Cómo hacer un informe de PENTESTING para el eCPPTv2

Uno de los desafíos principales al presentarnos al eCPPTv2 es la elaboración del informe de pentesting, una tarea que puede resultar aburrida y desafiante. En este artículo, aprenderás todos los aspectos esenciales para crear un informe efectivo y bien estructurado. Si estás interesado, te dejo por aquí mi preparación para el eCPPTv2

¿Qué es un Informe de Pentesting?

Un informe de pentesting, o prueba de penetración, es un documento detallado que se genera tras realizar una auditoría de seguridad ya sea en infraestructuras de empresas, aplicaciones web o incluso IoT. Este informe identifica, clasifica y proporciona recomendaciones de remediación para las vulnerabilidades encontradas en el sistema evaluado.

Nuestro trabajo como pentester, será encontrar vulnerabilidades en los sistemas objetivo y tras encontrar esas vulnerabilidades debemos entregarle el informe a la empresa correspondiente. Si quieres conocer cómo es el día a día de un Pentester, te dejo por aquí un episodio de nuestro podcast donde hablamos de esto mismo.

Estructura de un informe de pentesting

Un informe de pentesting bien organizado incluye:

• Confidencialidad: Advertencia sobre la sensibilidad de la información y restricciones de distribución.
• Severidad: Clasificación de vulnerabilidades según criticidad.
• Alcance: Detalles sobre límites y profundidad de la prueba.
• Introducción: Objetivos y metodología del pentesting.
• Resumen Ejecutivo: Destaca los puntos críticos y recomendaciones para la alta dirección, sin tecnicismos.

Detalles de los Tests

• IP: Dirección IP del activo afectado.

• Vulnerabilidad: Nombre y descripción.

• Severidad: Nivel de criticidad.

• Descripción de la Vulnerabilidad: Explicación breve (ej. XSS Injection).

• Paso a Paso de la Explotación: Instrucciones claras con payloads e imágenes.

• Remediación: Soluciones y recomendaciones para corregir cada vulnerabilidad.

En este punto, es posible que no sepas de forma técnica como remediar esta vulnerabilidad, lo que puedes hacer es con todos los detalles del resultado del test solicitarle a ChatGPT que te explique cómo remediar esta vulnerabilidad. Un ejemplo de Prompt podría ser:

”Estoy realizando un informe de pentesting y para la siguiente vulnerabilidad [Vulnerabilidad] quiero que redactes una remediación o mitigación.”

IMPORTANTE: Para cada objetivo afectado por vulnerabilidades, se detalla el proceso de explotación. Se incluye una tabla de criticidad con todas las vulnerabilidades encontradas, siguiendo el formato del examen.

Secciones importantes

• Recomendaciones Generales: Se detallarán acciones generales que se deben ejecutar. Como por ejemplo, instalar antivirus, ya que hemos podido subir archivos maliciosos, actualizar aplicaciones o sistemas desactualizados, configurar permisos o aplicar el principio del mínimo privilegio, que básicamente significa no confiar ni en tu abuela.
• Conclusiones: Resumen sobre la seguridad, patrones encontrados.
• Bibliografía: Herramientas y fuentes utilizadas.

Cómo generar un informe de pentesting de forma automática

La herramienta BLACKSTONE desarrollada por Microjoan es una solución innovadora para la generación automática de informes de pentesting. Esta herramienta, mencionada en el vídeo, ha sido diseñada específicamente para simplificar y agilizar el proceso de creación de informes, ahorrando un tiempo valioso a los pentesters. BLACKSTONE permite estructurar de manera automatizada los resultados de las pruebas de penetración, incluyendo detalles como direcciones IP afectadas, descripciones de vulnerabilidades, niveles de criticidad y pasos de explotación. Puedes acceder a ella aquí y aprender a utilizarla en este vídeo: