Plantilla de informe profesional
En HTB la máquina se acaba cuando eres root. En la vida real, ser root es sólo el 20 % del trabajo. El 80 % restante es explicar el porqué y cómo se arregla, en lenguaje que el cliente entienda.Esta plantilla es la diferencia entre un currículum que dice “He
resuelto 50 máquinas en HTB” (pila de descartes) y otro que dice
“Auditoría completa de un GitLab vulnerable, con informe de 4
páginas y código de remediación validado” (mesa del jefe técnico).
Estructura mínima viable
Toda auditoría que quieras presentar como portfolio debe tener estas 4 secciones como mínimo:1
Resumen ejecutivo
1 página. Para el director / cliente no técnico.
Impacto en lenguaje de negocio, sin jerga.
2
Vector técnico
1-2 páginas. Cómo se entró. Comandos, capturas, request/response.
3
Escalada de privilegios
1 página. Cómo se llegó a root / Domain Admin.
4
Remediación
1 página. Bloque de código exacto, configuración, prioridad.
Página 1: Resumen ejecutivo
Esta es la única página que va a leer el director general o el CISO si tiene prisa. Si esta página falla, el resto sobra.Página 2: Vector técnico (por hallazgo)
Por cada hallazgo crítico/medio, una ficha con esta estructura fija:Página 3: Escalada de privilegios
Si el ataque tiene varias fases (lo habitual), documenta la cadena completa. Esto es lo que diferencia un informe junior de uno senior.Página 4: Remediación
Esta es la página por la que pagan. Sin remediación accionable, no hay valor profesional.Cómo calcular CVSS sin equivocarte
CVSS no es opcional. Es la moneda común de severidad. Usa siempre la calculadora oficial: first.org/cvss/calculator.Cheatsheet rápido por vector
Lenguaje: traductor de jerga técnica → impacto de negocio
Errores típicos en informes de juniors
⚠️ Lista de descalificación instantánea
Si tu informe contiene cualquiera de estos errores, lo
rechazarán antes de leer el resto:
- Capturas de Burp con datos sensibles del cliente sin redactar. Tokens, contraseñas, IPs internas reales: tachar antes de incluir.
- “Acceso total al sistema” sin cuantificar (cuántos usuarios, cuántos GB, qué tablas).
- Resumen ejecutivo lleno de jerga técnica. Tu cliente no es ingeniero: el resumen ejecutivo no contiene las palabras “buffer”, “stack” ni “deserialización”.
- Recomendar “actualizar a la última versión” sin verificar que la última versión arregla el fallo. A veces no.
- No incluir prueba de concepto reproducible. Si el equipo de desarrollo no puede reproducirlo, tampoco puede arreglarlo.
- Confundir CVSS con severidad de negocio. Un CVSS 9.8 en un sistema interno aislado puede tener menos impacto real que un 6.1 en la web pública. Justifica.
- Falta de mapeo MITRE ATT&CK. En 2026 esto es estándar.
- Tono pasivo. “Se ha encontrado que el sistema podría llegar a tener”. NO. “Se confirmó RCE no autenticado”. Activo, directo, factual.
Plantilla descargable (Markdown)
Copia este bloque como base de tus informes. Sustituye[entre corchetes] por tu contenido real.
Recursos relacionados
- Glosario táctico — Cómo redactar la sección técnica de cada vulnerabilidad.
- Metodología profesional — Mapeo MITRE ATT&CK, fases PTES.
- Recursos de aprendizaje — Plataformas docentes y libros de referencia.
- Recon web profesional — Cómo enumerar sin disparar el WAF.