Introducción
Toda organización que gestiona software y hardware convive con un flujo
constante de vulnerabilidades. Como los recursos de remediación son limitados
y las amenazas cambian de forma dinámica, el problema central no es solo
detectar debilidades, sino decidir cuáles atender primero. Para ello conviene
separar las actividades: identificar una vulnerabilidad, evaluarla, categorizarla, gestionarla y solucionarla (si corresponde).
El identificador CVE (Common Vulnerabilities and Exposures) actúa como
el «nombre» único de cada vulnerabilidad pública, mientras que sistemas como
CVSS, EPSS y SSVC aportan los criterios para priorizarla.
CVSS (Common Vulnerability Scoring System), mantenido por FIRST,
responde a la pregunta «¿qué tan grave es?». Asigna una puntuación de 0 a 10 a
partir de las características intrínsecas de la vulnerabilidad —cómo se
explota y qué impacto tiene sobre la confidencialidad, la integridad y la
disponibilidad—. Es una medida de severidad técnica, no de riesgo.
EPSS (Exploit Prediction Scoring System), también gestionado por
FIRST, responde a «¿qué tan probable es que se explote?». Es un modelo basado
en datos que estima, entre 0 y 1 (0% a 100%), la probabilidad de que una
vulnerabilidad sea explotada en los próximos 30 días, incorporando
inteligencia de amenazas y evidencia de explotación real. Tampoco debe
interpretarse como una puntuación de riesgo.
SSVC (Stakeholder-Specific Vulnerability Categorization), creado por
el SEI de la Universidad Carnegie Mellon —CISA desarrolló después su propio
árbol de decisión—, responde a «¿qué debo hacer y con qué urgencia?». En lugar
de un número, emplea árboles de decisión que combinan el contexto —estado de
explotación, impacto técnico, criticidad de la misión— para recomendar una
acción operativa concreta.
Los tres sistemas son complementarios, no intercambiables: miden dimensiones
distintas (severidad, probabilidad y decisión operativa). Combinarlos permite
pasar de una priorización reactiva, basada solo en la gravedad, a un enfoque
basado en el riesgo real del entorno. Este documento describe cada sistema en
detalle y, al final, propone una forma práctica de usarlos en conjunto.
A estos tres se suma el catálogo KEV (Known ExploitedVulnerabilities) de CISA, que no puntúa ni decide, sino que enumera las vulnerabilidades para las que existe evidencia confirmada de explotación activa en el mundo real. Actúa como una señal binaria de máxima prioridad: si un CVE figura en el KEV, su explotación deja de ser una probabilidad y pasa a ser un hecho, por lo que debe remediarse de forma inmediata con independencia de su puntuación CVSS o EPSS.
CVSS – Sistema común de puntuación de vulnerabilidades
En la seguridad de la información, una vulnerabilidad se define como una
debilidad que se encuentra en un activo o en un control y que puede ser
explotada por una o más amenazas, lo que deriva en un riesgo de seguridad.
En este sentido, la seguridad se enfoca en reducir los riesgos a un nivel que
resulte aceptable, razón por la cual una de las actividades a las que se
recurre con frecuencia consiste en identificar y evaluar debilidades asociadas
a las plataformas de software y hardware, con la intención de evitar la
materialización de eventos indeseados e inesperados.
En un ambiente donde los riesgos se encuentran en constante cambio, las
amenazas son dinámicas y los recursos son limitados, resulta fundamental
priorizar la aplicación de medidas de seguridad, luego de identificar las
vulnerabilidades. Sin embargo, la complejidad radica en definir una escala y
los criterios que permitan transformar los datos obtenidos en información.
Un elemento que aborda esta problemática y que ha sido adoptado por una
cantidad importante de organizaciones y compañías enfocadas en seguridad, es
CVE, por sus siglas en inglés
Common Vulnerabilities and Exposures (Vulnerabilidades y exposiciones
comunes). Es un identificador único para cada vulnerabilidad pública, funciona
como un «DNI de vulnerabilidades».
El CVSS, por sus siglas en inglés
Common Vulnerability Scoring System (Sistema común de puntuación de
vulnerabilidades), evalúa y califica estas vulnerabilidades.
Las especificaciones CVSS son propiedad de
FIRST, una organización sin fines de
lucro con sede en EE.UU. cuya misión es ayudar a los equipos de respuesta a
incidentes de seguridad informática de todo el mundo.
¿Qué es el CVSS?
En resumen, es un marco muy utilizado para clasificar y calificar las
vulnerabilidades de software. A través de este marco abierto, las
organizaciones pueden calcular una puntuación CVSS, que es una puntuación
numérica que representa la gravedad de una vulnerabilidad. Las características
de una vulnerabilidad que han contribuido a la puntuación CVSS se representan
en una cadena de texto conocida como cadena de vectores CVSS.
El CVSS NO es una medida de riesgo. Es un método utilizado para proporcionar
una medida cualitativa de la gravedad.
¿Cómo se calcula el impacto con CVSS?
Para determinar el impacto que representa una vulnerabilidad se utiliza una
escala que va del 0 al 10. La clasificación cualitativa depende de la versión
de CVSS. En CVSS v2.0 se emplean tres niveles: baja (0.0–3.9), media (4.0–6.9)
y alta (7.0–10.0). En CVSS v3.x y v4.0 —las versiones vigentes— la escala
tiene cinco niveles: Ninguna (0.0), Baja (0.1–3.9), Media (4.0–6.9), Alta
(7.0–8.9) y Crítica (9.0–10.0).
Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres
grupos de métricas:
-
Las métricas base
representan las características intrínsecas a la vulnerabilidad, que son
constantes en el tiempo y en el entorno del usuario. En CVSS v3.x incluyen
el vector de ataque, la complejidad del ataque, los privilegios requeridos,
la interacción del usuario y el alcance (las versiones v2.0 usaban vector de
acceso, complejidad de acceso y autenticación), de manera que permiten
definir cómo se puede acceder a una vulnerabilidad y si se cumplen las
condiciones para ser explotada. Las métricas de impacto miden la manera en
la que una vulnerabilidad, si se explota, afecta de forma directa a los
activos de TI. Los impactos se determinan de manera independiente, como el
grado de pérdida de confidencialidad, integridad y disponibilidad, ya que
una vulnerabilidad podría causar pérdida parcial de integridad y
disponibilidad, pero tal vez no afecte la confidencialidad. -
El segundo grupo corresponde a las métricas temporales, que
representan las características de una vulnerabilidad que pueden cambiar en
el tiempo, pero que son constantes en el ambiente de un usuario. Debido a
que los riesgos planteados por una vulnerabilidad pueden cambiar a lo largo
del tiempo, se consideran tres factores que influyen en ello: la madurez del
código de explotación (explotabilidad), es decir, la disponibilidad de
código o técnicas que permitan la explotación; el nivel de remediación
disponible; y el nivel de confianza en el reporte, que refleja la
credibilidad de la existencia de la vulnerabilidad y de sus detalles
técnicos. Estas métricas son opcionales e incluyen un valor que no afecta a
la evaluación cuando un usuario cree que la métrica en particular no existe
y quiere omitirla. -
Las métricas de entorno corresponden al tercer grupo y representan
las características de una vulnerabilidad que son relevantes y únicas para
el entorno de un usuario en particular. Se definen debido a los distintos
ambientes que pueden denotar una gran influencia sobre el riesgo que
representa una vulnerabilidad para una organización. Este grupo de métricas
se enfoca en las características de una vulnerabilidad asociadas al entorno
del usuario. En CVSS v3.x y v4.0 se componen de las métricas base
modificadas, que permiten reajustar cualquier métrica base según el entorno
concreto, y los requisitos de seguridad de confidencialidad, integridad y
disponibilidad (CR, IR y AR). El daño potencial colateral y la distribución
de objetivos que definía CVSS v2.0 se eliminaron a partir de la versión 3.0.
Al igual que las métricas temporales, son opcionales y cada una tiene un
valor sin efecto en la evaluación, el cual es utilizado cuando un usuario
considera que la métrica en particular no existe y la omite.
Cuando se asignan valores a las métricas, la ecuación calcula la puntuación y
crea una cadena de texto (vector) con dichos valores asignados, que es
utilizada para comunicar la forma en que se generó cada puntuación de la
respectiva vulnerabilidad, razón por la cual, el vector suele mostrarse junto
a la calificación de la vulnerabilidad.
De manera general, el grupo de métricas base pretende definir y comunicar las
características fundamentales de una vulnerabilidad, para otorgar a los
usuarios una clara e intuitiva representación de una vulnerabilidad.
Es posible utilizar los grupos de entorno y temporal para proporcionar
información contextual que refleje el riesgo de un ambiente específico, lo que
permite tomar decisiones más informadas cuando se trata de mitigar los riesgos
derivados de las vulnerabilidades. Para poner en práctica el método descrito,
los usuarios pueden hacer uso de la
calculadora CVSS v4.0.
Cabe señalar que la calculadora y las evaluaciones del CVSS v2.0 fueron
retiradas del NVD y ya no se aplican a los CVE publicados recientemente, por
lo que debe emplearse una versión vigente (v4.0 o v3.1).
Versiones de CVSS, y su compatibilidad con el NVD
El CVSS v2.0 y el CVSS v3.x constan de tres grupos de métricas: Base, Temporal
y Ambiental. El CVSS v4.0 es ligeramente diferente y consta de los grupos de
métricas Base, Amenaza, Ambiental y Suplementaria.
La Base de Datos Nacional de Vulnerabilidades (NVD) proporciona
enriquecimiento del CVSS para todos los registros de CVE publicados.
El
NVD (National Vulnerability Database)
es compatible con los estándares del Sistema Común de Puntuación de
Vulnerabilidades (CVSS) v2.0, v3.x y v4.0. Sin embargo, según el anuncio de
retirada del CVSS v2.0
del NVD , ya no ofrece evaluaciones del CVSS v2.0 para los registros CVE
recién publicados.
El NVD proporciona evaluaciones del CVSS de las métricas base, las
características innatas de cada vulnerabilidad. Actualmente, el NVD no ofrece
evaluaciones de métricas temporales o de amenaza (métricas que cambian con el
tiempo debido a eventos externos a la vulnerabilidad), métricas ambientales
(métricas personalizadas para reflejar el impacto de la vulnerabilidad en una
organización específica) ni métricas complementarias (métricas utilizadas para
proporcionar contexto adicional).
No obstante, el NVD proporciona una
calculadora del CVSS para cada versión del CVSS que permite a los usuarios
evaluar métricas no base.
¿Se puede utilizar CVSS para evaluar las vulnerabilidades relacionadas con la
IA?
CVSS puede ser útil para evaluar tipos específicos de vulnerabilidades de
ciberseguridad que a menudo se descubren en aplicaciones de IA, incluido el
envenenamiento de modelos, la denegación del servicio
o la divulgación de información. Sin embargo, CVSS podría ser menos útil para
las vulnerabilidades relacionadas con la IA que se relacionan principalmente
con el sesgo, la
ética o las
preocupaciones legales, según FIRST. Estas vulnerabilidades se relacionan con
la
inferencia,
la
inversión de modelos y la inyección de instrucciones.
Continuará…
