El Informe de Pentesting: Qué Contiene y Qué Quieren Realmente los Auditores
Un informe de pentesting es el entregable del que depende todo lo demás — es lo que entrega a los auditores, a los revisores de seguridad de los compradores empresariales y a sus propios ingenieros. La mayoría de los informes son un PDF técnico que después tiene que traducir usted mismo al lenguaje de ISO 27001, SOC 2, NIS2 o DORA. El informe de Matproof Sentinel es distinto: cada hallazgo llega con proof-of-exploit, una clasificación CVSS 3.1, orientación de remediación, verificación por re-test y un mapeo explícito a los controles que comprueba su auditor. Esta página explica exactamente qué contiene un buen informe y por qué el mapeo es la diferencia entre «se hizo un pentest» y «aquí está la evidencia que pidió».
Por qué el informe —no la prueba— es lo que su auditor y su comprador realmente juzgan
Dos pentests pueden ser técnicamente idénticos y producir resultados de negocio radicalmente distintos, porque con lo que su auditor, su cliente empresarial y su propio equipo de ingeniería interactúan es con el informe, no con las pruebas. Un informe que lista vulnerabilidades sin proof-of-exploit acaba siendo discutido («¿es un problema real o un falso positivo del escáner?»). Un informe sin clasificaciones de riesgo no puede priorizarse. Un informe sin seguimiento de la remediación ni evidencia de re-test suspende la pregunta que todo auditor de ISO 27001 y SOC 2 hace: «demuéstreme que los hallazgos se corrigieron y verificaron realmente». Y un informe escrito en lenguaje puramente técnico obliga a alguien —normalmente usted— a mapear manualmente cada hallazgo a los controles del Anexo A de ISO 27001, a los criterios de servicios de confianza de SOC 2, a las medidas del Art. 21 de NIS2 o a los requisitos del Art. 24 de DORA antes de que cuente como evidencia de cumplimiento. Ese trabajo de traducción es donde reside la mayor parte del coste y el retraso reales. La premisa de diseño completa del informe de Matproof Sentinel es hacer ese mapeo en el origen: una empresa de pentesting pura le entrega un PDF y le desea suerte con el auditor; Matproof le entrega evidencia ya estructurada del modo en que el auditor la va a consumir. Ese es el foso defensivo — resultado de pentest que nace listo para auditoría.
- El proof-of-exploit por hallazgo termina con la discusión de «¿es esto real?» — los auditores y los ingenieros confían en una explotación demostrada, no en la marca de «posible» de un escáner.
- Las clasificaciones de riesgo CVSS 3.1 le permiten priorizar y permiten al auditor ver que prioriza por severidad, no por quien grita más fuerte.
- El seguimiento de la remediación + la evidencia de re-test es lo único que los auditores de ISO 27001 y SOC 2 más quieren ver: prueba de que los hallazgos altos/críticos se corrigieron y verificaron, no solo se listaron.
- El mapeo de controles es el diferenciador: los hallazgos vinculados al Anexo A de ISO 27001, a los SOC 2 TSC, a NIS2 Art. 21 y a DORA Art. 24 son evidencia de cumplimiento — un PDF técnico sin mapear son deberes pendientes.
- Las compras empresariales solicitan cada vez más el informe en sí (a menudo vía un cuestionario de seguridad) — un informe limpio, bien estructurado y mapeado acorta los ciclos de venta; uno desordenado los atasca.
- Un formato de informe consistente y generado por máquina aporta comparabilidad interanual para las auditorías de seguimiento — los auditores pueden ver que el programa opera de forma continua, que es exactamente lo que exigen.
Qué contiene un informe de pentesting de Matproof Sentinel
- Resumen ejecutivo: visión general de la postura, recuento de hallazgos por severidad y el riesgo principal en lenguaje claro para la dirección y el consejo
- Alcance y metodología: exactamente qué se probó, la metodología empleada (OWASP Testing Guide / OWASP API Top 10 / NIST SP 800-115) y la ventana de pruebas
- Registro de hallazgos: cada hallazgo con título, puntuación y vector CVSS 3.1, activo afectado e impacto de negocio
- Proof-of-exploit: los pasos/la petición concretos usados para demostrar cada hallazgo — no una alerta especulativa de escáner
- Orientación de remediación: instrucciones de corrección específicas y accionables por hallazgo, no consejos genéricos
- Verificación por re-test: estado de cada hallazgo tras la remediación (abierto / corregido / corrección verificada) para la evidencia que exigen los auditores
- Mapeo de controles: cada hallazgo mapeado al Anexo A de ISO 27001:2022, a los criterios de servicios de confianza de SOC 2, a NIS2 Art. 21 y a DORA Art. 24 — la capa lista para auditoría
- Anexos: detalle técnico completo, endpoints afectados, referencias CVE/CWE y mapeo de técnicas de MITRE ATT&CK para su SOC
- Formato compartible con el auditor: un PDF limpio más un enlace de solo lectura al que los auditores y revisores empresariales pueden acceder directamente
Ejemplo de hallazgo
PDF vs evidencia lista para auditoría: el mismo hallazgo, dos informes muy distintos
Considere un hallazgo — un fallo de broken object-level authorization que expone registros de clientes. Un PDF de pentest típico dice: «IDOR en /api/invoices/{id}, severidad Alta, corrija la autorización». El informe de Matproof Sentinel dice lo mismo, más: un proof-of-exploit que muestra al tenant A leyendo la factura del tenant B, un vector CVSS 3.1, un re-test que confirma la corrección, y una línea explícita — «satisface la evidencia de ISO 27001:2022 A.8.3 Restricción del acceso a la información; relevante para SOC 2 CC6.1; aborda las medidas de control de acceso de NIS2 Art. 21». Cuando su auditor de seguimiento de ISO 27001 pida evidencia de que los controles de acceso se prueban y remedian, el primer informe necesita traducción; el segundo es la respuesta.
Corrección: Cuando contrate cualquier pentesting, exija esto en el entregable antes de empezar: proof-of-exploit por hallazgo, clasificaciones CVSS 3.1, orientación de remediación, re-test gratuito de los hallazgos altos/críticos y mapeo explícito a su(s) marco(s) de cumplimiento. Si un proveedor no puede mapear a ISO 27001 / SOC 2 / NIS2 / DORA, presupueste el tiempo de traducción internamente. Matproof Sentinel incluye todo lo anterior en cada informe por defecto — vea una muestra desde el escaneo gratuito.
Referencia: Requisitos de evidencia de ISO 27001:2022 A.8.8 / A.8.29 · SOC 2 CC4.1 / CC7.1 · NIS2 Art. 21 · DORA Art. 24 · NIST SP 800-115 Technical Guide to Information Security Testing
Calidad del informe: escaneo gratuito vs Matproof Sentinel vs PDF tradicional
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Consiga un informe listo para auditoría
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre los informes de pentesting
¿Qué debe contener un informe de pentesting?
Un informe de pentesting completo contiene: un resumen ejecutivo, el alcance y la metodología, un registro de hallazgos con clasificaciones CVSS 3.1, proof-of-exploit por hallazgo, orientación de remediación específica, el estado de verificación por re-test y —algo crítico para el cumplimiento— un mapeo de cada hallazgo a los controles relevantes (Anexo A de ISO 27001, SOC 2 TSC, NIS2 Art. 21, DORA Art. 24). Los anexos técnicos con referencias CVE/CWE y endpoints afectados lo completan.
¿Qué buscan los auditores de ISO 27001 y SOC 2 en un informe de pentest?
Los auditores buscan evidencia de un proceso que funciona, no solo una lista de errores: hallazgos clasificados por riesgo, cada uno con una decisión de tratamiento, con los hallazgos altos/críticos remediados y re-testados en un plazo razonable, y prueba de que los resultados fueron revisados por la dirección. Un registro de hallazgos limpio, sin elementos críticos/altos vencidos, más evidencia de pruebas continuas a lo largo del periodo de auditoría, es el objetivo. El informe de Matproof Sentinel está estructurado para aportar exactamente estos artefactos.
¿Por qué importa tanto el mapeo de controles?
Porque un informe técnico sin mapear aún no es evidencia de cumplimiento — alguien tiene que traducir cada hallazgo al lenguaje de su marco antes de que un auditor lo acepte. Esa traducción es lenta, propensa a errores y suele recaer en su equipo interno. Un informe que mapea cada hallazgo a ISO 27001 / SOC 2 / NIS2 / DORA en el origen está listo para auditoría de inmediato. Esta es la diferencia central entre Matproof y una empresa de pentesting pura: producimos la evidencia ya en el formato del auditor.
¿Puedo compartir el informe directamente con un auditor o cliente?
Sí. El informe de Sentinel está disponible como un PDF limpio y como un enlace compartible de solo lectura, de modo que los auditores y los revisores de seguridad empresariales pueden acceder a la evidencia directamente — lo que reduce el ciclo de idas y venidas por correo que ralentiza las auditorías y las revisiones de seguridad.
¿Puedo ver una muestra de informe de pentesting?
Sí — ejecute el escaneo gratuito de 3 minutos y recibirá un informe de muestra que muestra la estructura, el formato de los hallazgos y el mapeo de controles. Un informe completo listo para auditoría (con proof-of-exploit y re-test) está disponible desde 149 €.
Profundiza — artículos relacionados del blog
Consiga un informe que su auditor acepte a la primera
Ejecute un escaneo gratuito de 3 minutos para ver un informe de muestra, o consiga un informe completo de pentesting listo para auditoría — proof-of-exploit, clasificaciones CVSS, re-test y mapeo a ISO 27001, SOC 2, NIS2 y DORA — desde 149 €.
Obtener informe de muestra