enespt-br
Glossary

CVE (Vulnerabilidades y Exposiciones Comunes)

Un identificador estandarizado para vulnerabilidades de software públicamente divulgadas, asignado y rastreado por la NVD (Base de Datos Nacional de Vulnerabilidades).

Definición

Un CVE (Vulnerabilidades y Exposiciones Comunes) es un identificador único para un defecto de seguridad públicamente divulgado en software o hardware. Los IDs de CVE siguen el formato CVE-YYYY-NNNN, donde YYYY es el año de divulgación y NNNN es un número de secuencia.

Ejemplo: CVE-2023-12345 es un defecto específico asignado en 2023.

Por Qué Importan los CVE

Los CVE habilitan comunicación estandarizada sobre vulnerabilidades:

  • Rastreo – Las organizaciones pueden rastrear si sus sistemas se ven afectados
  • Priorización – Los parches se lanzan en orden de severidad
  • Coordinación – Proveedores, investigadores y defensores utilizan la misma referencia
  • Inteligencia – La inteligencia de amenazas puede vincular ataques a CVE específicos

Detalles del CVE

Cada CVE incluye:

  • ID del CVE – Identificador único
  • Descripción – Qué es la vulnerabilidad y su impacto
  • Puntuación CVSS – Calificación de severidad (0-10)
  • Software Afectado – Qué versiones de qué productos son vulnerables
  • Referencias – Enlaces a parches de proveedores y detalles técnicos
  • Estado – Sin parche, parcialmente parcheado o parcheado

Ciclo de Vida del CVE

  1. Descubrimiento – Un investigador encuentra una vulnerabilidad
  2. Divulgación Responsable – El investigador contacta al proveedor
  3. Desarrollo de Parche del Proveedor – El proveedor desarrolla y prueba una corrección
  4. Asignación de CVE – Se asigna un ID de CVE
  5. Divulgación Pública – Se lanzan detalles; el parche está disponible
  6. Explotación Pública – Los atacantes desarrollan herramientas para explotar la vulnerabilidad

El tiempo entre la divulgación y la explotación puede variar de días a meses.

Severidad y Priorización del CVE

No todos los CVE son igualmente críticos:

  • CVSS 9-10 (Crítico) – Se necesita parcheado inmediato
  • CVSS 7-8.9 (Alto) – Parche dentro de días o semanas
  • CVSS 4-6.9 (Medio) – Parche dentro de semanas o meses
  • CVSS 0-3.9 (Bajo) – Prioridad más baja

Sin embargo, el contexto de amenaza importa más que las puntuaciones CVSS. Un CVE de severidad media explotado por actores de amenaza activos puede ser más urgente que un CVE crítico que aún no se ha explotado públicamente.

Ejemplo del Mundo Real

CVE-2023-34960 (Crítico):

  • Vulnerabilidad en software de servidor web ampliamente utilizado
  • Puntuación CVSS: 9.8 (Crítico)
  • Parche lanzado inmediatamente
  • Los actores de amenaza explotan activamente dentro de 48 horas
  • Las organizaciones deben parchar urgentemente

Las organizaciones que priorizan solo por CVSS parchearán este CVE inmediatamente, correctamente.

CVE-2023-10001 (Crítico):

  • Vulnerabilidad en software empresarial de nicho
  • Puntuación CVSS: 9.6 (Crítico)
  • Parche lanzado
  • Sin actores de amenaza desarrollando exploits
  • El panorama de amenazas favorece otras vulnerabilidades

Las organizaciones que priorizan solo por CVSS parchearán esto igualmente urgentemente, lo que desperdicia recursos cuando CVE-2023-34960 se está explotando activamente.

Mejor Priorización: CVSS + Contexto de Amenaza

La gestión moderna de vulnerabilidades combina:

  1. Puntuación CVSS – Severidad técnica
  2. Contexto de amenaza – ¿Se está explotando este CVE?
  3. Criticidad del activo – ¿Qué tan importante es el sistema afectado?
  4. Explotabilidad – ¿Qué tan fácil es de explotar?
  5. Impacto comercial – ¿Cuánto costaría el compromiso de este activo?

Por esto threats.report prioriza CVE no solo por CVSS, sino por actividad de explotación en el mundo real.

Ver También

Related Terms

VulnerabilidadCVSS