Inicio/ Blog/ Informe de pentesting
Seguridad

Qué incluye un informe
de pentesting
profesional

15 abril 2026 · 5 min de lectura Seguridad

Cuando contratas una auditoría de seguridad, el trabajo real no termina con el escaneo — termina con el informe. Es el entregable que justifica la inversión, guía las correcciones y puede ser requerido por clientes, seguros o reguladores. Un informe malo puede ser peor que no tener ninguno. Aquí te explicamos qué debe contener uno serio.

Señal de alerta: Si el "informe" que te entregan es solo un PDF exportado de Nessus o de una herramienta automática sin análisis manual, no es un informe de pentesting — es un informe de escaneo. Son cosas muy distintas.

Estructura de un informe profesional

Un informe de pentesting completo tiene dos partes claramente diferenciadas: el informe ejecutivo (para dirección y gestión) y el informe técnico (para el equipo que va a corregir los problemas).

Parte 1
Informe Ejecutivo
Para dirección, gerencia y responsables no técnicos
1
Resumen del alcance

Qué se ha analizado exactamente: dominio(s), IPs, aplicaciones, período de tiempo. El cliente debe poder verificar que se hizo lo que se acordó.

2
Resumen ejecutivo de hallazgos

Una visión de alto nivel del estado de seguridad. Cuántas vulnerabilidades se encontraron, de qué criticidad y cuál es la valoración global del riesgo.

3
Gráfica de distribución por criticidad

Visual que muestra cuántas vulnerabilidades son Críticas, Altas, Medias, Bajas e Informativas. Permite entender el estado de un vistazo.

4
Impacto en negocio

Traducción de los hallazgos técnicos a riesgo real para la empresa: qué datos podrían comprometerse, qué consecuencias legales podría haber, qué impacto operativo.

5
Recomendaciones prioritarias

Las 3-5 acciones más urgentes, ordenadas por impacto, para que dirección pueda asignar recursos con criterio.

Parte 2
Informe Técnico
Para developers, sysadmins y equipo técnico
1
Metodología utilizada

Qué estándares se siguieron (OWASP Testing Guide, PTES, OWASP WSTG), qué herramientas se usaron y qué tipo de pruebas se realizaron (caja negra, gris o blanca).

2
Ficha detallada por vulnerabilidad

El corazón del informe. Cada hallazgo debe tener: nombre y clasificación (CWE/CVE si aplica), puntuación CVSS, descripción técnica, pasos para reproducirlo, evidencia (capturas, peticiones HTTP, output de herramientas) e impacto demostrado.

3
Clasificación por criticidad CVSS

Cada vulnerabilidad debe tener una puntuación objetiva según el estándar CVSS v3.1. Esto permite priorizar correcciones de forma objetiva y comparable entre proyectos.

4
Plan de remediación específico

No "actualiza los plugins" — sino qué plugin específico, a qué versión, qué línea de código debe cambiar, qué configuración añadir. El developer debe poder corregirlo sin tener que investigar más.

5
Clasificación por facilidad de explotación

Cuánto esfuerzo requiere explotar cada vulnerabilidad. Combinado con el impacto, define la urgencia real de corrección.

Lo que diferencia un informe bueno de uno malo

❌ Informe malo
  • Solo resultados de herramientas automáticas
  • Sin validación manual de hallazgos
  • Remediación genérica ("actualiza el software")
  • Sin CVSS ni priorización objetiva
  • Sin evidencias de explotación real
  • Sin seguimiento ni retest incluido
✓ Informe bueno
  • Análisis manual + automatizado
  • Cada hallazgo verificado y explotado
  • Remediación específica con código
  • CVSS v3.1 por vulnerabilidad
  • Capturas y peticiones como evidencia
  • Retest incluido a los 30 días

Cómo leer el informe si no eres técnico

Si eres responsable de empresa y recibes un informe de pentesting, esto es lo que debes mirar primero:

  1. Lee el resumen ejecutivo completo — está escrito para ti.
  2. Mira la distribución de criticidades. Si hay vulnerabilidades Críticas o Altas, son prioridad inmediata.
  3. Para cada hallazgo crítico o alto, lee el "impacto en negocio" — qué podría pasar si no se corrige.
  4. Pasa el informe técnico a tu equipo de desarrollo o sysadmin con las prioridades marcadas.
  5. Asegúrate de que el informe incluye retest — la corrección debe verificarse, no solo prometerse.

Así es el informe que entregamos en Kodia

Informe ejecutivo + técnico con cada hallazgo documentado, CVSS Score, evidencias reales y plan de remediación específico. Retest incluido en todos los planes.

Ver auditoría web →
¿Buscas una auditoría con informe de verdad?

Informe ejecutivo + técnico con evidencias reales

Cada hallazgo documentado, verificado y con plan de corrección específico. Retest incluido.

Solicitar auditoría Ver precios
Kodia Asistente
En línea
¡Hola! 👋 Soy el asistente de Kodia. ¿En qué puedo ayudarte?