Hacking ONESEC

¡Contactanos!

Guía Completa CVSS v3.1: Cómo Evaluar Vulnerabilidades de Seguridad en 2025 (Parte 1)

Oscar Flores

·

·

, ,

En el mundo de la ciberseguridad, entender la verdadera amenaza de una vulnerabilidad es crucial. ¿Pero cómo saber si una vulnerabilidad es crítica o media? La respuesta reside en CVSS (Common Vulnerability Scoring System), el estándar de facto que los profesionales de TI y ciberseguridad usan globalmente para evaluar la severidad técnica de las vulnerabilidades.

¿Qué es CVSS?

CVSS en su versión 3.1 es una calculadora de severidad que transforma características técnicas específicas de una vulnerabilidad en un puntaje numérico que va del 0 al 10. Este score indica cuán técnicamente severa es la vulnerabilidad. Instituciones como NIST, equipos de respuesta a incidentes y proveedores de software utilizan este sistema para clasificar las CVE (Common Vulnerabilities and Exposures) en función de su criticidad técnica.

Severidad técnica vs. riesgo

Es importante destacar que CVSS mide la severidad técnica, no el riesgo organizacional completo. Para comprender el riesgo real, se requiere considerar el contexto específico de cada organización: los activos afectados, su criticidad y los controles de seguridad implementados y sobre todo realizar un análisis de riesgos basado en una metología.

Por ejemplo, una vulnerabilidad con CVSS 9.0 en un sistema aislado podría representar menos riesgo real que una vulnerabilidad CVSS 6.0 en servidores de producción expuestos a internet.

¿Por qué es importante dominar el CVSS?

Para profesionales de TI y especialistas en ciberseguridad, entender a fondo CVSS permite:

  • Comunicar la gravedad técnica de manera efectiva.
  • Justificar inversiones en controles y mitigaciones.
  • Proporcionar datos objetivos para evaluaciones de riesgo más amplias.

¿Qué versión de CVSS se usa actualmente?

Aunque CVSS 4.0 fue publicado, CVSS 3.1 sigue siendo el estándar dominante a nivel global. Esto se debe a que:

  • La mayoría de las organizaciones aún usan CVSS 3.1 como referencia principal.
  • El National Vulnerability Database (NVD) no ha adoptado oficialmente CVSS 4.0 para nuevos CVEs.
  • Aunque se esperaba la adopción en la primera mitad de 2025, no hay confirmación oficial al momento de escribir este artículo.

Las métricas del CVSS v3.1

CVSS v3.1 utiliza tres tipos de métricas para evaluar una vulnerabilidad:

  • Métricas base: describen las propiedades técnicas fundamentales de la vulnerabilidad (son invariables en todos los entornos).
  • Métricas temporales: reflejan factores que pueden cambiar con el tiempo, como la disponibilidad de exploits o la existencia de parches.
  • Métricas del entorno (contextuales): permiten adaptar el score al entorno organizacional específico, considerando la importancia de los activos afectados.

En esta publicación nos centraremos únicamente en las métricas base, ya que constituyen el punto de partida técnico para comprender la severidad de una vulnerabilidad.

Métricas base del CVSS v3.1

Infografía de Métricas Base del CVSS (Alta Calidad)Descargar

La imagen anterior presenta de manera concisa y visual las 8 métricas base del CVSS v3.1, junto con los posibles valores que cada una puede adoptar. Para una comprensión más detallada, la siguiente tabla explica a qué criterio responde cada métrica y los valores específicos que puede tomar.

MétricaValor que se puede asignar a esta métrica
1. Vector de Acceso (AV)
¿Desde dónde debe iniciar un ataque el adversario?		Network (N): Accesible desde internet o redes remotas, el objetivo es routeable.
Adjacent (A): Requiere estar en la misma red local, el objetivo esta en el mismo segmento de red.
Local (L): Necesita acceso físico o local al sistema, por ejemplo sesión activa por RDP o SSH.
Physical (P): Requiere interacción directa con el hardware.

Nota acerca de la diferencia entre los valores “Network” y “Adjacent”:
Una vulnerabilidad tiene como vector de acceso “Adjacent” si se explota dentro del mismo segmento de red.
Una vulnerabilidad tiene como vector de acceso “Network” si los paquetes para explotar la vulnerabilidad tienen que pasar por uno o más routers.
2. Complejidad del Ataque (AC)
¿Es dificíl explotar la vulnerabilidad?		Low (L): Fácil de explotar, sin condiciones especiales.
High (H): Requiere condiciones específicas o conocimientos avanzados.
3. Privilegios Requeridos (PR)
¿Se requiere un usuario antes de explotar.?		None (N): No requiere autenticación previa.
Low (L): Privilegios básicos de usuario.
High (H): Acceso administrativo o avanzado
4. Interacción del Usuario (UI)
¿Se necesita que el usuario realice alguna acción?		None (N): La explotación es automática.
Required (R): Requiere acción del usuario (como hacer clic o descargar).
5. Scope (S)
¿El impacto trasciende el componente vulnerable?		Unchanged (U): El daño se limita al componente afectado.
Changed (C): El atacante puede comprometer otros recursos más allá del componente original.

Ejemplo práctico de Scope:
Una vulnerabilidad en una aplicación web que solo permite leer archivos de esa aplicación = Unchanged
La misma vulnerabilidad que permite ejecutar comandos en el sistema operativo subyacente = Changed
6. Impacto a la Confidencialidad (C)
7. Impacto a la Integridad (I)
8. Impacto a la Disponibilidad (A)
¿Afecta a la confidencialidad, integridad o a la disponibilidad de la información?		Cada uno se valora como:
None (N): Sin impacto.
Low (L): Impacto limitado.
High (H): Impacto significativo o total.

Conclusión

Entender CVSS es fundamental, pero recuerda que es solo una pieza del rompecabezas. La evaluación de riesgos completa siempre debe considerar el contexto único de tu organización. Un score alto de CVSS te alerta sobre la severidad técnica, pero tu equipo de ciberseguridad es quien debe determinar la prioridad real en función de tus activos, tus operaciones y tu postura de seguridad.

En nuestra próxima publicación, analizaremos un ejemplo práctico de una vulnerabilidad, calcularemos su puntuación CVSS y, lo más importante, te mostraremos cómo interpretar estos datos.

Si quieres empezar a utilizar la calculadora, puedes hacerlo en la siguiente liga: Common Vulnerability Scoring System Version 3.1 Calculatorhttps://www.first.org/cvss/calculator/3-1

Referencias:

  1. https://www.first.org/cvss/v3.1/specification-document – FIRST – Recuperado el 31 de julio de 2025
  2. https://www.first.org/cvss/calculator/3.1 – FIRST – Recuperado el 31 de julio de 2025
  3. https://www.cve.org/ – NIST (National Institute of Standards and Technology) – Recuperado el 31 de julio de 2025
  4. https://cve.mitre.org/ – MITRE – Recuperado el 31 de julio de 2025
  5. https://www.first.org/cvss/v4.0/specification-document – FIRST – Recuperado el 31 de julio de 2025

Oscar Flores

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied