Redazione RHC : 27 julio 2025 09:53
¿Cómo se evalúan las vulnerabilidades de seguridad del software? ¿Es posible determinar su gravedad? ¿Cómo podemos determinar el orden de actualización del código en caso de múltiples vulnerabilidades?
Estas son solo algunas de las preguntas que debería plantearse al gestionar la seguridad de un sistema informático. Una posible solución consiste en una organización llamada FIRST (Forum of Incident Response and Security Teams) y una herramienta conocida por el acrónimo CVSS, o Sistema Común de Puntuación de Vulnerabilidades, ahora en su versión 4.0.
La historia del CVSS se remonta a 2005, cuando, tras aproximadamente dos años de estudio e investigación, el Consejo Asesor Nacional de Infraestructura (NCAI), un organismo asesor del presidente de los Estados Unidos de América, lanzó la versión 1.0. A esta le siguieron la versión 2.0 en 2007 y la 3.0 en 2015. La versión actual, la 4.0, se lanzó el 21 de octubre de 2023.
CVSS es un estándar técnico muy útil, pero como todo, no resuelve todos los problemas. Por ejemplo, no proporciona una medida de la probabilidad de que un atacante explote una vulnerabilidad, ya que no se determina exclusivamente por factores técnicos.
CVSS consiste en asignar una puntuación de 0 a 10 a cada vulnerabilidad identificada. La puntuación indica la gravedad de la vulnerabilidad, que es mayor cuanto mayor sea la puntuación.
La puntuación se asigna evaluando 30 factores diferentes, que para mayor comodidad y coherencia se agrupan en cuatro categorías: Base, Amenaza, Entorno y Suplementario, que se abrevian como B, T, E y S. Por lo tanto, cuando hablamos de CVSS-B, nos referimos al valor de CVSS calculado utilizando únicamente las métricas Base, y este es el caso en la mayoría de los casos.
La categoría (o métrica) Base contiene a su vez otras dos métricas: Explotabilidad e Impacto. La explotabilidad incluye las métricas que evalúan los requisitos para explotar con éxito la vulnerabilidad. El impacto, por otro lado, incluye métricas útiles para medir el impacto de la vulnerabilidad en cuestión en la tríada CIA (Confidencialidad, Integridad, Disponibilidad).
Como se mencionó, además de las métricas Base, existen otras tres categorías:
Naturalmente, CVSS 4.0 tiene muchas otras características interesantes que los más curiosos pueden encontrar en este estudio de Davide Ariu: Acerca del Sistema Común de Puntuación de Vulnerabilidades (CVSS) 4.0
Calcular el valor a partir de una vulnerabilidad conocida es relativamente sencillo utilizando la calculadora en línea, también proporcionada por FIRST. Experimentar permite apreciar realmente el nivel de detalle que ofrece CVSS y comprender en qué medida el valor real depende de las características específicas de la organización en cuestión.
Con lo dicho hasta ahora, solo hemos respondido parcialmente a la primera de las preguntas iniciales: cómo evaluar las vulnerabilidades de seguridad del software. Para intentar responder a las otras dos preguntas, debemos considerar la infraestructura de TI en cuestión, el entorno y los riesgos asociados. Por lo tanto, estas consideraciones son específicas de cada caso y no pueden generalizarse.
A menudo, durante el análisis de vulnerabilidades de un sistema informático corporativo, surgen decenas o cientos de vulnerabilidades, algunas conocidas, la mayoría desconocidas para el equipo de seguridad. Evaluar el riesgo asociado a cada vulnerabilidad individual y priorizar su resolución es una tarea difícil.
También debe tenerse en cuenta que este proceso suele estar fragmentado y se realiza manualmente, ya que no siempre es posible tener todos los datos disponibles y visibles con una sola herramienta, ni es fácil consolidarlos en un único contenedor para su análisis. Un último problema, pero no menos importante, se refiere a su visualización, que a menudo implica la creación de gráficos poco legibles.
También existen varios problemas prácticos relacionados con la identificación y mitigación de vulnerabilidades. En algunos entornos, no es posible ejecutar programas automáticos para analizar los sistemas, lo que requiere búsquedas manuales en dispositivos individuales. Los sistemas corporativos no siempre están actualizados ni admiten los cambios necesarios para mitigar las vulnerabilidades conocidas. En algunos casos, la funcionalidad (léase: operatividad) del sistema podría incluso verse comprometida, lo cual generalmente no es deseable. En definitiva, es necesario encontrar el equilibrio adecuado entre seguridad y operatividad.
En este punto, es importante destacar que también existen métodos para la gestión de vulnerabilidades basados en el riesgo específico al que se enfrenta una empresa u organización. Este enfoque tiene en cuenta la información relacionada con la vulnerabilidad de la parte afectada.
Para responder a estas nuevas preguntas, debemos considerar un nuevo acrónimo: CVE, que significa «Vulnerabilidades y Exposiciones Comunes». CVE es simplemente una lista de vulnerabilidades conocidas y es publicada por MITRE.
MITRE también mantiene una lista actualizada de Autoridades de Numeración de CVE (CNA), que son organizaciones autorizadas para asignar un número a una vulnerabilidad y publicarlo según un procedimiento bien definido. Estos CNA generalmente son proveedores de software e investigadores de seguridad, pero cualquiera puede solicitar asignar un número a una nueva vulnerabilidad. Cada CVE consta de un número de identificación, una breve descripción y referencias a los informes de vulnerabilidad.
La lista, en su versión actual, incluye 233.151 elementos diferentes.
Si pensaba que lo más difícil ya había pasado, ¡piénselo de nuevo!
Aún no hemos intentado responder a la que quizás sea la pregunta más importante: cómo determinar el orden de actualización del código en caso de una vulnerabilidad. ¿Múltiples?
Priorizar las vulnerabilidades requiere un conocimiento profundo de la organización y asignar un valor de riesgo según el impacto en la actividad principal de la empresa. En última instancia, las vulnerabilidades con una clasificación de riesgo más alta generalmente deberían tener mayor prioridad.
En este artículo, hemos visto algunos conceptos importantes que corresponden a los acrónimos CVSS y CVE, así como algunos procesos de gestión de seguridad, como la gestión de vulnerabilidades, incluida la gestión de vulnerabilidades específicas para cada riesgo.
Mi objetivo era demostrar la complejidad de estos conceptos y las operaciones que debe realizar el equipo de seguridad informática responsable de gestionar la seguridad de una organización.
Espero He podido ayudar. Tuve éxito.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
El 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...
