Hacking ONESEC

¡Contáctanos!

Guía Completa CVSS v3.1: Cómo Evaluar Vulnerabilidades de Seguridad en 2025 (Parte 2) 

Oscar Flores

·

·

, ,

Ejemplo Práctico: Análisis CVSS del CVE-2019-0708 (BlueKeep)

A continuación, analizaremos una vulnerabilidad considerada incluso más grave que la utilizada por WannaCry (CVE-2017-0143), lo cual resulta notable considerando que WannaCry fue uno de los incidentes de ciberseguridad más devastadores.

BlueKeep (CVE-2019-0708) es una vulnerabilidad crítica de ejecución remota de código en el protocolo RDP de Microsoft Windows que permitía tomar control completo de un equipo. Este ejemplo demuestra cómo utilizar la calculadora del CVSS v3.1.

Cálculo paso a paso del Score CVSS v3.1

El primer paso es ingresar a: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator . En esta página se encuentra una implementación pública de la calculadora del CVSSv3.1.

Para cada una de las métricas base seleccionaremos los valores como muestra en la imagen inferior, en color verde se han incluido notas para indicar por qué se ha elegido el valor en cuestión:

Calculadora CVSSv3.1 BlueKeep Se puede explotar desde internet (routeable) Sin condiciones complejas para su explotación No requiere autenticación previa No requiere acciones adicionales de un usuario El impacto se mantiene en el sistema objetivo Al obtener máximos privilegios en el sistema, la confidencialidad, integridad y disponibilidad se compromete completamente. Un atacante puede acceder a toda la información del sistema para su lectura, modificación o eliminación.

Una vez seleccionados valores para las 8 métricas del CVSS se actualizan las gráficas. Además, se observa el valor base de la severidad de la vulnerabilidad (CVSS Base Score) 9.8. Adicionalmente se genera una cadena conocida como el vector CVSS, que es una versión comprimida de las métricas y sus respectivos valores, representados por sus iniciales. El vector es la forma más comun de compartir los criterios usados por un investigador al evaluar el impacto de una vulnerabilidad. En la imagen inferior se pueden apreciar el score y el vector enmarcados en recuadros de color amarillo.

Vector CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Score Final: 9.8 (Crítico)

Score y Vector CVSSv3.1 BlueKeep

Cómo Interpretar los Scores del CVSS v3.1: Clasificación de Severidad

Los scores CVSS v3.1 se clasifican en cinco niveles estándar de severidad para vulnerabilidades y en la siguiente tabla propongo una interpretación práctica ante el score CVSS v3.1 obtenido:

Score CVSS e interpretacion practica Severidad técnica máxima Vulnerabilidades extremadamente graves Fáciles de explotar, a menudo de forma remota sin autenticación Impacto completo en los sistemas afectados Requieren remediación inmediata Severidad técnica alta Vulnerabilidades serias que requieren atención prioritaria Relativamente fáciles de explotar Impacto significativo en confidencialidad, integridad o disponibilidad Deben remediarse rápidamente Severidad técnica moderada Vulnerabilidades moderadas que requieren atención Pueden tener algunas barreras para la explotación pero son factibles Impacto parcial en los sistemas Deberían programarse para remediación en un plazo razonable Severidad técnica baja Típicamente requieren condiciones específicas difíciles de cumplir Impacto limitado en confidencialidad, integridad o disponibilidad Pueden abordarse durante actualizaciones rutinarias Sin impacto en términos de confidencialidad, integridad o disponibilidad. El impacto es nulo Generalmente no requiere acción

CVSS v3.1: Herramienta Esencial para Profesionales de Ciberseguridad

CVSS v3.1 no es sólo un sistema de puntuación; representa el estándar internacional para comunicar severidad técnica de vulnerabilidades en ciberseguridad. Un score de 9.8 como el del CVE-2019-0708 (BlueKeep) comunica inmediatamente la severidad técnica a equipos de IT, gerencia y stakeholders de seguridad.

Mejores Prácticas para Implementar CVSS v3.1:

  • Utilizar CVSS para documentar severidad técnica en reportes de vulnerabilidades
  • Combinar scores CVSS con evaluación contextual del entorno organizacional específico
  • Distinguir claramente entre severidad técnica alta y riesgo organizacional alto
  • Integrar CVSS v3.1 en procesos formales de gestión de vulnerabilidades

Conclusión

Dominar CVSS v3.1 proporciona datos técnicos objetivos esenciales para análisis de riesgos en ciberseguridad, pero requiere interpretación contextual para determinar prioridades reales. Esta competencia mejora significativamente la precisión en comunicaciones de seguridad informática y gestión de vulnerabilidades organizacional.

Leer parte 1 de la guía

Referencias:

  1. https://nvd.nist.gov/vuln/detail/cve-2019-0708 – NVD – Recuperado el 14 de agosto de 2025
  2. https://www.first.org/cvss/v3.1/specification-document – FIRST – Recuperado el 14 de agosto de 2025
  3. https://www.first.org/cvss/calculator/3.1 – FIRST – Recuperado el 14 de agosto de 2025
  4. https://www.cve.org/ – NIST (National Institute of Standards and Technology) – Recuperado el 14 de agosto de 2025
  5. https://cve.mitre.org/ – MITRE – Recuperado el 14 de agosto de 2025
  6. https://www.first.org/cvss/v4.0/specification-document – FIRST – Recuperado el 14 de agosto de 2025

Oscar Flores

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied