¿Qué es CVSS?

Autor: | Última modificación: 21 de junio de 2022 | Tiempo de Lectura: 3 minutos
Temas en este post:

¿Sabes qué es CVSS (Common Vulnerability Scoring System), para qué sirve y cómo se calcula esta puntuación? Los fallos de seguridad públicos se encuentran todos registrados en una base de datos. Existe un sistema para clasificar cada vulnerabilidad pública y estas pueden ser consultadas para diferentes fines.

Un hacker malicioso podría usar esta información para saber qué vulnerabilidades explotar en un ciberataque. Sin embargo, los hackers éticos usan estas bases de datos para compartir información y blindar sus sistemas a tiempo.

¿Qué es CVE?

Antes de explicar qué es CVSS y cómo funcionan las puntuaciones de vulnerabilidad, hablaremos sobre qué es CVE.

CVE (Common Vulnerabilities and Exposures) es una lista pública de datos sobre las vulnerabilidades comunes que se han reportado de todos los softwares. El sistema CVE permite encontrar todos los fallos de seguridad que se han hecho públicos, por medio de plataformas como CVE Details y cve.mitre.org.

CVE Details

CVE Details es una página web donde encontrarás una enorme base de datos y una interfaz gráfica amigable para consultarla. Allí, se reúnen miles de datos sobre todas las vulnerabilidades comunes que se han hecho públicas y organiza la información de diferentes modos.

En CVE Details, puedes buscar vulnerabilidades según el proveedor del software, el producto, la fecha y el tipo de fallo. Puedes ver cuáles son las vulnerabilidades más recientes que se han publicado y la puntuación CVSS de cada una de ellas.

CVE.mitre.org

Este es el portal web oficial de CVE. Allí, encontrarás un buscador para obtener datos sobre el fallo que desees investigar por su CVE-ID. También brinda información acerca de las entidades autorizadas para emitir CVE-ID y, al igual que CVE Details, ofrece datos específicos sobre cada vulnerabilidad, como sus valores CVSS.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

A continuación, hablaremos de qué es CVSS.

¿Qué es CVSS?

El Common Vulnerability Scoring System o CVSS es un sistema de puntuación que permite definir numéricamente el nivel de gravedad de un fallo de seguridad. De este modo, se le indica a los investigadores cómo de dañino resulta explotar la vulnerabilidad. Para un atacante, las puntuaciones de vulnerabilidad altas significan una oportunidad de perjudicar gravemente a un objetivo. Para un hacker ético, la puntuación base indica el grado de alarma que representan las características de una vulnerabilidad.

¿Cómo se calcula el CVSS?

Ya hemos visto la definición de qué es CVSS. Ahora, veremos cómo se calcula.

Existen grupos de métricas base para determinar el CVSS de una vulnerabilidad. También existen calculadoras de CVSS que aplican dichas métricas con el fin de representar el riesgo de un fallo cibernético. Sin necesidad de que el fallo se haya hecho público, puedes usar estas calculadoras para identificar un CVSS nuevo.

Calculadora de CVSS

La calculadora del National Vulnerability Database es una herramienta estándar para calcular el CVSS de un fallo de seguridad. En ella, encontrarás una serie de variables diferentes que podrás rellenar con información para hallar el CVSS de la vulnerabilidad. Un CVSS alto implica un fallo de seguridad de alto riesgo, mientras que uno bajo significa un nivel de amenaza moderado. Cuanto más elevado sea el CVSS, más urgencia hay para reparar el fallo y mayor potencial de éxito tendrá el ciberdelincuente que lo explote.

¿Cómo aprender más?

Ya has aprendido qué es CVSS y para qué se utiliza esta evaluación en seguridad informática. Ahora, es momento de que encuentres vulnerabilidades y te conviertas en un experto en ciberseguridad. Para eso, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en menos de 7 meses en temas como pentesting, criptografía, information gathering y muchos más. ¿A qué estás esperando? ¡Apúntate ya y continúa aprendiendo!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!