📝 Reporte

La parte más importante para el cliente. Si no está en el reporte, no ha sucedido. El objetivo no es solo listar fallos, sino proporcionar una hoja de ruta clara para que la empresa mejore su seguridad.

🏛️ Estructura del Reporte

Un buen reporte debe ser capaz de comunicar el riesgo a dos audiencias totalmente distintas: los que firman los cheques (gerencia) y los que parchean los servidores (IT).

1. Resumen Ejecutivo

Esta sección está diseñada para gerentes y perfiles no técnicos. Aquí no hablamos de payloads ni de shellcodes, sino de impacto de negocio, cumplimiento (GDPR, ISO) y riesgo reputacional. Debe ser breve y mostrar de un vistazo el estado general de la seguridad.

2. Resumen Técnico

Para el equipo de IT. Aquí se ofrece una visión global de las debilidades encontradas, vectores de ataque comunes y estadísticas (por ejemplo, cuántas vulnerabilidades son críticas, altas o medias).

3. Hallazgos (Findings)

Es el cuerpo del informe. Cada vulnerabilidad debe estar perfectamente documentada para que pueda ser replicada y entendida.

• 📄 Detalle de un Hallazgo: Estructura interna (Título, CVSS, PoC y Remediación).

📊 Puntuación de Severidad (CVSS)

Para que el cliente sepa qué arreglar primero, utilizamos el estándar CVSS (Common Vulnerability Scoring System). Esto elimina la subjetividad: no es que a ti te "parezca" peligrosa, es que el cálculo matemático de su explotabilidad e impacto arroja una puntuación del 0 al 10.

• 🧮 Calculadora y Niveles CVSS: Cómo puntuar correctamente cada vulnerabilidad.

📸 Prueba de Concepto (PoC)

La PoC es la evidencia irrefutable. Debe incluir capturas de pantalla claras donde se vea el éxito de la explotación (por ejemplo, el contenido del archivo /etc/passwd o un whoami).

🤫 Datos Sensibles

A la hora de realizar capturas para el reporte, censura siempre información sensible que no sea necesaria para la prueba, como contraseñas reales de usuarios, datos bancarios o información personal (PII).

🛠️ Herramientas de Reporte

Escribir reportes a mano en Word es tedioso y propenso a errores. Existen herramientas que automatizan el formato y nos permiten centrarnos en el contenido técnico.

• ⚙️ Automatización de Reportes: Uso de Sysreptor, Ghostwriter o plantillas Markdown.