SSVC sustituye el número por una decisión. Las cuatro salidas habituales del árbol son 'inmediato', 'fuera de ciclo', 'programado' y 'aplazado'. Cada una se traduce a una acción concreta de remediación con SLA, no a una etiqueta de gravedad teórica.
Qué es SSVC
SSVC (Stakeholder-Specific Vulnerability Categorization) es un marco de decisión desarrollado por CISA y el CERT/CC de Carnegie Mellon que prioriza vulnerabilidades mediante árboles de decisión adaptados al perfil del decisor. En lugar de devolver un número como hacen CVSS o EPSS, SSVC responde con una acción: actuar de forma inmediata, programada, prevista o aplazada. La decisión se construye a partir de variables como el estado de explotación, el impacto técnico, la prevalencia del activo afectado y la misión del sistema, y el árbol concreto depende de quién decide: una agencia que gestiona infraestructura crítica no se enfrenta al mismo problema que un proveedor de software que recibe un reporte de vulnerabilidad.
Por qué importa
Cualquier responsable de seguridad con experiencia ha visto cómo las puntuaciones aisladas (un CVSS 9.8 sin contexto, un EPSS sin información de activo) producen decisiones tibias o equivocadas. SSVC ataca ese problema directamente: en lugar de un número, ofrece un árbol explícito que obliga a hacerse las preguntas correctas en el orden correcto y a justificar cada decisión. Eso facilita conversaciones con dirección, audita el criterio aplicado y, sobre todo, permite que la lista de vulnerabilidades urgentes deje de ser interminable. Para programas alineados con NIS2, DORA o ISO 27001, contar con un marco de decisión trazable es una de las mejores piezas de evidencia de gestión basada en riesgo.
Puntos clave
Existen árboles distintos para distintos roles: proveedor (qué hacer con una vulnerabilidad reportada en mi producto), implementador (cómo priorizar parches en mi parque) y coordinador (cómo gestionar publicaciones que afectan a varios fabricantes). Aplicar el árbol equivocado convierte el marco en ruido.
El árbol del implementador (el más usado por equipos de seguridad corporativa) suele preguntar: ¿hay explotación pública? ¿el activo es accesible desde fuera del perímetro de control? ¿el impacto técnico es total o parcial? ¿la misión que soporta es crítica? Con esas cuatro preguntas se resuelven la mayoría de hallazgos sin entrar en debates sobre CVSS.
SSVC no compite con CVSS o EPSS: los consume. CVSS aporta señal sobre impacto técnico, EPSS sobre probabilidad de explotación, y SSVC los integra en una decisión accionable junto con el contexto del activo y la misión.
La fortaleza del marco es la trazabilidad. Cada decisión queda documentada con las respuestas del árbol, lo que convierte la priorización en un artefacto auditable y revisable en lugar de en una opinión.
SSVC requiere que la organización conozca su contexto: qué activos son críticos, qué expone a internet, qué misión soporta cada sistema. Sin ese trabajo previo de inventario y clasificación, el árbol responde con genéricos y se pierde su valor.
Ejemplo: árbol SSVC aplicado a un proveedor SaaS con datos personales
Una empresa SaaS recibe el aviso de una nueva vulnerabilidad crítica en uno de los componentes de su pila técnica. Sin marco, el equipo entra en debate: el CVSS es 9.1, no hay parche oficial todavía, no hay exploit público confirmado, el componente está presente en miles de instalaciones globalmente y la organización lo usa en un servicio expuesto a internet con datos personales. Con SSVC el debate desaparece. El árbol del implementador recorre cuatro preguntas: ¿hay explotación pública confirmada (KEV)? No. ¿Hay exploit público disponible? Sí, en repositorios. ¿El activo afectado es accesible desde fuera? Sí, es un servicio público. ¿La misión soportada es crítica para el negocio? Sí, gestiona datos personales.
La salida del árbol es 'fuera de ciclo': mitigación o parche en 72 horas, con notificación al CISO y al responsable del producto. El equipo aplica una regla en el WAF como contención temporal, programa el cambio de versión cuando se publique parche oficial y documenta toda la cadena de decisiones. Esa documentación —respuestas del árbol, plazo, contención, parche definitivo— sirve como evidencia para la próxima auditoría y como referencia para el próximo caso similar. La conversación con dirección pasa de 'tenemos un CVSS 9.1' a 'hemos clasificado el caso como fuera de ciclo y se ha contenido en 24 horas'.
Errores habituales
- Tratar SSVC como un sustituto de CVSS o EPSS. SSVC integra esas métricas; no las reemplaza. CVSS sigue siendo necesario para contratos y políticas, EPSS para probabilidad de explotación. SSVC añade la decisión.
- Aplicar el árbol equivocado. Los árboles de proveedor, implementador y coordinador responden a preguntas distintas. Un equipo corporativo que use el árbol del proveedor llega a conclusiones absurdas porque las variables no coinciden con su rol.
- Saltarse el inventario de activos y la clasificación de misión. SSVC necesita responder a 'qué activo es' y 'qué misión soporta'. Sin clasificación previa, el árbol contesta con valores genéricos y pierde el valor que aporta.
- Documentar sólo la salida, no las respuestas del árbol. La fortaleza de SSVC está en la trazabilidad de cada decisión: por qué se respondió 'sí' o 'no' en cada nodo. Si se guarda únicamente la etiqueta final, se pierde el motivo y la decisión se vuelve revisable sólo desde la memoria.
- Pretender que SSVC sea operado por una sola persona. Lo más útil es definir respuestas por defecto (en función del activo y la misión) y revisarlas en equipo cuando aparece un caso fuera de la norma. Mantener la decisión en una cabeza única convierte el marco en cuello de botella.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿SSVC sustituye a CVSS?
No. CVSS sigue siendo la métrica estándar de gravedad técnica y aparece en contratos, políticas y herramientas. SSVC convierte CVSS, EPSS y el contexto del activo en una decisión de actuación. Las organizaciones serias suelen mantener CVSS como métrica de descripción y aplicar SSVC como marco de priorización.
¿Qué hace falta para empezar a aplicar SSVC?
Tres cosas: el árbol que corresponde al rol (típicamente el del implementador), un inventario de activos con clasificación de misión y un proceso para documentar cada decisión. Se puede empezar con una hoja de cálculo bien estructurada; las plataformas de gestión de vulnerabilidades modernas ya incorporan el árbol como flujo configurable.
¿Es compatible SSVC con NIS2, DORA o ISO 27001?
Sí. SSVC produce exactamente el tipo de evidencia que estas regulaciones piden: priorización basada en riesgo, criterios escritos, trazabilidad de cada decisión y plazos de remediación documentados. Cuando los árboles se mapean al control regulatorio correspondiente, SSVC se convierte en una fuente sólida de evidencia continua.
¿Puede combinarse SSVC con CTEM?
Sí, y se refuerzan. CTEM define el ciclo (scoping, descubrimiento, priorización, validación, movilización) y SSVC aporta el marco de decisión que se aplica en la fase de priorización. La validación posterior confirma si las decisiones del árbol se sostienen en la práctica y permite afinar las respuestas por defecto.