{"id":878,"date":"2025-08-15T06:00:00","date_gmt":"2025-08-15T12:00:00","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=878"},"modified":"2025-08-15T00:40:30","modified_gmt":"2025-08-15T06:40:30","slug":"guia-completa-cvss-v3-1-como-evaluar-vulnerabilidades-de-seguridad-en-2025-parte-2","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2025\/08\/guia-completa-cvss-v3-1-como-evaluar-vulnerabilidades-de-seguridad-en-2025-parte-2\/","title":{"rendered":"Gu\u00eda Completa CVSS v3.1: C\u00f3mo Evaluar Vulnerabilidades de Seguridad en 2025 (Parte 2)\u00a0"},"content":{"rendered":"\n

Ejemplo Pr\u00e1ctico: An\u00e1lisis CVSS del CVE-2019-0708 (BlueKeep)<\/h2>\n\n\n\n

A continuaci\u00f3n, analizaremos una vulnerabilidad considerada incluso m\u00e1s grave que la utilizada por WannaCry (CVE-2017-0143), lo cual resulta notable considerando que WannaCry fue uno de los incidentes de ciberseguridad m\u00e1s devastadores. <\/p>\n\n\n\n

BlueKeep (CVE-2019-0708)<\/strong> es una vulnerabilidad cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo en el protocolo RDP de Microsoft Windows que permit\u00eda tomar control completo de un equipo. Este ejemplo demuestra c\u00f3mo utilizar la calculadora del CVSS v3.1.<\/p>\n\n\n\n

C\u00e1lculo paso a paso del Score CVSS v3.1<\/h3>\n\n\n\n

El primer paso es ingresar a: https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\/v3-calculator<\/a> . En esta p\u00e1gina se encuentra una implementaci\u00f3n p\u00fablica de la calculadora del CVSSv3.1. <\/p>\n\n\n\n

Para cada una de las m\u00e9tricas base seleccionaremos los valores como muestra en la imagen inferior, en color verde se han incluido notas para indicar por qu\u00e9 se ha elegido el valor en cuesti\u00f3n:<\/p>\n\n\n\n

\"Calculadora<\/figure>\n\n\n\n

Una vez seleccionados valores para las 8 m\u00e9tricas del CVSS se actualizan las gr\u00e1ficas. Adem\u00e1s, se observa el valor base de la severidad de la vulnerabilidad (CVSS Base Score) 9.8. Adicionalmente se genera una cadena conocida como el vector CVSS, que es una versi\u00f3n comprimida de las m\u00e9tricas y sus respectivos valores, representados por sus iniciales. El vector es la forma m\u00e1s comun de compartir los criterios usados por un investigador al evaluar el impacto de una vulnerabilidad. En la imagen inferior se pueden apreciar el score y el vector enmarcados en recuadros de color amarillo.<\/p>\n\n\n\n

\n

Vector CVSS: AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H<\/a><\/strong><\/p>\n\n\n\n

Score Final: 9.8 (Cr\u00edtico)<\/strong><\/p>\n<\/blockquote>\n\n\n\n

\"Score<\/figure>\n\n\n\n

C\u00f3mo Interpretar los Scores del CVSS v3.1: Clasificaci\u00f3n de Severidad<\/h2>\n\n\n\n

Los scores CVSS v3.1 se clasifican en cinco niveles est\u00e1ndar de severidad para vulnerabilidades y en la siguiente tabla propongo una interpretaci\u00f3n pr\u00e1ctica ante el score CVSS v3.1 obtenido:<\/p>\n\n\n\n

\"Score<\/figure>\n\n\n\n

CVSS v3.1: Herramienta Esencial para Profesionales de Ciberseguridad<\/h2>\n\n\n\n

CVSS v3.1 no es s\u00f3lo un sistema de puntuaci\u00f3n; representa el est\u00e1ndar internacional para comunicar severidad t\u00e9cnica de vulnerabilidades en ciberseguridad. Un score de 9.8 como el del CVE-2019-0708 (BlueKeep) comunica inmediatamente la severidad t\u00e9cnica a equipos de IT, gerencia y stakeholders de seguridad.<\/p>\n\n\n\n

Mejores Pr\u00e1cticas para Implementar CVSS v3.1:<\/strong><\/p>\n\n\n\n