Este a\u00f1o se cumple el aniversario n\u00famero 20 del Sistema de Puntuaci\u00f3n de Vulnerabilidades Comunes (CVSS), que se ha convertido en un est\u00e1ndar ampliamente aceptado para describir las vulnerabilidades de software. A pesar de d\u00e9cadas de uso y cuatro generaciones del est\u00e1ndar, ahora en la versi\u00f3n 4.0, las reglas de puntuaci\u00f3n del CVSS contin\u00faan utiliz\u00e1ndose incorrectamente y el sistema en s\u00ed sigue siendo objeto de un intenso debate. Entonces, \u00bfqu\u00e9 necesitas saber sobre el CVSS para proteger tus activos de TI de manera eficaz?<\/p>\n
Seg\u00fan sus desarrolladores<\/a>, el CVSS es una herramienta para describir las caracter\u00edsticas y la gravedad de las vulnerabilidades del software. El Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST) se encarga del mantenimiento del CVSS. Se ha creado para ayudar a los expertos a hablar un idioma com\u00fan sobre las vulnerabilidades y para facilitar el procesamiento autom\u00e1tico de datos sobre fallos de software. Casi todas las vulnerabilidades publicadas en los principales registros de vulnerabilidades como CVE<\/a>, EUVD<\/a> o CNNVD<\/a> incluyen una evaluaci\u00f3n de gravedad basada en la escala CVSS.<\/p>\n Una evaluaci\u00f3n generalmente consta de dos partes principales:<\/p>\n Aqu\u00ed hay un ejemplo que utiliza la vulnerabilidad altamente grave y aprovechada activamente CVE-2021-44228 (Log4Shell): puntuaci\u00f3n Base 10.0 (CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:C\/C:H\/I:H\/A:H)<\/strong><\/p>\n Analicemos eso: el vector de ataque se basa en la red, la complejidad del ataque es baja, no hay privilegios necesarios, no se requiere interacci\u00f3n del usuario, el alcance indica que la vulnerabilidad afecta a otros componentes del sistema y el impacto en la confidencialidad, integridad y disponibilidad es alto. Las descripciones detalladas de cada componente est\u00e1n disponibles en las especificaciones CVSS 3.1<\/a> y CVSS 4.0<\/a>.<\/p>\n Una parte crucial del sistema CVSS es su metodolog\u00eda de puntuaci\u00f3n, tambi\u00e9n conocida como calculadora y disponible tanto para 4.0<\/a> como para 3.1<\/a>. Al completar todos los componentes del vector, puedes obtener autom\u00e1ticamente una puntuaci\u00f3n de criticidad num\u00e9rica.<\/p>\n La metodolog\u00eda de c\u00e1lculo original del CVSS inclu\u00eda tres grupos de m\u00e9tricas: Base<\/strong>, Temporal<\/strong> y Ambiental (Environmental)<\/strong>. El primer grupo cubre las caracter\u00edsticas fundamentales e invariables de una vulnerabilidad y forma la base para calcular la puntuaci\u00f3n Base del CVSS. El segundo grupo incluye caracter\u00edsticas que pueden cambiar con el tiempo, como la disponibilidad del c\u00f3digo exploit publicado. El tercer grupo est\u00e1 dise\u00f1ado para uso organizacional interno a fin de tener en cuenta factores espec\u00edficos del contexto, como el alcance de la aplicaci\u00f3n vulnerable o la presencia de controles de seguridad mitigantes en la infraestructura de la organizaci\u00f3n. En CVSS 4.0, las m\u00e9tricas de Temporal se han convertido en m\u00e9tricas de Amenazas (Threat)<\/strong> y se ha introducido un nuevo grupo de m\u00e9tricas Complementarias (Supplemental)<\/strong>.<\/p>\n As\u00ed es como se interconectan las m\u00e9tricas. Los proveedores de software o las empresas de ciberseguridad suelen evaluar la criticidad Base de una vulnerabilidad (denominada \u201cCVSS-B\u201d en la especificaci\u00f3n 4.0). Tambi\u00e9n suelen proporcionar una evaluaci\u00f3n relacionada con la disponibilidad y la divulgaci\u00f3n p\u00fablica de un exploit (CVSS-BT en 4.0 y Temporal en 3.1). Esta evaluaci\u00f3n es una puntuaci\u00f3n Base modificada; por lo tanto, el CVSS-B puede ser m\u00e1s alto o m\u00e1s bajo que el CVSS-BT. En cuanto al puntaje Ambiental (CVSS-BTE), se calcula dentro de una organizaci\u00f3n espec\u00edfica seg\u00fan el CVSS-BT, con ajustes realizados para sus condiciones \u00fanicas de uso del software vulnerable.<\/p>\n Las dos primeras versiones del CVSS, lanzadas en 2005 y 2007, apenas se utilizan en la actualidad. Si bien es posible que a\u00fan encuentres puntuaciones del CVSS m\u00e1s antiguas para vulnerabilidades modernas, CVSS 3.1 (2019) y CVSS 4.0 (2023) son los sistemas de puntuaci\u00f3n m\u00e1s comunes. Sin embargo, muchos proveedores de software y registros de vulnerabilidades no tienen prisa por adoptar la versi\u00f3n 4.0 y contin\u00faan proporcionando puntajes CVSS 3.1.<\/p>\n La idea central detr\u00e1s de la primera versi\u00f3n de CVSS fue cuantificar la gravedad de las vulnerabilidades a trav\u00e9s de un sistema de puntuaci\u00f3n, con una separaci\u00f3n inicial en m\u00e9tricas Base, Temporal y Ambiental. En esa etapa, las descripciones textuales se formalizaron libremente y los tres grupos de m\u00e9tricas se calcularon de forma independiente.<\/p>\n CVSS 2.0 introdujo una cadena de vectores estandarizada y una nueva l\u00f3gica: una puntuaci\u00f3n Base obligatoria e inmutable, una puntuaci\u00f3n Temporal calculada a partir de la puntuaci\u00f3n Base pero teniendo en cuenta los factores cambiantes, y una puntuaci\u00f3n Ambiental utilizada dentro de organizaciones espec\u00edficas y condiciones derivadas de la puntuaci\u00f3n Base o la Temporal.<\/p>\n Las versiones 3.0 y 3.1 a\u00f1adieron el concepto de Alcance (Scope), que es el impacto en otros componentes del sistema. Tambi\u00e9n definieron con mayor precisi\u00f3n los par\u00e1metros relacionados con los privilegios requeridos y la interacci\u00f3n del usuario, y generalizaron y refinaron los valores de muchos par\u00e1metros. M\u00e1s importante a\u00fan, estas versiones intentaron solidificar el hecho de que el CVSS mide la gravedad de una vulnerabilidad, no los riesgos que crea.<\/p>\n En la versi\u00f3n 4.0, los creadores ten\u00edan como objetivo hacer que la m\u00e9trica CVSS fuera m\u00e1s \u00fatil para las evaluaciones a nivel empresarial de c\u00f3mo las vulnerabilidades afectan al riesgo. Sin embargo, esta a\u00fan no es una m\u00e9trica de riesgo. La complejidad del ataque se ha dividido en dos componentes distintos: requisitos del ataque y complejidad del ataque. Esto resalta la diferencia entre la dificultad de ingenier\u00eda inherente de un ataque y los factores externos o las condiciones necesarias para que el ataque tenga \u00e9xito. En t\u00e9rminos pr\u00e1cticos, esto significa que un fallo que requiere una configuraci\u00f3n espec\u00edfica y no predeterminada en el producto vulnerable para aprovecharla tendr\u00e1 mayores requisitos de ataque y, en consecuencia, una puntuaci\u00f3n general de CVSS m\u00e1s baja.<\/p>\n La m\u00e9trica de Alcance, a menudo mal entendida, que simplemente ofrec\u00eda opciones de \u201cs\u00ed\u201d o \u201cno\u201d para \u201cimpacto en otros componentes\u201d, ha sido reemplazada. Los desarrolladores han introducido el concepto m\u00e1s claro de \u201csistemas posteriores\u201d, que ahora especifica a qu\u00e9 aspecto de su funcionamiento afecta a la vulnerabilidad. Adem\u00e1s, se ha a\u00f1adido una gama de indicadores de apoyo, como la capacidad de automatizaci\u00f3n de un exploit y el impacto del aprovechamiento en la seguridad f\u00edsica humana. Las propias f\u00f3rmulas tambi\u00e9n han sido objeto de revisiones sustanciales. La influencia de varios componentes en la puntuaci\u00f3n de amenaza num\u00e9rica se ha reevaluado en funci\u00f3n de una amplia base de datos de vulnerabilidades y datos de aprovechamiento del mundo real.<\/p>\n Para los profesionales de la ciberseguridad, CVSS 4.0 tiene como objetivo ser m\u00e1s pr\u00e1ctico y relevante para las realidades actuales. Nos enfrentamos a decenas de miles de vulnerabilidades, muchas de las cuales reciben una alta puntuaci\u00f3n de CVSS. Esto a menudo lleva a que se marquen autom\u00e1ticamente para su reparaci\u00f3n inmediata en muchas organizaciones. El problema es que estas listas crecen constantemente y el tiempo promedio para reparar una vulnerabilidad es de casi siete meses<\/a>.<\/p>\n Cuando se vuelven a evaluar las vulnerabilidades de CVSS 3.1 a CVSS 4.0<\/a>, la puntuaci\u00f3n Base para los defectos con una gravedad entre 4.0 y 9.0 tiende a aumentar levemente. Sin embargo, para las vulnerabilidades que se consideraron cr\u00edticamente graves en CVSS 3.1, la puntuaci\u00f3n a menudo permanece sin cambios o incluso disminuye. M\u00e1s importante a\u00fan, mientras que la m\u00e9trica Temporal ten\u00eda poco impacto en la calificaci\u00f3n num\u00e9rica de una vulnerabilidad antes, la influencia de las m\u00e9tricas Amenaza y Ambiental ahora es mucho m\u00e1s significativa. Orange Cyberdefense ha realizado un estudio<\/a> para ilustrar esto. Imagina que una empresa est\u00e1 rastreando 8000\u00a0vulnerabilidades y sus equipos de seguridad y de TI deben corregir todos los defectos con una puntuaci\u00f3n Base de CVSS superior a 8 dentro de un plazo de tiempo especificado. \u00bfQu\u00e9 porcentaje de estas 8000\u00a0vulnerabilidades del mundo real entrar\u00eda en esa categor\u00eda, si se considera o no la exposici\u00f3n del exploit al p\u00fablico (ajuste Temporal\/de Amenaza)? El estudio ha descubierto que CVSS 4.0, en su versi\u00f3n base, asigna una puntuaci\u00f3n de 8 o m\u00e1s a un mayor porcentaje de vulnerabilidades (el 33\u00a0% en comparaci\u00f3n con el 18\u00a0% en la versi\u00f3n 3.1). Sin embargo, cuando se ajusta a la disponibilidad de exploits, este n\u00famero se reduce significativamente, lo que deja menos fallos verdaderamente cr\u00edticos para priorizar (el 8\u00a0% frente al 10\u00a0%).<\/p>\n \u00bfCu\u00e1l es la diferencia entre una vulnerabilidad \u201ccr\u00edtica\u201d y una que es simplemente peligrosa? Una descripci\u00f3n de la gravedad basada en texto es parte de la especificaci\u00f3n, pero no siempre se requiere en una descripci\u00f3n de la vulnerabilidad:<\/p>\n En la pr\u00e1ctica, muchos proveedores de software adoptan un enfoque creativo para estas descripciones de texto. Pueden modificar los nombres o incorporar sus propias evaluaciones y factores no incluidos en el CVSS. Un ejemplo de ello es el Patch Tuesday de Microsoft de junio, espec\u00edficamente CVE-2025-33064<\/a> y CVE-2025-32710<\/a>. El primero se describe como \u201cImportante\u201d y el segundo como \u201cCr\u00edtico\u201d, sin embargo, sus puntajes CVSS 3.1 son 8.8 y 8.1, respectivamente.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Desglosamos el Sistema de Puntuaci\u00f3n de Vulnerabilidades Comunes (CVSS): para qu\u00e9 sirve, c\u00f3mo se usa en la pr\u00e1ctica y por qu\u00e9 la puntuaci\u00f3n Base es solo el comienzo (y no el final) de la evaluaci\u00f3n de vulnerabilidades.<\/p>\n","protected":false},"author":2722,"featured_media":28321,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3565,6039,5423,1015,341,647],"class_list":{"0":"post-28320","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ciso","9":"tag-cvss","10":"tag-estrategia","11":"tag-parches","12":"tag-tips-2","13":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cvss-4-base-evolution\/28320\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cvss-4-base-evolution\/12577\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cvss-4-base-evolution\/31157\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cvss-4-base-evolution\/29830\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cvss-4-base-evolution\/40086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cvss-4-base-evolution\/13555\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cvss-4-base-evolution\/53825\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cvss-4-base-evolution\/22979\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cvss-4-base-evolution\/24009\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cvss-4-base-evolution\/32432\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cvss-4-base-evolution\/29378\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28320","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28320"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28320\/revisions"}],"predecessor-version":[{"id":28358,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28320\/revisions\/28358"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28321"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28320"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28320"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28320"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Evoluci\u00f3n del CVSS<\/h2>\n
C\u00f3mo CVSS 4.0 est\u00e1 cambiando la priorizaci\u00f3n de vulnerabilidades<\/h2>\n
Cr\u00edtica, alta y todo lo dem\u00e1s<\/h2>\n
\n