Skip to content

El trabajo técnico está hecho. ¿Qué se incluye en un informe sobre el que el cliente realmente actuará?

Respuesta breve

Un buen informe sirve a dos públicos: un resumen ejecutivo que encuadra el riesgo de negocio para la dirección, y hallazgos detallados y reproducibles con evidencias, calificaciones de riesgo precisas y remediación priorizada para el equipo técnico. El informe — no el exploit — es el entregable.

Los clientes no pagan por shells; pagan por un documento que les dice qué está mal, cómo de grave es y qué hacer. Un compromiso brillante mal redactado es trabajo desperdiciado — y un informe claro sobre hallazgos modestos puede ser enormemente valioso. Por eso el informe se trata como una fase completa.

Dos públicos, un solo documento

  • Resumen ejecutivo: para la dirección. Sin jerga. Expone la postura de riesgo general, el puñado de problemas que más importan, el impacto de negocio (exposición de datos, tiempo de inactividad, cumplimiento) y si se cumplieron los objetivos. Un CISO debería captar la situación en dos páginas.
  • Hallazgos técnicos: para los ingenieros que corrigen las cosas. Cada hallazgo es autónomo.

Qué necesita cada hallazgo

  • Un título y una descripción claros del problema y su causa raíz.
  • Una severidad precisa — basada en el riesgo, no una puntuación base de CVSS copiada y pegada. El contexto importa: una SQLi solo interna detrás de MFA difiere del mismo fallo en el portal de inicio de sesión público.
  • Pasos de reproducción y evidencias — suficiente detalle (peticiones, cargas, capturas de pantalla) para que el cliente pueda reproducirlo y más tarde verificar la corrección. Los datos sensibles se redactan.
  • Impacto de negocio — lo que un atacante logra realmente, no «TLS 1.0 está habilitado».
  • Remediación específica y priorizada — orientación concreta («parametriza esta consulta», «rota esta credencial»), ordenada para que el cliente sepa qué corregir primero.

Toques profesionales

  • Reporta los hallazgos críticos de inmediato durante el compromiso, no enterrados en un PDF semanas después.
  • Incluye el alcance, la metodología y la cronología para que los resultados se interpreten correctamente.
  • Sé honesto sobre la cobertura y las limitaciones — lo que no probaste es parte del panorama de riesgo.
  • Ofrece una nueva prueba para confirmar las correcciones.

Qué buscan los entrevistadores

Que veas el informe como el producto, sepas escribir tanto para ejecutivos como para ingenieros, califiques el riesgo en contexto en lugar de repetir el CVSS, hagas los hallazgos reproducibles y vincules todo a una remediación accionable y priorizada — además de la madurez de escalar los críticos en tiempo real.

Posibles preguntas de seguimiento

  • ¿Cómo calificas la severidad para que refleje el riesgo real, y no solo las puntuaciones base de CVSS?
  • ¿Cómo reportarías un hallazgo grave en mitad del compromiso en lugar de esperar al informe?
  • ¿Qué hace que un hallazgo sea «reproducible», y por qué le importa eso al cliente?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.