CVSS v3.1 tiene escala: 0 (none), 1-3 (low), 4-6 (medium), 7-8 (high), 9-10 (critical). Pero esto es técnico. El contexto empresarial determina urgencia: un CVSS 5 en servidor que maneja dinero puede ser más crítico que un CVSS 8 en máquina de desarrollo.
Qué es CVSS
CVSS (Common Vulnerability Scoring System) es un estándar que cuantifica la severidad técnica de una vulnerabilidad en escala de 0 a 10. 0 = sin severidad, 10 = severidad crítica (compromiso total del sistema sin intervención). Cada CVE (Common Vulnerability) recibe una puntuación CVSS. La versión actual es CVSSv3.1. CVSS considera múltiples factores: (1) Complejidad del ataque (¿cuánto esfuerzo?), (2) Acceso requerido (¿autenticación?), (3) Impacto en confidencialidad/integridad/disponibilidad, (4) Requerimientos de usuario, (5) Scope (¿afecta solo a quién es atacado o a otros?). Ejemplo: CVE-2021-44228 (Log4Shell) tiene CVSS 10 porque es remotamente exploitable sin autenticación y causa compromiso total.
Por qué importa
Para un CISO, CVSS es la herramienta de priorización de parches. Sin CVSS, todas las vulnerabilidades parecerían iguales. Con CVSS, puedes diferenciar: 'una vulnerabilidad que requiere acceso físico al servidor y causa denial of service temporal es CVSS 4; una vulnerabilidad remota sin autenticación que permite ejecución de código es CVSS 9.8'. Tu equipo de ops puede pachar primero los CVSS 9+, después 7-8, después 5-6. Sin escala estandarizada, cada proveedor usaría nombres distintos (crítico vs. alto vs. severo) causando confusión. CVSS es internacionalmente aceptado: agencias de gobierno, equipos de seguridad, proveedores todos usan CVSS. Permite comparación consistente. Limitación importante: CVSS mide severidad técnica, no riesgo empresarial. Un CVSS 3 en componente crítico puede ser más riesgo que un CVSS 7 en utilidad menor.
Puntos clave
CVSS mide severidad técnica, no riesgo. Riesgo = probabilidad de explotación * impacto. Un CVSS 10 teórico pero sin herramientas de explotación publicadas y que afecta a 10 máquinas en el mundo es diferente que CVSS 8 explotado activamente en botnets atacando miles de máquinas.
CVSS tiene base score (técnico) y temporal score (incluye si hay patches, si se está explotando, si hay información pública). Un CVSS base 9.8 puede bajar a 7.5 si patch ya existe, porque la ventana de exposición es menor.
No confundir CVSS con urgencia operativa. Si tu infraestructura no está afectada por una vulnerabilidad CVSS 10, la urgencia es cero. Si tienes sistema vulnerable a CVSS 3, la urgencia depende de contexto (está en DMZ? es crítico?)
Ejemplo: priorización de parches con CVSS
Un CISO recibe lista de 100 vulnerabilidades de scanner automático. Manualmente revisar sería infeasible. Filtra por CVSS: (1) CVSS 9+: 5 vulnerabilidades, todas en servidores web expuestos. Plazo de parche: 6 horas. (2) CVSS 7-8: 20 vulnerabilidades. Plazo: 24-48 horas. (3) CVSS 4-6: 50 vulnerabilidades. Plazo: 1-2 semanas. (4) CVSS <4: 25 vulnerabilidades. Plazo: 30 días o próxima ventana de mantenimiento. Pero después, añade contexto: (1) Una CVSS 7 afecta un endpoint corporativo con 500 máquinas sin acceso a internet. Urgencia baja. (2) Una CVSS 5 afecta servidor de autenticación en internet. Urgencia alta. Reordena: CVSS es filtro inicial, pero contexto empresarial ajusta prioridad final.
Errores habituales
- Priorizar basado SOLO en CVSS sin contexto empresarial. Un CVSS 10 en componente desusado en servidor interno no es tan crítico como un CVSS 6 en firewall edge en internet. Usa CVSS como primer filtro, pero decide urgencia considerando exposición.
- Asumir que puntuación CVSS es invariable. La versión (v2 vs. v3.1) puede afectar puntuación. El temporal score puede variar si hay patch o si se está explotando. Revisa siempre los detalles, no solo el número.
- Negligencia con vulnerabilidades CVSS bajo pero explotadas activamente. Una CVSS 4 que está siendo explotada en ataques masivos es más urgente que CVSS 7 teórico sin explotación documentada. Combina CVSS + threat intelligence.
- No actualizar puntuaciones cuando nueva información surge. Una vulnerabilidad que empieza con CVSS 5 puede subir a 8 si se descubre nueva forma de explotación. Monitorea cambios en CVSS conforme sale nueva información.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cómo se calcula la puntuación CVSS?
CVSS v3.1 usa formula que considera: (1) Attack Vector (local, adyacente, red), (2) Attack Complexity (bajo, alto), (3) Privileges Required (ninguno, bajo, alto), (4) User Interaction (requerido, no requerido), (5) Scope (inalterado, alterado), (6) Confidentiality/Integrity/Availability impact (ninguno, bajo, alto). La fórmula produce score 0-10.
¿Cuál es la diferencia entre CVSS Base Score, Temporal Score y Environmental Score?
Base Score es la puntuación técnica invariable. Temporal Score añade factores que cambian con el tiempo (si hay patch, si se está explotando, disponibilidad de POC). Environmental Score lo ajusta por tu contexto específico. Base es útil para comparación global; temporal y environmental para tu realidad.
¿Una vulnerabilidad con CVSS 10 es siempre más crítica que una con CVSS 5?
Técnicamente sí. CVSS mide severidad técnica. Pero en contexto empresarial, depende. Un CVSS 10 en componente que no usas no es crítico. Un CVSS 5 en firewall edge en internet es muy crítico. Usa CVSS como filtro, pero decide urgencia por exposición.
¿Con qué frecuencia se actualizan las puntuaciones CVSS?
Base Score no cambia. Temporal Score puede cambiar si oficial CVSS publica nueva información (descubrimiento de exploit, disponibilidad de patch). Típicamente, puntuaciones se estabilizan días después de publicación del CVE. Monitorea cambios en primeros 7-14 días.