{"id":824,"date":"2025-08-01T06:00:00","date_gmt":"2025-08-01T12:00:00","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=824"},"modified":"2025-08-15T00:41:09","modified_gmt":"2025-08-15T06:41:09","slug":"guia-completa-cvss-v3-1-como-evaluar-vulnerabilidades-de-seguridad-en-2025","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2025\/08\/guia-completa-cvss-v3-1-como-evaluar-vulnerabilidades-de-seguridad-en-2025\/","title":{"rendered":"Gu\u00eda Completa CVSS v3.1: C\u00f3mo Evaluar Vulnerabilidades de Seguridad en 2025 (Parte 1)"},"content":{"rendered":"\n<p>En el mundo de la ciberseguridad, entender la verdadera amenaza de una vulnerabilidad es crucial. \u00bfPero c\u00f3mo saber si una vulnerabilidad es cr\u00edtica o media? La respuesta reside en <strong>CVSS (Common Vulnerability Scoring System)<\/strong>, el est\u00e1ndar de facto que los profesionales de TI y ciberseguridad usan globalmente para evaluar la severidad t\u00e9cnica de las vulnerabilidades. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 es CVSS?<\/h2>\n\n\n\n<p>CVSS en su versi\u00f3n 3.1 es una calculadora de severidad que transforma caracter\u00edsticas t\u00e9cnicas espec\u00edficas de una vulnerabilidad en un puntaje num\u00e9rico que va del 0 al 10. Este score indica cu\u00e1n t\u00e9cnicamente severa es la vulnerabilidad. Instituciones como <strong>NIST<\/strong>, equipos de respuesta a incidentes y proveedores de software utilizan este sistema para clasificar las <strong>CVE<\/strong> (Common Vulnerabilities and Exposures) en funci\u00f3n de su criticidad t\u00e9cnica.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Severidad t\u00e9cnica vs. riesgo<\/h3>\n\n\n\n<p>Es importante destacar que <strong>CVSS mide la severidad t\u00e9cnica<\/strong>, no el riesgo organizacional completo. Para comprender el riesgo real, se requiere considerar el <strong>contexto espec\u00edfico<\/strong> de cada organizaci\u00f3n: los activos afectados, su criticidad y los controles de seguridad implementados y sobre todo realizar un an\u00e1lisis de riesgos basado en una metolog\u00eda.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Por ejemplo, una vulnerabilidad con CVSS 9.0 en un sistema aislado podr\u00eda representar menos riesgo real que una vulnerabilidad CVSS 6.0 en servidores de producci\u00f3n expuestos a internet.<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfPor qu\u00e9 es importante dominar el CVSS?<\/h3>\n\n\n\n<p>Para profesionales de TI y especialistas en ciberseguridad, entender a fondo CVSS permite:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Comunicar la gravedad t\u00e9cnica de manera efectiva.<\/li>\n\n\n\n<li>Justificar inversiones en controles y mitigaciones.<\/li>\n\n\n\n<li>Proporcionar datos objetivos para evaluaciones de riesgo m\u00e1s amplias.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfQu\u00e9 versi\u00f3n de CVSS se usa actualmente?<\/h3>\n\n\n\n<p>Aunque <strong>CVSS 4.0<\/strong> fue publicado, <strong>CVSS 3.1 sigue siendo el est\u00e1ndar dominante<\/strong> a nivel global. Esto se debe a que:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La mayor\u00eda de las organizaciones a\u00fan usan CVSS 3.1 como referencia principal.<\/li>\n\n\n\n<li>El <strong>National Vulnerability Database (NVD)<\/strong> no ha adoptado oficialmente CVSS 4.0 para nuevos CVEs.<\/li>\n\n\n\n<li>Aunque se esperaba la adopci\u00f3n en la primera mitad de 2025, <strong>no hay confirmaci\u00f3n oficial<\/strong> al momento de escribir este art\u00edculo.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Las m\u00e9tricas del CVSS v3.1<\/h2>\n\n\n\n<p>CVSS v3.1 utiliza <strong>tres tipos de m\u00e9tricas<\/strong> para evaluar una vulnerabilidad:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>M\u00e9tricas base<\/strong>: describen las propiedades t\u00e9cnicas fundamentales de la vulnerabilidad (son invariables en todos los entornos).<\/li>\n\n\n\n<li><strong>M\u00e9tricas temporales<\/strong>: reflejan factores que pueden cambiar con el tiempo, como la disponibilidad de exploits o la existencia de parches.<\/li>\n\n\n\n<li><strong>M\u00e9tricas del entorno (contextuales)<\/strong>: permiten adaptar el score al entorno organizacional espec\u00edfico, considerando la importancia de los activos afectados.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En esta publicaci\u00f3n nos centraremos \u00fanicamente en las m\u00e9tricas base<\/strong>, ya que constituyen el punto de partida t\u00e9cnico para comprender la severidad de una vulnerabilidad.<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">M\u00e9tricas base del CVSS v3.1<\/h3>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-v3.1-1024x576.jpg\" alt=\"\" class=\"wp-image-935\" srcset=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-v3.1-1024x576.jpg 1024w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-v3.1-300x169.jpg 300w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-v3.1-768x432.jpg 768w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-v3.1-1536x864.jpg 1536w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-v3.1.jpg 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<div class=\"wp-block-file aligncenter\"><a id=\"wp-block-file--media-441ba3cf-8c8e-4de1-8983-935c2fae2a6a\" href=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-HQ.png\">Infograf\u00eda de M\u00e9tricas Base del CVSS (Alta Calidad)<\/a><a href=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/07\/Metricas-Base-del-CVSS-HQ.png\" class=\"wp-block-file__button wp-element-button\" download aria-describedby=\"wp-block-file--media-441ba3cf-8c8e-4de1-8983-935c2fae2a6a\">Descargar<\/a><\/div>\n\n\n\n<p>La imagen anterior presenta de manera concisa y visual las 8 m\u00e9tricas base del CVSS v3.1, junto con los posibles valores que cada una puede adoptar. Para una comprensi\u00f3n m\u00e1s detallada, la siguiente tabla explica a qu\u00e9 criterio responde cada m\u00e9trica y los valores espec\u00edficos que puede tomar. <\/p>\n\n\n\n<figure class=\"wp-block-table is-style-regular\" style=\"font-size:12px\"><table class=\"has-border-color has-secondary-border-color\" style=\"border-width:1px\"><thead><tr><th>M\u00e9trica<\/th><th><strong>Valor que se puede asignar a esta m\u00e9trica<\/strong><\/th><\/tr><\/thead><tbody><tr><td><strong>1. Vector de Acceso (AV)<\/strong><br>\u00bfDesde d\u00f3nde debe iniciar un ataque el adversario?<\/td><td><strong>Network (N)<\/strong>: Accesible desde internet o redes remotas, el objetivo es routeable.<br><strong>Adjacent (A)<\/strong>: Requiere estar en la misma red local, el objetivo esta en el mismo segmento de red.<br><strong>Local (L)<\/strong>: Necesita acceso f\u00edsico o local al sistema, por ejemplo sesi\u00f3n activa por RDP o SSH.<br><strong>Physical (P)<\/strong>: Requiere interacci\u00f3n directa con el hardware.<br><br><em>Nota acerca de la diferencia entre los valores &#8220;Network&#8221; y &#8220;Adjacent&#8221;: <br>Una vulnerabilidad tiene como vector de acceso &#8220;Adjacent&#8221; si se explota dentro del mismo segmento de red.<br>Una vulnerabilidad tiene como vector de acceso &#8220;Network&#8221; si los paquetes para explotar la vulnerabilidad tienen que pasar por uno o m\u00e1s routers.<\/em>                                                                        <\/td><\/tr><tr><td><strong>2. Complejidad del Ataque (AC)<\/strong><br>\u00bfEs dific\u00edl explotar la vulnerabilidad?<\/td><td><strong>Low (L)<\/strong>: F\u00e1cil de explotar, sin condiciones especiales.<br><strong>High (H)<\/strong>: Requiere condiciones espec\u00edficas o conocimientos avanzados.<\/td><\/tr><tr><td><strong>3. Privilegios Requeridos (PR)<\/strong><br>\u00bfSe requiere un usuario antes de explotar.?<\/td><td><strong>None (N)<\/strong>: No requiere autenticaci\u00f3n previa.<br><strong>Low (L)<\/strong>: Privilegios b\u00e1sicos de usuario.<br><strong>High (H)<\/strong>: Acceso administrativo o avanzado<\/td><\/tr><tr><td><strong>4. Interacci\u00f3n del Usuario (UI)<\/strong><br>\u00bfSe necesita que el usuario realice alguna acci\u00f3n?<\/td><td><strong>None (N)<\/strong>: La explotaci\u00f3n es autom\u00e1tica.<br><strong>Required (R)<\/strong>: Requiere acci\u00f3n del usuario (como hacer clic o descargar).<\/td><\/tr><tr><td><strong>5. Scope (S)<\/strong><br>\u00bfEl impacto trasciende el componente vulnerable?<\/td><td><strong>Unchanged (U):<\/strong> El da\u00f1o se limita al componente afectado.<br><strong>Changed (C):<\/strong> El atacante puede comprometer otros recursos m\u00e1s all\u00e1 del componente original.<br><br><em>Ejemplo pr\u00e1ctico de Scope:<br>Una vulnerabilidad en una aplicaci\u00f3n web que solo permite leer archivos de esa aplicaci\u00f3n = Unchanged<br>La misma vulnerabilidad que permite ejecutar comandos en el sistema operativo subyacente = Changed<\/em><\/td><\/tr><tr><td><strong>6. Impacto a la Confidencialidad (C)<\/strong><br><strong>7. Impacto a la Integridad (I)<\/strong><br><strong>8. Impacto a la Disponibilidad (A)<\/strong><br>\u00bfAfecta a la confidencialidad, integridad o a la disponibilidad de la informaci\u00f3n?<\/td><td>Cada uno se valora como:<br><strong>None (N)<\/strong>: Sin impacto.<br><strong>Low (L)<\/strong>: Impacto limitado.<br><strong>High (H)<\/strong>: Impacto significativo o total.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusi\u00f3n<\/h2>\n\n\n\n<p>Entender CVSS es fundamental, pero recuerda que es solo una pieza del rompecabezas. La evaluaci\u00f3n de riesgos completa siempre debe considerar el <strong>contexto \u00fanico de tu organizaci\u00f3n<\/strong>. Un score alto de CVSS te alerta sobre la severidad t\u00e9cnica, pero tu equipo de ciberseguridad es quien debe determinar la <strong>prioridad real<\/strong> en funci\u00f3n de tus activos, tus operaciones y tu postura de seguridad.<\/p>\n\n\n\n<p>En nuestra pr\u00f3xima publicaci\u00f3n, analizaremos un <strong>ejemplo pr\u00e1ctico<\/strong> de una vulnerabilidad, calcularemos su puntuaci\u00f3n CVSS y, lo m\u00e1s importante, te mostraremos <strong>c\u00f3mo interpretar estos datos<\/strong>.<\/p>\n\n\n\n<p>Si quieres empezar a utilizar la calculadora, puedes hacerlo en la siguiente liga: <a href=\"https:\/\/www.first.org\/cvss\/calculator\/3-1\">Common Vulnerability Scoring System Version 3.1 Calculatorhttps:\/\/www.first.org\/cvss\/calculator\/3-1<\/a><\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-a89b3969 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/hacking.onesec.mx\/index.php\/2025\/08\/guia-completa-cvss-v3-1-como-evaluar-vulnerabilidades-de-seguridad-en-2025-parte-2\/\">Leer parte 2 de la gu\u00eda<\/a><\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Referencias:<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.first.org\/cvss\/v3.1\/specification-document\">https:\/\/www.first.org\/cvss\/v3.1\/specification-document<\/a> &#8211; FIRST &#8211; Recuperado el 31 de julio de 2025<\/li>\n\n\n\n<li><a href=\"https:\/\/www.first.org\/cvss\/calculator\/3.1\">https:\/\/www.first.org\/cvss\/calculator\/3.1<\/a> &#8211; FIRST &#8211; Recuperado el 31 de julio de 2025<\/li>\n\n\n\n<li><a href=\"https:\/\/www.cve.org\/\">https:\/\/www.cve.org\/<\/a> &#8211; NIST (National Institute of Standards and Technology) &#8211; Recuperado el 31 de julio de 2025<\/li>\n\n\n\n<li><a href=\"https:\/\/cve.mitre.org\/\">https:\/\/cve.mitre.org\/<\/a> &#8211; MITRE &#8211; Recuperado el 31 de julio de 2025<\/li>\n\n\n\n<li><a href=\"https:\/\/www.first.org\/cvss\/v4.0\/specification-document\">https:\/\/www.first.org\/cvss\/v4.0\/specification-document<\/a> &#8211; FIRST &#8211; Recuperado el 31 de julio de 2025<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>En el mundo de la ciberseguridad, entender la verdadera amenaza de una vulnerabilidad es crucial. \u00bfPero c\u00f3mo saber si una vulnerabilidad es cr\u00edtica o media? La respuesta reside en CVSS (Common Vulnerability Scoring System), el est\u00e1ndar de facto que los profesionales de TI y ciberseguridad usan globalmente para evaluar la severidad t\u00e9cnica de las vulnerabilidades. [&hellip;]<\/p>\n","protected":false},"author":6,"featured_media":831,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,4,5],"tags":[],"class_list":["post-824","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-pentest-2","category-pentest","category-seguridad-de-la-informacion"],"_links":{"self":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/comments?post=824"}],"version-history":[{"count":17,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/824\/revisions"}],"predecessor-version":[{"id":1039,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/824\/revisions\/1039"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media\/831"}],"wp:attachment":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media?parent=824"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/categories?post=824"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/tags?post=824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}