Por onde começar?

O caminho mais procurado e com mais material gratuito. Foque em entender HTTP, depois OWASP Top 10, e pratique muito.

Caminho menos lotado, ótimas oportunidades. Comece por Android (mais aberto). iOS é mais fechado e requer Mac/jailbreak.

Trilha clássica para virar pentester corporativo. Foque em fundamentos de TCP/IP, Active Directory e técnicas de pivot.

Investigação a partir de fontes abertas. Útil para red team, fraud, jornalismo investigativo e pentest social.

Empresas estão migrando tudo para AWS, Azure, GCP e Kubernetes. Quem souber explorar nuvem em 2026 vai cobrar caro — pouca gente domina.

A trilha mais avançada — para quem já domina pentest e quer simular adversários reais. Inclui também o nicho explosivo de segurança em LLMs.

Da cifra de César ao AES-GCM. Foco prático: entender o suficiente pra QUEBRAR implementações erradas e USAR primitivas certas. Matemática só na dose necessária.

Carro moderno = computador sobre rodas. CAN bus foi projetado em 1986 sem autenticação. Trilha rara, com mercado crescendo (carros conectados, OTA, ADAS).

Achar o que foi escondido (stego) e reconstruir o que aconteceu (forense). Trilha que dá emprego em DFIR, perícia e CTF rendoso.

Engenharia reversa de software (binários, malware, crackmes) e de hardware (firmware, UART, JTAG, SPI). Trilha técnica densa, mas alta demanda em malware analysis e IoT pentest.

Mercado pagando 2-3x salário de pentester pra quem une dev + segurança. Foco: integrar segurança no pipeline sem travar o time de produto.

Diferença entre quem brinca de CTF e quem fica no top 100 mundial: método, time e biblioteca pessoal. Aqui está o caminho.