Inicio CVSS

    CVSS

    0

    ¿Qué es CVSS?

    El CVSS, o Sistema de Puntuación de Vulnerabilidades Comunes, es una herramienta gratuita y de código abierto que se utiliza para evaluar la gravedad de las vulnerabilidades informáticas. Ofrece un marco de trabajo para determinar la gravedad y el impacto de las vulnerabilidades, que es clave en la gestión de riesgos de ciberseguridad.

    El CVSS proporciona una puntuación de 0 a 10, donde 0 indica que no hay vulnerabilidad y 10 indica una vulnerabilidad crítica. Esta puntuación se basa en tres métricas principales:

    1. Base: Métricas que se relacionan con las características intrínsecas de una vulnerabilidad.
    2. Temporal: Métricas que cambian con el tiempo, como cuando se dispone de una solución para la vulnerabilidad.
    3. Medioambiental: Métricas que se centran en la vulnerabilidad del entorno específico de un usuario.

    La puntuación final de CVSS permite a los administradores de seguridad priorizar las respuestas a las vulnerabilidades y asignar recursos de manera más efectiva.

    Ejemplos

    Para ilustrar el uso de CVSS, podemos considerar un ejemplo de vulnerabilidad en un software popular.

    Imaginemos que se descubre una vulnerabilidad en un navegador web común que permite a un atacante tomar el control del sistema de un usuario. Este tipo de vulnerabilidad tendría probablemente alta puntuación CVSS en todas las métricas, dado que:

    • Es de naturaleza grave (alta puntuación en las métricas base).
    • No hay todavía una solución disponible (alta puntuación en las métricas temporales).
    • El entorno específico del usuario (e.g., un usuario que utiliza frecuentemente este navegador) es vulnerable (alta puntuación medioambiental).

    En base a la alta puntuación CVSS, las organizaciones deberían priorizar la resolución de esta vulnerabilidad.

    Preguntas frecuentes