Toda organización que gestiona software y hardware debe lidiar constantemente con vulnerabilidades. Dado que los recursos disponibles para remediarlas son limitados y las amenazas evolucionan dinámicamente, el desafío central no es solo detectar debilidades, sino determinar cuáles atender en primer lugar. Para ello es necesario separar las actividades: identificar una vulnerabilidad, evaluarla, categorizarla, gestionarla y resolverla cuando corresponda.
El identificador CVE (Common Vulnerabilities and Exposures) actúa como el nombre único de cada vulnerabilidad pública, mientras que sistemas como CVSS, EPSS y SSVC proporcionan criterios para establecer su prioridad.
CVSS (Common Vulnerability Scoring System), mantenido por FIRST, responde a la pregunta «¿qué tan grave es?». Asigna una puntuación de 0 a 10 basada en las características intrínsecas de la vulnerabilidad, considerando cómo se explota y su impacto sobre la confidencialidad, integridad y disponibilidad. Se trata de una medida de severidad técnica, no de riesgo.
EPSS (Exploit Prediction Scoring System), también gestionado por FIRST, responde a «¿qué tan probable es que se explote?». Es un modelo basado en datos que estima, entre 0 y 1 (0% a 100%), la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días, incorporando inteligencia de amenazas y evidencia de explotación real. Tampoco debe interpretarse como una puntuación de riesgo.
SSVC (Stakeholder-Specific Vulnerability Categorization), creado por el SEI de la Universidad Carnegie Mellon y desarrollado posteriormente por CISA, responde a «¿qué debo hacer y con qué urgencia?». En lugar de un número, utiliza árboles de decisión que combinan el contexto (estado de explotación, impacto técnico, criticidad de la misión) para recomendar una acción operativa específica.
Los tres sistemas son complementarios, no intercambiables, ya que miden dimensiones distintas: severidad, probabilidad y decisión operativa. Combinarlos permite pasar de una priorización reactiva basada solo en gravedad a un enfoque basado en el riesgo real del entorno.
A estos se suma el catálogo KEV (Known Exploited Vulnerabilities) de CISA, que no puntúa ni decide, sino que enumera las vulnerabilidades para las que existe evidencia confirmada de explotación activa en el mundo real. Actúa como una señal binaria de máxima prioridad: si un CVE figura en el KEV, su explotación deja de ser una probabilidad y pasa a ser un hecho, por lo que debe remediarse de forma inmediata independientemente de su puntuación CVSS o EPSS.
En la seguridad de la información, una vulnerabilidad se define como una debilidad en un activo o control que puede ser explotada por una o más amenazas, generando un riesgo de seguridad. La seguridad se enfoca en reducir los riesgos a un nivel aceptable, por lo que una actividad frecuente consiste en identificar y evaluar debilidades asociadas a plataformas de software y hardware para evitar la materialización de eventos indeseados.
En un ambiente donde los riesgos cambian constantemente, las amenazas son dinámicas y los recursos limitados, resulta fundamental priorizar la aplicación de medidas de seguridad después de identificar vulnerabilidades. Sin embargo, la complejidad radica en definir una escala y criterios que permitan transformar los datos obtenidos en información útil.
CVE (Common Vulnerabilities and Exposures) es un elemento que aborda esta problemática y ha sido adoptado por numerosas organizaciones y compañías enfocadas en seguridad. Se trata de un identificador único para cada vulnerabilidad pública que funciona como un «DNI de vulnerabilidades».
El CVSS (Common Vulnerability Scoring System) evalúa y califica estas vulnerabilidades. Las especificaciones CVSS son propiedad de FIRST, una organización sin fines de lucro con sede en Estados Unidos cuya misión es ayudar a los equipos de respuesta a incidentes de seguridad informática en todo el mundo.
El CVSS es un marco muy utilizado para clasificar y calificar vulnerabilidades de software. A través de este marco abierto, las organizaciones pueden calcular una puntuación CVSS, que es una puntuación numérica que representa la gravedad de una vulnerabilidad. Las características que contribuyen a la puntuación CVSS se representan en una cadena de texto conocida como cadena de vectores CVSS.
Es importante aclarar que el CVSS no es una medida de riesgo. Es un método utilizado para proporcionar una medida cualitativa de la gravedad.
Para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. En CVSS v2.0 se empleaban tres niveles: baja (0.0–3.9), media (4.0–6.9) y alta (7.0–10.0). En CVSS v3.x y v4.0, las versiones vigentes, la escala tiene cinco niveles: Ninguna (0.0), Baja (0.1–3.9), Media (4.0–6.9), Alta (7.0–8.9) y Crítica (9.0–10.0).
Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres grupos de métricas. Las métricas base representan las características intrínsecas de la vulnerabilidad, que son constantes en el tiempo y en el entorno del usuario. En CVSS v3.x incluyen el vector de ataque, la complejidad del ataque, los privilegios requeridos, la interacción del usuario y el alcance, permitiendo definir cómo se puede acceder a una vulnerabilidad y si se cumplen las condiciones para ser explotada. Las métricas de impacto miden cómo una vulnerabilidad afecta de forma directa a los activos de TI si se explota, determinándose de manera independiente el grado de pérdida de confidencialidad, integridad y disponibilidad.
El segundo grupo corresponde a las métricas temporales, que representan las características de una vulnerabilidad que pueden cambiar en el tiempo. Se consideran tres factores: la madurez del código de explotación, el nivel de remediación disponible y el nivel de confianza en el reporte. Estas métricas son opcionales e incluyen un valor que no afecta la evaluación cuando un usuario considera que la métrica particular no existe.
Las métricas de entorno corresponden al tercer grupo y representan características de una vulnerabilidad relevantes y únicas para el entorno específico de un usuario. Se definen porque distintos ambientes pueden denotar una gran influencia sobre el riesgo que representa una vulnerabilidad para una organización. En CVSS v3.x y v4.0 se componen de las métricas base modificadas y los requisitos de seguridad de confidencialidad, integridad y disponibilidad. Al igual que las métricas temporales, son opcionales.
Cuando se asignan valores a las métricas, la ecuación calcula la puntuación y crea una cadena de texto con dichos valores, que es utilizada para comunicar cómo se generó cada puntuación de la vulnerabilidad respectiva. El vector suele mostrarse junto a la calificación de la vulnerabilidad.
Es posible utilizar los grupos de entorno y temporal para proporcionar información contextual que refleje el riesgo de un ambiente específico, lo que permite tomar decisiones más informadas para mitigar riesgos derivados de vulnerabilidades. Para poner en práctica este método, los usuarios pueden hacer uso de la calculadora CVSS v4.0. Cabe señalar que la calculadora y las evaluaciones del CVSS v2.0 fueron retiradas del NVD y ya no se aplican a los CVE publicados recientemente, por lo que debe emplearse una versión vigente.
El CVSS v2.0 y el CVSS v3.x constan de tres grupos de métricas: Base, Temporal y Ambiental. El CVSS v4.0 es ligeramente diferente y consta de los grupos Base, Amenaza, Ambiental y Suplementaria.
La Base de Datos Nacional de Vulnerabilidades (NVD) proporciona enriquecimiento del CVSS para todos los registros de CVE publicados. El NVD es compatible con los estándares del Sistema Común de Puntuación de Vulnerabilidades v2.0, v3.x y v4.0. Sin embargo, según el anuncio de retirada del CVSS v2.0 del NVD, ya no ofrece evaluaciones de esa versión para los registros CVE recién publicados.
El NVD proporciona evaluaciones del CVSS de las métricas base, que son las características innatas de cada vulnerabilidad. Actualmente no ofrece evaluaciones de métricas temporales, de amenaza, ambientales ni complementarias. No obstante, el NVD proporciona una calculadora del CVSS para cada versión que permite a los usuarios evaluar métricas no base.
CVSS puede ser útil para evaluar tipos específicos de vulnerabilidades de ciberseguridad que se descubren en aplicaciones de IA, incluido el envenenamiento de modelos, la denegación del servicio o la divulgación de información. Sin embargo, CVSS podría ser menos útil para vulnerabilidades relacionadas con la IA que se relacionan principalmente con sesgo, ética o preocupaciones legales, según FIRST. Estas vulnerabilidades se relacionan con la inferencia, la inversión de modelos y la inyección de instrucciones.
Con Información de blog.segu-info.com.ar
