Inici/ Blog/ Informe de pentesting
Seguretat

Auditoria de ciberseguretat:
Què has d'exigir abans de
contractar un pentesting

15 abril 2026 · 5 min de lectura Seguretat

Quan contractes una auditoria de seguretat, el treball real no acaba amb l'escaneig — acaba amb l'informe. És l'entregable que justifica la inversió, guia les correccions i pot ser requerit per clients, assegurances o reguladors. Un informe dolent pot ser pitjor que no tenir-ne cap. Aquí t'expliquem què ha de contenir un de seriós.

Senyal d'alerta: Si l'"informe" que t'entreguen és només un PDF exportado de Nessus o d'una eina automàtica sense anàlisi manual, no és un informe de pentesting — és un informe d'escaneig. Són coses molt diferents.

Estructura d'un informe professional

Un informe de pentesting complet té dues parts clarament diferenciades: l'informe executiu (per a direcció i gestió) i l'informe tècnic (per a l'equip que corregirà els problemes).

Part 1
Informe Executiu
Per a direcció, gerència i responsables no tècnics
1
Resum de l'abast

Què s'ha analitzat exactament: domini(s), IPs, aplicacions, període de temps. El client ha de poder verificar que es va fer el que es va acordar.

2
Resum executiu de troballes

Una visió d'alt nivell de l'estat de seguretat. Quantes vulnerabilitats s'han trobat, de quina criticitat i quina és la valoració global del risc.

3
Gràfica de distribució per criticitat

Visual que mostra quantes vulnerabilitats són Crítiques, Altes, Mitjanes, Baixes i Informatives. Permet entendre l'estat d'un cop d'ull.

4
Impacte en negoci

Traducció de les troballes tècniques a risc real per a l'empresa: quines dades podrien comprometre's, quines conseqüències legals hi podria haver, quin impacte operatiu.

5
Recomanacions prioritàries

Les 3-5 accions més urgents, ordenades per impacte, perquè direcció pugui assignar recursos amb criteri.

Part 2
Informe Tècnic
Per a developers, sysadmins i equip tècnic
1
Metodologia utilitzada

Quins estàndards es van seguir (OWASP Testing Guide, PTES, OWASP WSTG), quines eines es van utilitzar i quin tipus de proves es van realitzar (caixa negra, grisa o blanca).

2
Fitxa detallada per vulnerabilitat

El cor de l'informe. Cada troballa ha de tenir: nom i classificació (CWE/CVE si aplica), puntuació CVSS, descripció tècnica, passos per reproduir-ho, evidència (captures, peticions HTTP) i impacte.

3
Classificació per criticitat CVSS

Cada vulnerabilitat ha de tenir una puntuació objectiva segons l'estàndard CVSS v3.1. Això permet prioritzar correccions de forma objectiva i comparable.

4
Pla de remediació específic

No "actualitza els plugins" — sinó quin plugin específic, a quina versió, quina línia de codi ha de canviar. El developer ho ha de poder corregir sense investigar més.

5
Classificació per facilitat d'explotació

Quant esforç requereix explotar cada vulnerabilitat. Combinat amb l'impacte, defineix la urgència real de correcció.

El que diferencia un informe bo d'un de dolent

❌ Informe dolent
  • Només resultats d'eines automàtiques
  • Sense validació manual de troballes
  • Remediació genèrica ("actualitza el programari")
  • Sense CVSS ni priorització objectiva
  • Sense evidències d'explotació real
  • Sense seguiment ni retest inclòs
✓ Informe bo
  • Anàlisi manual + automatitzada
  • Cada troballa verificada i explotada
  • Remediació específica amb codi
  • CVSS v3.1 per vulnerabilitat
  • Captures i peticions com a evidència
  • Retest inclòs als 30 dies

Com llegir l'informe si no ets tècnic

Si ets responsable d'empresa i reps un informe de pentesting, això és el que has de mirar primer:

  1. Llegeix el resum executiu complet — està escrit per a tu.
  2. Mira la distribució de criticitats. Si hi ha vulnerabilitats Crítiques o Altes, són prioritat immediata.
  3. Per a cada troballa crítica o alta, llegeix l'"impacte en negoci" — què podria passar si no es corregeix.
  4. Passa l'informe tècnic al teu equip de desenvolupament o sysadmin amb les prioritats marcades.
  5. Assegura't que l'informe inclou retest — la correcció s'ha de verificar, no només prometre.

Així és l'informe que entreguem a Kodia

Informe executiu + tècnic amb cada troballa documentada, CVSS Score, evidències reals i pla de remediació específic. Retest inclòs en tots els plans.

Veure auditoria web →
Busques una auditoria amb un informe de debò?

Informe executiu + tècnic amb evidències reals

Cada troballa documentada, verificada i amb pla de correcció específic. Retest inclòs.

Sol·licitar auditoria Veure preus
Kodia Asistente
En línea
Hola! 👋 Soc l'assistent de Kodia. En què et puc ajudar?