¿Qué son las vulnerabilidades y exposiciones comunes (CVE)?

Redazione RHC : 22 julio 2025 19:13

El objetivo principal de la seguridad informática es la gestión de vulnerabilidades. Para lograr este objetivo, CVE ayuda a los especialistas, quienes son parte integral de la comunidad de seguridad de la información.

Si lees RHC, probablemente hayas escuchado este acrónimo, pero ¿qué significa específicamente?

En este artículo, analizaremos la definición y la historia de CVE, y cómo los ciberdelincuentes y los hackers éticos utilizan este indicador.

¿Qué es CVE?

La abreviatura CVE significa Vulnerabilidades y Exposiciones Comunes y es una base de datos de vulnerabilidades de seguridad de la información comúnmente conocidas. El sistema cuenta con el apoyo activo de los Centros de Investigación y Desarrollo con Financiamiento Federal (FFRDC), operados por la Corporación MITRE.

Dado que MITRE es una organización sin fines de lucro, CVE recibe financiación de la División Nacional de Ciberseguridad (NCSD) de los Estados Unidos de América.

La diferencia entre vulnerabilidades e impactos.

Vulnerabilidades Son fallas del sistema que crean puntos débiles en la infraestructura informática que un atacante puede explotar.

Las vulnerabilidades pueden surgir de cualquier cosa, desde software sin parches hasta un puerto USB sin protección. Las vulnerabilidades podrían permitir que un usuario malicioso:

• acceder a la memoria del sistema;
• instalar malware;
• ejecutar código malicioso;
• robar, destruir o modificar datos confidenciales.

Un simple error permite un ciberataque a una organización. Esto puede incluir el robo de datos confidenciales, que luego se venden en la red oscura.

La mayoría de los incidentes cibernéticos son causados por errores de seguridad y sus consiguientes exploits que se hacen públicos.

Historia del sistema CVE.

El concepto original de la base de datos CVE surgió en un libro blanco de 1999 titulado «Towards a Common Enumeration of Vulnerabilities», escrito por Steven M. Christie y David E. Mann de MITRE Corporation.

Christie y Mann reunieron un grupo de trabajo de 19 especialistas y compilaron una lista inicial de CVE de 321 entradas.

En septiembre de 1999, el registro se hizo público. Desde el lanzamiento de CVE en 1999, varias empresas de seguridad informática se sumaron a la lista de vulnerabilidades. Para diciembre de 2000, 29 organizaciones participaban en la iniciativa con 43 errores de seguridad.

CVE se utilizó como punto de partida para la NISTBase de Datos Nacional de Vulnerabilidades (NVD).

CVE se amplía con cada organización que se une a MITRE como colaboradora. Puede encontrar una lista completa de socios en en CVE.org.

¿Cómo se determinan los CVE?

Todos los CVE son vulnerabilidades de seguridad, pero no todas las vulnerabilidades son CVE.

Un CVE declara una vulnerabilidad cuando cumple tres criterios. Específico:

• La falla se puede corregir independientemente de otros errores.
• El proveedor del software ha reconocido y documentado la vulnerabilidad como perjudicial para la seguridad del usuario.
• El error afecta a una sola base de código. A las fallas que afectan a varios productos se les asignan múltiples CVE.

¿Qué son las CNA?

Además de MITRE, la numeración CVE también puede ser «bautizada» por otras entidades llamadas Autoridades de Numeración CVE (CNA).

A cada vulnerabilidad CVE se le asigna un número (Identificador CVE o ID CVE) mediante una de las 222 (actualmente) Autoridades de Numeración CVE (CNA) en 34 países.

Según MITRE, las CNA están representadas por organizaciones que van desde proveedores de software y proyectos de código abierto hasta proveedores de servicios de detección de errores y grupos de investigación.

Todas estas organizaciones tienen derecho a asignar identificadores CVE y publicar sus registros como parte del programa CVE. A lo largo de los años, empresas de diversos sectores se han unido al programa CNA. Los requisitos de entrada son mínimos y no requieren contrato ni contribución monetaria.

El estándar internacional para los identificadores CVE es CVE-xxxx-yyyyy.[xxxx], el año en que se descubrió la vulnerabilidad. [aaaaa] es el número de serie asignado por los respectivos CNA.

¿Cuántos CVE existen?

Se han publicado miles de nuevas vulnerabilidades cada año desde la fundación del programa en 1999.

Al momento de escribir este artículo, ya hay 178,569 entradas en la lista de CVE. Esto representa un promedio de 7763 vulnerabilidades e impactos al año

De las más de 178 000 CVE, más de la mitad pertenecen a los 50 principales proveedores de software a nivel mundial. Por ejemplo, Microsoft y Oracle han reportado más de 6000 fallas en sus productos.

¿Por qué es importante el programa CVE?

La base de datos CVE se creó para facilitar el intercambio de información sobre vulnerabilidades conocidas entre organizaciones.

Los identificadores CVE permiten a los profesionales de la seguridad de la información encontrar fácilmente información sobre fallas en múltiples fuentes confiables utilizando el mismo identificador de vulnerabilidad.

Además, CVE proporciona una base sólida para que una empresa comprenda la necesidad de invertir en mayor seguridad. Una organización puede obtener rápidamente información precisa sobre un exploit específico de múltiples fuentes certificadas, lo que le permite priorizar adecuadamente la remediación.

¿Pueden los ciberdelincuentes usar CVE?

Una vez que una vulnerabilidad se hace pública, un ciberdelincuente tiene tiempo de sobra para explotarla con fines maliciosos. Un atacante puede explotar un error antes de que el proveedor del software lo corrija.

Compartir información dentro de la comunidad de ciberseguridad es una forma fiable de reducir el número de ciberataques e introducir nuevas soluciones.

La CVE es un elemento necesario en el proceso de mejora de productos y mantenimiento de la protección de usuarios y empresas globales, y se basa en la ética y la transparencia.

Si tienes un día cero, piénsalo siempre.