Me refiero a OS de código abierto y no.
No estoy seguro de que el sistema operativo sea importante. Es el probador que importa. La mayoría de las compilaciones de SO precompiladas para pruebas de lápiz tienen muchas herramientas geniales, pero si no sabe cómo usarlas, instálelas y personalícelas, entonces realmente no importa.
La mayoría de las personas que conozco en el negocio utilizan una compilación personalizada de Kali que se ejecuta en una Macbook Pro.
Lea otras preguntas en las etiquetas penetration-test