{"id":28339,"date":"2025-08-03T23:38:30","date_gmt":"2025-08-04T05:38:30","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28339"},"modified":"2025-08-10T22:10:20","modified_gmt":"2025-08-11T04:10:20","slug":"cvss-rbvm-vulnerability-management","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/28339\/","title":{"rendered":"Del CVSS a la RBVM: c\u00f3mo priorizar correctamente las vulnerabilidades"},"content":{"rendered":"<p>Cuando <u>te encuentras por primera vez con el Sistema com\u00fan de puntuaci\u00f3n de vulnerabilidades<\/u> (CVSS, por sus siglas en ingl\u00e9s), es f\u00e1cil pensar que es la herramienta perfecta para clasificar y priorizar las vulnerabilidades. Una puntuaci\u00f3n m\u00e1s alta debe significar una vulnerabilidad m\u00e1s cr\u00edtica, \u00bfverdad? En realidad, ese enfoque no funciona del todo bien. Cada a\u00f1o, vemos un n\u00famero creciente de vulnerabilidades con puntuaciones altas en el CVSS. Los equipos de seguridad simplemente no pueden parchearlas todas a tiempo, pero la gran mayor\u00eda de estos defectos nunca llegan a explotarse en ataques reales. Mientras tanto, los atacantes aprovechan constantemente vulnerabilidades menos llamativas con puntuaciones m\u00e1s bajas. Tambi\u00e9n hay otras trampas ocultas, que van desde problemas puramente t\u00e9cnicos, como puntuaciones conflictivas en el CVSS, hasta cuestiones conceptuales, como la falta de contexto empresarial.<\/p>\n<p>Estas no son necesariamente deficiencias del propio CVSS. En cambio, esto pone de manifiesto la necesidad de usar la herramienta correctamente, como parte de un proceso de gesti\u00f3n de vulnerabilidades m\u00e1s sofisticado y completo.<\/p>\n<h2>Discrepancias en el CVSS<\/h2>\n<p>\u00bfAlguna vez has notado c\u00f3mo la misma vulnerabilidad puede tener diferentes puntuaciones de severidad seg\u00fan la fuente disponible? \u00bfUna puntuaci\u00f3n del investigador de ciberseguridad que la encontr\u00f3, otra del proveedor del software vulnerable y otra m\u00e1s de una base de datos nacional de vulnerabilidades? No siempre se trata de un simple error. A veces, diferentes expertos pueden discrepar sobre el contexto de explotaci\u00f3n. Es posible que tengan diferentes ideas sobre los privilegios con los que se ejecuta una aplicaci\u00f3n vulnerable o sobre si est\u00e1 conectada a Internet. Por ejemplo, un proveedor podr\u00eda basar su evaluaci\u00f3n en sus mejores pr\u00e1cticas recomendadas, mientras que un investigador de seguridad podr\u00eda considerar c\u00f3mo se configuran habitualmente las aplicaciones en las organizaciones del mundo real. Un investigador podr\u00eda calificar la complejidad del exploit como alta, mientras que otro la considerar\u00eda baja. Esto no es algo poco com\u00fan. Un <a href=\"https:\/\/vulncheck.com\/blog\/cvss-accuracy-issues\" target=\"_blank\" rel=\"noopener nofollow\">estudio de 2023 realizado por Vulncheck<\/a> concluy\u00f3 que el 20\u00a0% de las vulnerabilidades en la Base de datos nacional de vulnerabilidades (NVD, por sus siglas en ingl\u00e9s) ten\u00edan dos puntuaciones CVSS3 provenientes de diferentes fuentes, y el 56\u00a0% de esas puntuaciones emparejadas estaban en conflicto entre s\u00ed.<\/p>\n<h2>Errores comunes al usar el CVSS<\/h2>\n<p>Durante m\u00e1s de una d\u00e9cada, <a href=\"https:\/\/www.first.org\/about\/mission\" target=\"_blank\" rel=\"noopener nofollow\">FIRST<\/a> ha defendido la aplicaci\u00f3n metodol\u00f3gicamente correcta del CVSS. Sin embargo, las organizaciones que utilizan las puntuaciones del CVSS en sus procesos de gesti\u00f3n de vulnerabilidades contin\u00faan cometiendo errores t\u00edpicos:<\/p>\n<ol>\n<li>Usar la puntuaci\u00f3n base del CVSS como indicador principal de riesgo. El CVSS mide la severidad de una vulnerabilidad, no cu\u00e1ndo se explotar\u00e1 ni el posible impacto de su explotaci\u00f3n en la organizaci\u00f3n atacada. A veces, una vulnerabilidad cr\u00edtica es inofensiva dentro del entorno espec\u00edfico de una empresa porque reside en sistemas insignificantes y aislados. Por el contrario, un ataque de ransomware a gran escala podr\u00eda comenzar con una vulnerabilidad de fuga de informaci\u00f3n aparentemente inocua con una puntuaci\u00f3n de 6 en el CVSS.<\/li>\n<li>Utilizar la puntuaci\u00f3n base del CVSS sin los ajustes de amenaza\/temporal y ambiental. La disponibilidad de parches, exploits p\u00fablicos y medidas compensatorias influye considerablemente en la forma y en la urgencia con que debe abordarse una vulnerabilidad.<\/li>\n<li>Centrarse solo en las vulnerabilidades por encima de una puntuaci\u00f3n determinada. Este enfoque a veces es exigido por el gobierno o los reguladores del sector (\u201cremediar vulnerabilidades con una puntuaci\u00f3n del CVSS superior a 8 en un mes\u201d). Como resultado, los equipos de ciberseguridad se enfrentan a una carga de trabajo en continuo crecimiento que, en realidad, no hace que su infraestructura sea m\u00e1s segura. El n\u00famero de vulnerabilidades con puntuaciones altas en el CVSS identificadas anualmente ha <a href=\"https:\/\/nvd.nist.gov\/general\/visualizations\/vulnerability-visualizations\/cvss-severity-distribution-over-time#CVSSSeverityOverTime\" target=\"_blank\" rel=\"noopener nofollow\">aumentado r\u00e1pidamente durante los \u00faltimos 10 a\u00f1os<\/a>.<\/li>\n<li>Emplear el CVSS para evaluar la probabilidad de explotaci\u00f3n. Estas m\u00e9tricas est\u00e1n poco correlacionadas: solo <a href=\"https:\/\/vulmon.com\/docs\/Vulnerability-Scoring\/KEV\" target=\"_blank\" rel=\"noopener nofollow\">el 17\u00a0% de las vulnerabilidades cr\u00edticas<\/a> se aprovechan en ataques.<\/li>\n<li>Utilizar solo la puntuaci\u00f3n del CVSS. La cadena de vectores estandarizada se introdujo en el CVSS para que los defensores pudieran comprender los detalles de una vulnerabilidad y calcular de forma independiente su importancia dentro de su propia organizaci\u00f3n. CVSS 4.0 se revis\u00f3 espec\u00edficamente para facilitar la consideraci\u00f3n del contexto empresarial mediante m\u00e9tricas adicionales. Cualquier esfuerzo de gesti\u00f3n de vulnerabilidades basado \u00fanicamente en una calificaci\u00f3n num\u00e9rica ser\u00e1 en gran medida ineficaz.<\/li>\n<li>Ignorar fuentes de informaci\u00f3n adicionales. Basarse en una \u00fanica base de datos de vulnerabilidades y analizar solo el CVSS no es suficiente. La ausencia de datos sobre parches, pruebas de concepto funcionales y casos de explotaci\u00f3n del mundo real dificulta la decisi\u00f3n de c\u00f3mo abordar las vulnerabilidades.<\/li>\n<\/ol>\n<h2>Lo que el CVSS no te dice sobre una vulnerabilidad<\/h2>\n<p>El CVSS es el est\u00e1ndar del sector para describir la gravedad de una vulnerabilidad, las condiciones en las que se puede explotar y su posible impacto en un sistema vulnerable. Sin embargo, m\u00e1s all\u00e1 de esta descripci\u00f3n (y la puntuaci\u00f3n base del CVSS), hay muchas cosas que no abarca:<\/p>\n<ul>\n<li>\u00bfQui\u00e9n encontr\u00f3 la vulnerabilidad? \u00bfFue el proveedor, un investigador \u00e9tico que inform\u00f3 del fallo y esper\u00f3 un parche, o fue un actor malicioso?<\/li>\n<li>\u00bfHay alg\u00fan exploit disponible p\u00fablicamente? En otras palabras, \u00bfexiste c\u00f3digo disponible f\u00e1cilmente para aprovechar la vulnerabilidad?<\/li>\n<li>\u00bfC\u00f3mo de pr\u00e1ctico es explotar la vulnerabilidad en escenarios del mundo real?<\/li>\n<li>\u00bfExiste un parche? \u00bfCubre todas las versiones del software vulnerables y cu\u00e1les son los posibles efectos secundarios de aplicarlo?<\/li>\n<li>\u00bfLa organizaci\u00f3n deber\u00eda abordar la vulnerabilidad? \u00bfO afecta a un servicio en la nube (SaaS) donde el proveedor reparar\u00e1 autom\u00e1ticamente los defectos?<\/li>\n<li>\u00bfHay indicios de explotaci\u00f3n en el mundo real?<\/li>\n<li>Si no hay ninguno, \u00bfcu\u00e1l es la probabilidad de que los atacantes aprovechen esta vulnerabilidad en el futuro?<\/li>\n<li>\u00bfQu\u00e9 sistemas espec\u00edficos dentro de su organizaci\u00f3n son vulnerables?<\/li>\n<li>\u00bfLa explotaci\u00f3n es pr\u00e1cticamente accesible para un atacante? Por ejemplo, un sistema podr\u00eda ser un servidor web corporativo accesible para cualquier persona en l\u00ednea, o podr\u00eda ser una impresora vulnerable conectada f\u00edsicamente a un \u00fanico ordenador que no tenga acceso a la red. Un ejemplo m\u00e1s complejo podr\u00eda ser una vulnerabilidad en el m\u00e9todo de un componente de software, donde la aplicaci\u00f3n empresarial espec\u00edfica que usa ese componente nunca llama al m\u00e9todo.<\/li>\n<li>\u00bfQu\u00e9 pasar\u00eda si los sistemas vulnerables se vieran comprometidos?<\/li>\n<li>\u00bfCu\u00e1l es el coste financiero de un evento as\u00ed para la empresa?<\/li>\n<\/ul>\n<p>Todos estos factores influyen considerablemente en la decisi\u00f3n de cu\u00e1ndo y c\u00f3mo reparar una vulnerabilidad, o incluso si la reparaci\u00f3n es necesaria.<\/p>\n<h2>\u00bfC\u00f3mo modificar el CVSS? \u00a1La RBVM tiene la respuesta!<\/h2>\n<p>Muchos factores que a menudo son dif\u00edciles de tener en cuenta dentro de los l\u00edmites del CVSS son fundamentales para un enfoque popular conocido como Gesti\u00f3n de vulnerabilidades basada en riesgos (RBVM, por sus siglas en ingl\u00e9s).<\/p>\n<p>La RBVM es un proceso hol\u00edstico y c\u00edclico, con varias fases clave que se repiten regularmente:<\/p>\n<ul>\n<li>Inventariar todos los activos de TI de tu empresa. Esto incluye todo, desde ordenadores, servidores y software, hasta servicios en la nube y dispositivos de IoT.<\/li>\n<li>Priorizar los activos seg\u00fan su importancia, identificando tus joyas de la corona.<\/li>\n<li>Analizar los activos en busca de vulnerabilidades conocidas.<\/li>\n<li>Enriquecer de los datos de vulnerabilidad. Esto incluye refinar las puntuaciones del CVSS-B y del CVSS-BT, incorporar inteligencia sobre amenazas y evaluar la probabilidad de explotaci\u00f3n. Dos herramientas populares para medir la explotabilidad son <a href=\"https:\/\/www.first.org\/epss\/data_stats.html\" target=\"_blank\" rel=\"noopener nofollow\">EPSS<\/a> (otra puntuaci\u00f3n de FIRST que proporciona un porcentaje de probabilidad de explotaci\u00f3n en el mundo real para la mayor\u00eda de las vulnerabilidades) y consultar bases de datos como <a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener nofollow\">CISA KEV<\/a>, que contiene informaci\u00f3n sobre las vulnerabilidades que los atacantes est\u00e1n explotando activamente.<\/li>\n<li>Definir el contexto empresarial: comprender el impacto potencial de un exploit en sistemas vulnerables, teniendo en cuenta sus configuraciones y c\u00f3mo se utilizan dentro de tu organizaci\u00f3n.<\/li>\n<li>Determinar c\u00f3mo se puede neutralizar la vulnerabilidad mediante parches o medidas compensatorias.<\/li>\n<li>La parte m\u00e1s emocionante: evaluar el riesgo empresarial y establecer prioridades en funci\u00f3n de todos los datos recopilados. Se priorizan las vulnerabilidades con mayor probabilidad de explotaci\u00f3n y un posible impacto significativo en tus activos clave de TI. Para clasificar las vulnerabilidades, puedes calcular el CVSS-BTE, incorporando todos los datos recopilados en el componente Ambiental, o utilizar metodolog\u00edas de clasificaci\u00f3n alternativas. Los aspectos regulatorios tambi\u00e9n influyen en la priorizaci\u00f3n.<\/li>\n<li>Establecer plazos para la resoluci\u00f3n de cada vulnerabilidad seg\u00fan su nivel de riesgo y consideraciones operativas, como el momento m\u00e1s conveniente para las actualizaciones. Si no hay actualizaciones o parches disponibles, o si tu implementaci\u00f3n introduce nuevos riesgos y complejidades, adopta medidas compensatorias en lugar de una remediaci\u00f3n directa. A veces, el coste de reparar una vulnerabilidad supera el riesgo que representa, y se puede tomar la decisi\u00f3n de no repararla en absoluto. En esos casos, la empresa acepta conscientemente los riesgos de que se explote la vulnerabilidad.<\/li>\n<\/ul>\n<p>Adem\u00e1s de lo que hemos comentado, es fundamental analizar peri\u00f3dicamente el panorama de vulnerabilidades y la infraestructura de TI de tu empresa. Despu\u00e9s de este an\u00e1lisis, tienes que introducir medidas de ciberseguridad que impidan que se exploten clases enteras de vulnerabilidades o que mejoren considerablemente la seguridad general de sistemas de TI espec\u00edficos. Estas medidas pueden incluir la microsegmentaci\u00f3n de la red, la implementaci\u00f3n con privilegios m\u00ednimos y la adopci\u00f3n de pol\u00edticas de gesti\u00f3n de cuentas m\u00e1s estrictas.<\/p>\n<p>Un proceso de RBVM implementado correctamente reduce dr\u00e1sticamente la carga sobre los equipos de TI y de seguridad. Dedican su tiempo de forma m\u00e1s eficaz, ya que sus esfuerzos se dirigen principalmente a los fallos que suponen una amenaza real para la empresa. Para comprender la magnitud de estas mejoras en eficiencia y ahorros de recursos, considera este <a href=\"https:\/\/www.first.org\/epss\/model\" target=\"_blank\" rel=\"noopener nofollow\">estudio de FIRST<\/a>. Priorizar las vulnerabilidades usando solo el EPSS te permite concentrarte en solo el 3\u00a0% de las vulnerabilidades al tiempo que logras un 65% de eficiencia. En cambio, priorizar seg\u00fan el CVSS-B requiere abordar la friolera de un 57\u00a0% de las vulnerabilidades con una pobre efectividad del 4\u00a0%. Aqu\u00ed, \u201ceficiencia\u201d hace referencia a remediar con \u00e9xito las vulnerabilidades que realmente se han explotado en entornos reales.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Causas de las discrepancias en las puntuaciones del Sistema com\u00fan de puntuaci\u00f3n de vulnerabilidades (CVSS, por sus siglas en ingl\u00e9s), errores comunes al usar el CVSS para priorizar vulnerabilidades y c\u00f3mo hacerlo correctamente.<\/p>\n","protected":false},"author":2722,"featured_media":28340,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3565,6039,5423,1015,341,647],"class_list":{"0":"post-28339","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ciso","9":"tag-cvss","10":"tag-estrategia","11":"tag-parches","12":"tag-tips-2","13":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/28339\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cvss-rbvm-vulnerability-management\/29225\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/24403\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/12606\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cvss-rbvm-vulnerability-management\/29236\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cvss-rbvm-vulnerability-management\/31177\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cvss-rbvm-vulnerability-management\/29856\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cvss-rbvm-vulnerability-management\/40090\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cvss-rbvm-vulnerability-management\/13591\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/53912\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cvss-rbvm-vulnerability-management\/22997\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cvss-rbvm-vulnerability-management\/24033\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cvss-rbvm-vulnerability-management\/32454\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cvss-rbvm-vulnerability-management\/29382\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cvss-rbvm-vulnerability-management\/35159\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cvss-rbvm-vulnerability-management\/34799\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28339"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28339\/revisions"}],"predecessor-version":[{"id":28356,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28339\/revisions\/28356"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28340"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}