Empieza por el resumen ejecutivo

Antes de entrar en el detalle técnico, el resumen ejecutivo te da la foto: nivel de riesgo global, cuántos hallazgos hay por severidad y las conclusiones principales. Es lo que necesita dirección para decidir.

Entiende la severidad y el CVSS

Cada hallazgo suele llevar una severidad (crítica, alta, media, baja) y, a menudo, una puntuación CVSS, un estándar del 0 al 10. El CVSS es útil como referencia, pero no lo es todo.

El riesgo real manda

Una vulnerabilidad "media" según el CVSS puede ser crítica para tu negocio si afecta a tu dato más sensible, y una "alta" puede ser irrelevante si está en un sistema aislado sin valor. Un buen informe prioriza por impacto real en tu contexto, no solo por la puntuación. Fíjate en esa priorización.

Cada hallazgo debería darte tres cosas

  • Evidencia y reproducción: los pasos exactos para verificarlo por ti mismo.
  • Impacto: qué conseguiría un atacante y qué supondría para el negocio.
  • Recomendación concreta: qué hacer para corregirlo.

Y al final, el estado tras el retest: la confirmación de que lo corregido ya no es explotable. Sin esa verificación, un informe se queda a medias.