EPSS no mide gravedad: mide probabilidad. Una CVE con CVSS 9.8 puede tener EPSS bajo si no hay exploits públicos ni actividad observada, mientras que una CVE con CVSS 6 puede tener EPSS alto si ya hay campañas activas. Los dos valores responden a preguntas distintas y se complementan.
Qué es EPSS
EPSS (Exploit Prediction Scoring System) es un marco mantenido por FIRST que estima la probabilidad de que una vulnerabilidad concreta sea explotada en los siguientes treinta días. A diferencia de CVSS, que mide la gravedad técnica intrínseca de una debilidad, EPSS responde a una pregunta operativa: ¿qué probabilidad real hay de que esto se utilice ya contra alguien? El sistema combina señales públicas (publicaciones, código de exploit disponible, actividad observada en honeypots, listas de CVE explotadas) y produce dos valores diarios por cada CVE: una probabilidad entre 0 y 1 y un percentil relativo al resto del catálogo. Su finalidad no es sustituir a CVSS, sino dar al equipo de seguridad un orden de prioridad que se alinee con el riesgo real.
Por qué importa
En una empresa con miles de hallazgos abiertos, ordenar por CVSS empuja a invertir en parches que tal vez nadie esté usando contra nadie, mientras se aplaza una vulnerabilidad media que está siendo explotada activamente esa misma semana. EPSS resuelve ese desajuste porque añade una señal de uso real al cuadro. Combinado con KEV de CISA (la lista de vulnerabilidades con explotación confirmada) y con el contexto del activo, recorta drásticamente la cola de tickets de remediación. Para los marcos regulatorios que exigen priorización basada en riesgo (ISO 27001, NIS2, DORA) ese ejercicio se vuelve además una pieza concreta de evidencia, no una narrativa.
Puntos clave
El valor de EPSS cambia cada día. Lo que ayer estaba en el percentil 30 puede saltar al 95 cuando aparece un exploit en GitHub o se publica una campaña masiva. Por eso EPSS sólo aporta valor cuando se consume con frecuencia y se integra en el flujo de priorización del equipo de vulnerabilidades.
Una política operativa razonable es "remediar de forma acelerada todo lo que esté en KEV, todo lo que tenga EPSS por encima de un umbral (típicamente 0,5 o percentil 95) y el resto por SLA habitual". Esa regla simple suele recortar a la mitad la cola de hallazgos urgentes sin perder cobertura sobre riesgo real.
EPSS funciona bien cuando se cruza con el contexto del activo. Una CVE con EPSS alto en un servidor interno aislado no es lo mismo que la misma CVE en un balanceador expuesto a internet. La regla compuesta (EPSS + accesibilidad + criticidad del dato) es la que produce decisiones honestas.
EPSS no es una bola de cristal: hay falsos positivos y momentos en los que se queda detrás del atacante. Lo importante no es buscar precisión perfecta sino reducir el ruido del backlog. Cualquier indicador honesto de probabilidad es mejor que ordenar sólo por CVSS.
Las plataformas modernas de gestión de vulnerabilidades ya enriquecen automáticamente cada hallazgo con EPSS, KEV y contexto del activo. Si la organización todavía consume CVSS aislado, está dejando capacidad de remediación sobre la mesa.
Ejemplo: priorización con EPSS + KEV + contexto de activo
Un equipo de seguridad recibe un informe semanal con 1.200 hallazgos abiertos sobre la infraestructura corporativa. Ordenado sólo por CVSS, hay 180 vulnerabilidades clasificadas como críticas y otras 350 como altas: imposible parchear todas en plazo razonable. El equipo aplica una regla compuesta: primero se marcan urgentes las 12 vulnerabilidades que aparecen en KEV, después las 47 que tienen EPSS por encima de 0,5, y dentro de esas se priorizan las que afectan a activos accesibles desde internet o con datos sensibles.
El resultado es una cola realista de unas 30 vulnerabilidades a remediar en menos de siete días, mientras las 800 restantes se mantienen en el SLA habitual. El cuadro se actualiza cada veinticuatro horas con el nuevo EPSS, de modo que si una CVE salta al percentil 99 por aparición de exploit público, el sistema la promueve automáticamente y la presenta al equipo. Esa misma lista se entrega a auditoría como evidencia de priorización basada en riesgo, alineada con NIS2 y con la propia política interna.
Errores habituales
- Sustituir CVSS por EPSS. CVSS sigue siendo la métrica de gravedad técnica y aparece en contratos, SLAs y políticas. EPSS añade la dimensión de probabilidad, no la reemplaza. La política operativa correcta usa los dos.
- Tratar EPSS como un valor estático. Sin actualización diaria, la métrica pierde su sentido. La integración con la plataforma de gestión de vulnerabilidades debe traer EPSS fresco como mínimo una vez al día.
- Aplicar EPSS sin contexto del activo. Una vulnerabilidad con EPSS alto en un sistema interno no expuesto puede tener menos riesgo real que otra con EPSS medio en un activo expuesto a internet o con datos personales.
- Ignorar KEV. Una vulnerabilidad incluida en KEV por CISA ya está siendo explotada en el mundo real; la prioridad debe ser inmediata aunque su EPSS no sea aún el más alto del catálogo.
- No comunicar el criterio. Si la regla de priorización (EPSS + KEV + contexto) no está escrita y compartida con TI, desarrollo y proveedores, la conversación de remediación vuelve a empezar con cada ticket.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿En qué se diferencia EPSS de CVSS?
CVSS describe la gravedad técnica de una vulnerabilidad: qué impacto teórico tendría si se explotara y qué tan fácil sería hacerlo. EPSS estima la probabilidad de que esa vulnerabilidad se explote en los próximos treinta días según señales observadas en el mundo real. Son dos preguntas distintas y un programa de gestión maduro usa las dos.
¿Qué umbral de EPSS se considera 'alto'?
No hay un umbral universal, pero el más utilizado en la práctica es 0,5 de probabilidad o el percentil 95. Cualquier CVE por encima de esos valores merece tratamiento acelerado en la mayoría de organizaciones, sobre todo si además aparece en KEV o afecta a un activo expuesto.
¿Cada cuánto se actualiza la puntuación EPSS de una vulnerabilidad?
El proyecto EPSS publica un nuevo conjunto de valores cada día. Esa cadencia es importante: una vulnerabilidad puede pasar de probabilidad baja a alta en cuestión de horas cuando aparece un exploit público o se observa actividad ofensiva. Las plataformas de gestión de vulnerabilidades deben refrescar la métrica al menos una vez al día.
¿EPSS sustituye a la lista KEV de CISA?
No, son complementarios. KEV es una lista oficial de vulnerabilidades con explotación confirmada y debe tratarse como prioridad inmediata. EPSS estima probabilidad para todo el catálogo CVE, incluida la inmensa mayoría que no aparece en KEV. Usadas juntas, KEV marca lo que ya está pasando y EPSS lo que probablemente va a pasar.