¿Qué es CVSS?

¿Sabes qué es CVSS (Common Vulnerability Scoring System), para qué sirve y cómo se calcula esta puntuación? Los fallos de seguridad públicos se encuentran todos registrados en una base de datos. Existe un sistema para clasificar cada vulnerabilidad pública y estas pueden consultarse para diferentes fines.

Un hacker malicioso podría usar esta información para saber qué vulnerabilidades explotar en un ciberataque. Sin embargo, los hackers éticos usan estas bases de datos para compartir información y blindar sus sistemas a tiempo.

¿Qué es CVE?

Antes de explicar qué es CVSS y cómo funcionan las puntuaciones de vulnerabilidad, hablaremos sobre qué es CVE.

CVE (Common Vulnerabilities and Exposures) es una lista pública de datos sobre las vulnerabilidades comunes que se han reportado de todos los softwares. El sistema CVE permite encontrar todos los fallos de seguridad que se han hecho públicos a través de plataformas como CVE Details y cve.mitre.org.

CVE Details

CVE Details es una página web donde encontrarás una enorme base de datos y una interfaz gráfica amigable para consultarla. Allí, se reúnen miles de datos sobre todas las vulnerabilidades comunes que se han hecho públicas y organiza la información de diferentes modos.

En CVE Details, puedes buscar vulnerabilidades según el proveedor del software, el producto, la fecha y el tipo de fallo. Puedes ver cuáles son las vulnerabilidades más recientes que se han publicado y la puntuación cvss nist de cada una de ellas.

CVE.mitre.org

Este es el portal web oficial de CVE. Encontrarás un buscador para obtener datos sobre el fallo que desees investigar por su CVE-ID. También brinda información acerca de las entidades autorizadas para emitir CVE-ID y, al igual que CVE Details, ofrece datos específicos sobre cada vulnerabilidad, como sus valores cvss anses .

Una vez está esto claro, podemos pasar a hablar de qué es CVSS.

¿Qué es CVSS?

Para saber qué es CVSS, debes entender que el Common Vulnerability Scoring System o CVSS es un sistema de puntuación que permite definir numéricamente el nivel de gravedad de un fallo de seguridad. De este modo, se le indica a los investigadores cómo de dañino resulta explotar la vulnerabilidad. Para un atacante, las puntuaciones de vulnerabilidad altas significan una oportunidad de perjudicar gravemente a un objetivo. Para un hacker ético, la puntuación base indica el grado de alarma que representan las características de una vulnerabilidad.

¿Cómo se calcula el CVSS?

Ya hemos visto la definición de qué es CVSS. Ahora, veremos cómo se calcula.

Existen grupos de métricas base para determinar el cvss score de una vulnerabilidad. También existen calculadoras de CVSS que aplican dichas métricas con el fin de representar el riesgo de un fallo cibernético. Sin necesidad de que el fallo se haya hecho público, puedes usar estas calculadoras para identificar un cvss 3.1 nuevo.

Calculadora de CVSS

La calculadora del National Vulnerability Database es una herramienta estándar para calcular el CVSS de un fallo de seguridad. En ella, encontrarás una serie de variables diferentes que podrás rellenar con información para hallar el CVSS de la vulnerabilidad. Un CVSS alto implica un fallo de seguridad de alto riesgo, mientras que uno bajo significa un nivel de amenaza moderado. Cuanto más elevado sea el CVSS, más urgencia hay para reparar el fallo y mayor potencial de éxito tendrá el ciberdelincuente que lo explote.

¿Cómo aprender más?

Ya has aprendido qué es CVSS y para qué se utiliza esta evaluación en seguridad informática. Ahora, es el momento de encontrar vulnerabilidades y convertirte en un experto en ciberseguridad. Para eso, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en menos de 7 meses en temas como pentesting, criptografía, information gathering y muchos más. ¿A qué estás esperando? ¡Apúntate ya y continúa aprendiendo!