de penetration testing da CompTIA, lançada em 2018 e atualizada para PT0-002 em 2021. Com cerca de 2 mil buscas mensais no Brasil em 2026, posiciona-se entre o Security+ (foundational) e o OSCP (expert) em dificuldade técnica.

Diferente do CEH (que é teórico) e do OSCP (que é exclusivamente prático), a PenTest+ equilibra os dois: 75% das questões são múltipla escolha e 25% são performance-based (PBQs hands-on em ambiente simulado). É também aprovada pelo DoD 8570 nos níveis IAT II e CSSP Analyst, o que faz dela alternativa interessante ao CEH em filiais de defense contractors no Brasil.

É a certificação certa para profissionais com Security+ que querem aprofundar em pentesting, SOC Analysts migrando para Red Team, profissionais buscando alternativa mais barata que CEH (USD 404 vs USD 1199), e profissionais em ambientes que exigem DoD 8570 compliance.

O que cai na prova

• Planning and Scoping (14%)
• Information Gathering and Vulnerability Scanning (22%)
• Attacks and Exploits (30%)
• Reporting and Communication (18%)
• Tools and Code Analysis (16%)

A prova tem cerca de 85 questões em 165 minutos, com necessidade de 750 pontos em escala de 100-900. Mix de múltipla escolha e PBQs (4-6 PBQs valendo desproporcionalmente mais). PBQs simulam tarefas como configurar ferramenta de scanning, interpretar output de nmap, escolher payload Metasploit adequado.

Atenção especial a "Reporting and Communication" (18% da prova), área frequentemente subestimada por candidatos técnicos. Cobre escrita de pentest report profissional, comunicação com stakeholders, e considerações éticas/legais.

Pré-requisitos e perfil ideal

Não há pré-requisito formal. A CompTIA recomenda CompTIA Network+, Security+ ou 3-4 anos de experiência em testes de penetração, vulnerability assessment ou security analyst.

Perfil ideal: profissionais com Security+ buscando próximo degrau em segurança ofensiva, SOC Analysts migrando para Red Team júnior, profissionais em ambientes com DoD compliance, candidatos buscando alternativa mais barata e prática que CEH.

Quanto custa no Brasil

USD 404 oficial, cerca de R$ 2.182 ao câmbio de mai/2026. É significativamente mais barata que CEH (USD 1199) e OSCP (USD 1599). Pago em cartão internacional via Pearson VUE.

A CompTIA oferece descontos em campanhas educacionais e fim de ano. Pacotes que combinam Security+ + PenTest+ têm desconto agregado.

Como estudar

Plano:

• CompTIA PenTest+ Official Study Guide (Sybex): Livro oficial, ~600 páginas.
• Jason Dion na Udemy: O CompTIA PenTest+ Total Course de Jason Dion é o curso preparatório mais popular.
• Professor Messer (gratuito): Vídeos completos no YouTube cobrindo todos os tópicos.
• Hands-on em TryHackMe: Trilha "Jr Penetration Tester" é especialmente alinhada à PenTest+.
• Simulados: Jason Dion Practice Tests, Boson ExSim PenTest+. Mira 80%+ consistente.

Tempo total: 8 a 14 semanas com 10-15 horas semanais. Quem tem Security+ economiza cerca de 30% do esforço.

Salário e impacto na carreira

Profissionais com PenTest+ no Brasil ganham entre R$ 8 mil e R$ 16 mil júnior em 2026, segundo Robert Half. Em pleno (Junior Pentester ou Red Team Analyst), a faixa sobe para R$ 12-22 mil. Sêniores tipicamente migram para OSCP, que tem retorno superior.

O PenTest+ tem retorno salarial similar ao CEH no Brasil, mas custa 1/3 do preço. Vale especialmente quando o objetivo é certificação DoD 8570 ou quando o candidato já está na trilha CompTIA (Network+ → Security+ → CySA+/PenTest+).

Outros cursos do estude.org

• Segurança de Sistemas Computacionais (MIT)
• CS50 (Harvard)
• Introdução a Bancos de Dados SQL (Harvard)
• Pré-requisito recomendado: CompTIA Security+
• Próximo passo: OSCP

Próximo passo após esta certificação

Para profissionais técnicos, OSCP é o próximo degrau natural, considerado padrão ouro em pentesting. Para profissionais defensivos, CompTIA CySA+ (Cybersecurity Analyst). Para perfil ofensivo gerencial, CASP+ (CompTIA Advanced Security Practitioner).

PenTest+ ou CEH, qual escolher?

• PenTest+: mais barato (USD 404 vs USD 1199), inclui PBQs hands-on, reconhecido em DoD 8570, foco em pentesting prático.
• CEH: mais amplo (20 módulos cobrindo IoT, mobile, cloud, IA), maior reconhecimento em comunicação corporativa, exigência mais comum em vagas pleno.
• Para Brasil 2026: CEH tem mais reconhecimento de RH. PenTest+ tem melhor custo-benefício técnico. Para profissionais entrando em pentesting com orçamento limitado, PenTest+. Para vagas em multinacionais e consultorias que pedem CEH nominalmente, CEH.

Onde a PenTest+ é exigida no Brasil

A PenTest+ aparece em vagas júnior e pleno de pentester em empresas brasileiras que valorizam credenciais CompTIA. Empresas que pedem: filiais brasileiras de defense contractors (Lockheed Martin, Raytheon, Embraer Defesa), consultorias internacionais (IBM Security, Accenture Security, Tivit Cyber, Stefanini), empresas com DoD compliance. Em órgãos federais brasileiros relacionados a defesa cibernética (Comando de Defesa Cibernética, ABIN, Polícia Federal), também é diferencial.

Cargos típicos: Junior Penetration Tester (R$ 6-12k), Pentester pleno (R$ 12-22k), Vulnerability Analyst (R$ 8-16k), Junior Red Team Analyst (R$ 10-18k).

Erros comuns que reprovam candidatos na PenTest+

• Subestimar PBQs: 4-6 questões hands-on valem desproporcionalmente. Quem só pratica múltipla escolha reprova.
• Ignorar reporting: 18% da prova é reporting e communication. Quem trata como secundário sofre.
• Confundir ferramentas: nmap (network scanning), Nikto (web scanning), Burp Suite (web proxy), Metasploit (exploitation), John the Ripper (password cracking), hashcat (GPU cracking). Quando usar cada cai sempre.
• Não conhecer scoping legal: ROE (Rules of Engagement), SOW (Statement of Work), MSA (Master Service Agreement). Documentos contratuais caem em cenários.
• Subestimar code analysis (16%): Cobre PowerShell, Bash, Python básico. Quem não programa nada reprova.

Calendário sugerido de estudo (10 semanas)

• Semanas 1-3: Sybex PenTest+ Official Study Guide capítulos 1-6 + Professor Messer. Pratique nmap e enumeration básica.
• Semanas 4-6: Sybex capítulos 7-12 + curso Jason Dion. Pratique Metasploit e Burp Suite em TryHackMe.
• Semanas 7-8: Capítulos finais + reporting. Pratique escrita de pentest report.
• Semanas 9-10: Jason Dion Practice Tests + Boson ExSim. 5 simulados. Foco em PBQs.

Comunidades brasileiras para estudo

• Mente Binária: cursos brasileiros de pentesting gratuitos.
• Grupo de Telegram CompTIA Brasil: ativo para Security+, CySA+ e PenTest+.
• TryHackMe Discord (canal pt-br): servidor ativo.
• Canais YouTube em português: Bruno Salgado, Daniel Donda, Acrocsec, IPv4_Land.

Comunidades brasileiras para estudo da PenTest+

Recursos brasileiros específicos para PenTest+:

• Mente Binária: cursos brasileiros gratuitos de pentesting com foco em fundamentos alinhados à PenTest+.
• H2HC (Hackers to Hackers Conference): conferência anual brasileira em São Paulo com palestras de pentesters experientes.
• YSTS (You Sh0t The Sheriff): conferência de cibersegurança em São Paulo, gratuita.
• BSides São Paulo e BSides Rio: conferências regionais de segurança ofensiva.
• Grupo de Telegram CompTIA Brasil: mais de 3 mil membros estudando Security+, CySA+ e PenTest+.
• TryHackMe Discord (canal pt-br): servidor ativo com discussões sobre máquinas e técnicas.
• Canais YouTube em português: Mente Binária, IPv4_Land, Acrocsec, João Bocas, Daniel Donda, Bruno Salgado.

Em 2025-2026, surgiram bootcamps brasileiros pagos especializados em pentesting (Solyd Offensive Security, Hackers Brasil, BlueOps) que oferecem trilha alinhada à PenTest+ e OSCP, com preços entre R$ 2.000 e R$ 5.000.

Para acompanhar novas certificações cobertas e cursos preparatórios gratuitos, inscreva-se no canal do estude.org no YouTube.

Perguntas frequentes