Saltar al contenido principal

Plantilla de informe profesional

En HTB la máquina se acaba cuando eres root. En la vida real, ser root es sólo el 20 % del trabajo. El 80 % restante es explicar el porqué y cómo se arregla, en lenguaje que el cliente entienda.
Esta plantilla es la diferencia entre un currículum que dice “He resuelto 50 máquinas en HTB” (pila de descartes) y otro que dice “Auditoría completa de un GitLab vulnerable, con informe de 4 páginas y código de remediación validado” (mesa del jefe técnico).

Estructura mínima viable

Toda auditoría que quieras presentar como portfolio debe tener estas 4 secciones como mínimo:
1

Resumen ejecutivo

1 página. Para el director / cliente no técnico. Impacto en lenguaje de negocio, sin jerga.
2

Vector técnico

1-2 páginas. Cómo se entró. Comandos, capturas, request/response.
3

Escalada de privilegios

1 página. Cómo se llegó a root / Domain Admin.
4

Remediación

1 página. Bloque de código exacto, configuración, prioridad.

Página 1: Resumen ejecutivo

Esta es la única página que va a leer el director general o el CISO si tiene prisa. Si esta página falla, el resto sobra.
Pruebas de un buen resumen ejecutivo:
  1. ¿Lo entiende un director sin formación técnica?
  2. ¿Cabe en 1 página?
  3. ¿Cuantifica el impacto en términos de negocio (RGPD, %, número de usuarios)?
  4. ¿Da una orden de prioridad clara?

Página 2: Vector técnico (por hallazgo)

Por cada hallazgo crítico/medio, una ficha con esta estructura fija:

Página 3: Escalada de privilegios

Si el ataque tiene varias fases (lo habitual), documenta la cadena completa. Esto es lo que diferencia un informe junior de uno senior.

Página 4: Remediación

Esta es la página por la que pagan. Sin remediación accionable, no hay valor profesional.

Cómo calcular CVSS sin equivocarte

CVSS no es opcional. Es la moneda común de severidad. Usa siempre la calculadora oficial: first.org/cvss/calculator.

Cheatsheet rápido por vector


Lenguaje: traductor de jerga técnica → impacto de negocio


Errores típicos en informes de juniors

⚠️ Lista de descalificación instantánea
Si tu informe contiene cualquiera de estos errores, lo rechazarán antes de leer el resto:
  1. Capturas de Burp con datos sensibles del cliente sin redactar. Tokens, contraseñas, IPs internas reales: tachar antes de incluir.
  2. “Acceso total al sistema” sin cuantificar (cuántos usuarios, cuántos GB, qué tablas).
  3. Resumen ejecutivo lleno de jerga técnica. Tu cliente no es ingeniero: el resumen ejecutivo no contiene las palabras “buffer”, “stack” ni “deserialización”.
  4. Recomendar “actualizar a la última versión” sin verificar que la última versión arregla el fallo. A veces no.
  5. No incluir prueba de concepto reproducible. Si el equipo de desarrollo no puede reproducirlo, tampoco puede arreglarlo.
  6. Confundir CVSS con severidad de negocio. Un CVSS 9.8 en un sistema interno aislado puede tener menos impacto real que un 6.1 en la web pública. Justifica.
  7. Falta de mapeo MITRE ATT&CK. En 2026 esto es estándar.
  8. Tono pasivo. “Se ha encontrado que el sistema podría llegar a tener”. NO. “Se confirmó RCE no autenticado”. Activo, directo, factual.

Plantilla descargable (Markdown)

Copia este bloque como base de tus informes. Sustituye [entre corchetes] por tu contenido real.
Si quieres ver informes profesionales reales para inspirarte, visita github.com/juliocesarfort/public-pentesting-reports. 600+ informes públicos de Cure53, NCC Group, Trail of Bits y otros.

Recursos relacionados