Informes de Pentesting

O informe final é un dos resultados máis valiosos do proceso de pentesting. Pode redactarse en dúas versións complementarias, segundo o público destinatario:

Informe executivo (para directivos ou responsables de área)

Este documento presenta unha visión clara, sintética e comprensible dos riscos detectados. Debe conter:

Resumo executivo orientado á toma de decisións.
Identificación dos riscos principais, nivel de exposición e impacto potencial.
Clasificación do risco segundo gravidade (ex. CVSS, código de cores).
Implicacións legais, reputacionais ou económicas.
Propostas de acción resumidas e roadmap de mitigación.

Este informe non inclúe detalles técnicos, senón que traduce os achados a linguaxe de negocio ou xestión.

Informe técnico (para equipos de seguridade e administración de sistemas)

Este informe contén os detalles necesarios para reproducir, entender e mitigar as vulnerabilidades atopadas. Debe incluír:

Metodoloxía utilizada.
CVE asociado, descrición técnica da vulnerabilidade.
Ferramentas empregadas e comandos utilizados (ex. nmap, searchsploit, metasploit...).
Payloads empregados, capturas de pantalla e logs.
Servizos, sistemas operativos e configuracións afectadas.
Evidencias claras e reproducibles.
Clasificación do risco (ex. CVSS).
Propostas de corrección ou mitigación específicas.

Un bo informe, tanto técnico como executivo, debe ser:

Claro, organizado e obxectivo.
Comprensible para o seu público destinatario.
Accionable: debe permitir tomar decisións ou aplicar solucións.
Basado en evidencias e métricas verificables.

Este enfoque permite que cada parte interesada —dende a dirección ata os administradores— teña acceso á información que necesita para actuar con eficacia.

Recursos e estándares

Estándares / guías

Templates e exemplos públicos

Informes con sysreptor

Que é?

SysReptor é unha plataforma de reporting para pentesting e red teaming. Permite escribir en Markdown, aplicar deseños HTML/CSS e exportar PDF profesionais cun só clic. Está dispoñible en modo cloud e self‑hosted (Docker).

Para que serve?

Centralizar informes e achados.
Reutilizar templates/deseños para diferentes clientes ou exames.
Exportar rapidamente a PDF mantendo un estilo consistente.
Integrar automatización (CLI) no teu fluxo de traballo.

Características clave

Editor Markdown + campos estruturados para findings.
Motor de renderizado (Chromium/WeasyPrint) → PDF de alta calidade.
Templates oficiais para OffSec (OSCP, etc.) e Hack The Box (CPTS, CBBH, …) dispoñibles para importar.
Plan Community gratuíto (ata 3 usuarios) e opción de autoaloxamento sen costo.

Ligazóns oficiais

Documentación: https://docs.sysreptor.com
Repositorio (exemplos, CLI, designs): https://github.com/Syslifters
OffSec Reporting con SysReptor: https://docs.sysreptor.com/offsec-reporting-with-sysreptor/
HTB Reporting con SysReptor: https://docs.sysreptor.com/htb-reporting-with-sysreptor/

Templates oficiais dispoñibles

OffSec: OSCP, OSWP, OSEP, OSED, OSEE, etc.
Hack The Box: CPTS, CBBH, CDSA, CWEE, CAPE…

Instalación local (self‑hosted) nunha distribución Kali GNU/Linux

Cheat Sheets Docker

Ligazóns de Interese: Cheat Sheets Docker

Dentro da documentación oficial sobre a Instalación de sysreptor atoparás no pé de páxina no punto 1 Kali non soamente a documentación para a instalación nun sistema operativo Kali GNU/Linux, senón tamén a instalación de plantillas de offsec e htb, así como un titorial de uso da ferramenta.

Instalación de plantillas

1) OffSec designs

curl -s https://docs.sysreptor.com/assets/offsec-designs.tar.gz   | docker compose exec --no-TTY app python3 manage.py importdemodata --type=design

2) HTB designs e proxectos demo

curl -s https://docs.sysreptor.com/assets/htb-designs.tar.gz   | docker compose exec --no-TTY app python3 manage.py importdemodata --type=design
curl -s https://docs.sysreptor.com/assets/htb-demo-projects.tar.gz   | docker compose exec --no-TTY app python3 manage.py importdemodata --type=project

3) Interfaz web en http://localhost:8000 (por defecto)

Alternativa: subir os .tar.gz desde a interface web (Projects/Designs → Upload).

Fluxo típico para OSCP con SysReptor

1. Crear proxecto co template OSCP
2. Encher seccións: hosts, vulnerabilidades, PoC, capturas
3. Renderizar PDF
4. Comprimir en .7z (contraseña) segundo as normas de OffSec
5. Subir o paquete en ≤24 h ao portal de OffSec

Exemplo de compresión

7z a -t7z -p'MINHA_PASS' OSCP-OSID-Report.7z OSCP-OSID-Report.pdf

Por que empregar Markdown e LaTeX para informes de Hacking Ético

No ámbito do hacking ético, a documentación é tan importante como as probas realizadas. Escoller as ferramentas axeitadas para redactar informes profesionais pode marcar a diferenza entre un traballo técnico comprensible e unha presentación caótica. Aquí explicamos por que Markdown e LaTeX son dúas opcións ideais:

Vantaxes de Markdown

Sinxeleza e velocidade: permite escribir contido estruturado con sintaxe mínima.
Compatibilidade web: ideal para informes HTML estáticos ou publicacións en plataformas como MkDocs ou GitHub Pages.
Colaboración: facilmente versionable con Git.
Previsualización inmediata: moitos editores (como VS Code ou StackEdit) permiten ver o resultado mentres se escribe.
Exportación rápida: pode converterse en PDF, DOCX ou HTML usando ferramentas como pandoc.

Vantaxes de LaTeX

Calidade tipográfica profesional: especialmente útil para documentación formal e presentación de resultados técnicos.
Potente para fórmulas: ideal para expresar algoritmos, expresións criptográficas ou matemáticas (ex: hash SHA-256, algoritmos RSA, etc.).
Control total sobre o deseño: desde cabeceiras, índices, bibliografía ata anexos con código.
Amplamente usado en contextos académicos e científicos.

Uso combinado segundo necesidades

Nun proxecto de hacking ético, o informe é o produto final que ve o cliente. Empregar ferramentas como Markdown e LaTeX non só mellora a presentación, senón que facilita a reproducibilidade, a colaboración e a automatización da documentación técnica.

"Un informe claro é tan importante como unha auditoría ben feita."

Usa Markdown para informes rápidos, colaborativos e web (ex. informes preliminares ou documentación interna).
Usa LaTeX para informes finais, profesionais ou cando se require precisión visual (ex. presentación a direccións ou clientes).

Recursos recomendados

Exemplos de uso básicos para Informes

Uso de markdown → Visualizar o md
Uso de LaTeX → Visualizar o tex

Uso de modelos LaTeX para informes técnicos profesionais

De interese

LaTeX é especialmente recomendable para a creación de informes profesionais pola súa alta calidade tipográfica, estrutura modular e soporte avanzado para figuras, táboas e código fonte. Ademais, facilita a reproducibilidade e consistencia dos documentos técnicos.

Pódense empregar modelos preconfigurados baseados en LaTeX para xerar informes profesionais de auditoría. Dentro do repositorio repoEDU-CCbySA podes atopar unha plantilla na cal basearte para prodecer a realizar un informe:

Como usalo:

Usar git con sparse-checkout para clonar só a parte necesaria:

git clone --no-checkout https://github.com/ricardofc/repoEDU-CCbySA
cd repoEDU-CCbySA
git sparse-checkout init --cone
git sparse-checkout set script-bash-html2pdf/sources/LaTeX-sources/Informes
git fetch origin
git checkout origin/main -- script-bash-html2pdf/sources/LaTeX-sources/Informes

Xerar un novo proxecto de informe baseado na plantilla:

cd script-bash-html2pdf/sources/LaTeX-sources/Informes
bash clone-template-new-machine.sh Probando
cd Probando

Editar o ficheiro probando.tex co contido da auditoría:
Personaliza os ficheiros .tex con:
- Datos do cliente
- Resumo executivo
- Vulnerabilidades detectadas
- Medidas de mitigación
```
vim probando.tex
```
Compilar o PDF final:
```
latexmk -pdf -pvc probando.tex
```

O informe final estará dispoñible como probando.pdf.

Estes modelos seguen un formato técnico claro e profesional adaptado a auditorías de ciberseguridade en contornos educativos ou reais