Sistema de puntuación de vulnerabilidades comunes (CVSS)

Enfrenta demasiadas vulnerabilidades como para repararlas todas. 

Recientemente, el NIST informó que en 2024 recibió un 32 % más notificaciones de vulnerabilidades que el año anterior, una tendencia que prevé que continúe a lo largo de 2025. 

Las vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés) aumentaron de forma similar (20 %) en 2024. Y, a finales de mayo de 2025, había más de 280 000 CVE en la base de datos nacional de CVE.

Con cifras tan alarmantes como estas, es imposible que sus equipos puedan abordar todas las vulnerabilidades, y tampoco tienen por qué hacerlo. 

Lo que en realidad necesita es una forma de enfocarse en lo que más importa. 

Aquí es donde CVSS adquiere relevancia.

El Sistema de puntuación de vulnerabilidades comunes (CVSS) evalúa la gravedad técnica de una vulnerabilidad.

CVSS, cuya gestión está a cargo de FIRST, asigna a cada vulnerabilidad una puntuación entre 0,0 y 10,0, utilizando una combinación de métricas de explotabilidad e impacto. Estas puntuaciones ayudan a los equipos a priorizar y comunicar los riesgos.

La puntuación CVSS está integrada en la mayoría de los escáneres de vulnerabilidades, las advertencias de amenazas y los flujos de trabajo de gestión de parches. Ofrece a los equipos de seguridad un método coherente para comparar vulnerabilidades entre sistemas y proveedores. 

Sin embargo, aunque CVSS es fundamental, no es suficiente por sí solo.

CVSS no le indica qué es lo que realmente se puede explotar en su entorno. No tiene en cuenta el riesgo para el negocio. Tampoco se adapta al comportamiento de los atacantes. 

Por eso Tenable utiliza CVSS como punto de partida, pero luego lo amplía con un Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR), señales de amenazas en tiempo real, contexto de identidades en la nube y puntuación unificada por medio de Tenable One.

Analicemos cómo funciona CVSS, cuáles son sus deficiencias y cómo se puede utilizar dentro de un abordaje más inteligente basado en el riesgo para la gestión de vulnerabilidades.

Las puntuaciones CVSS utilizan una fórmula estandarizada de métricas: básicas, temporales y ambientales.

Métricas básicas

Características inherentes a la vulnerabilidad:

• Vector de ataque (AV)
  • ¿Un atacante puede explotar la vulnerabilidad a través de una red, de forma local o física? 
  • Las fallas remotas (AV: N) obtienen una puntuación más alta.
• Complejidad del ataque (AC)
  • ¿El exploit requiere configuraciones especiales, tiempos específicos o estados del sistema poco comunes?
• Privilegios necesarios (PR)
  • ¿Cuánto acceso requiere un atacante antes de poder explotar la vulnerabilidad?
• Interacción con el usuario (UI)
  • ¿El ataque requiere que el usuario haga clic en un enlace, abra un archivo o realice otras acciones?
• Alcance (S).
  • ¿La vulnerabilidad afecta solo al componente o tiene un impacto más amplio?
• Impacto (CIA)
  • Mide la pérdida de confidencialidad, integridad y disponibilidad.

Métricas temporales

Estas ajustan la puntuación con base en el panorama actual de exploits:

• Madurez del código del exploit
  • ¿Existe un código del exploit público?
• Nivel de corrección
  • ¿Hay algún parche disponible?
• Informe de confianza
  • ¿Qué tan bien verificada está la vulnerabilidad?

Métricas ambientales

Estas le ayudan a modificar las puntuaciones con base en su entorno:

• Requisitos de seguridad
  • ¿Qué importancia tienen la confidencialidad, la integridad y la disponibilidad para su negocio?
• Métricas básicas modificadas
  • Úselas cuando los controles o las mitigaciones reduzcan la gravedad.

Bandas de gravedad

Las puntuaciones CVSS se clasifican en las siguientes bandas de gravedad:

• None (Ninguna) (0,0)
• Low (Baja) (de 0,1 a 3,9)
• Medium (Media) (de 4,0 a 6,9)
• High (Alta) (de 7,0 a 8,9)
• Critical (Crítica) (de 9,0 a 10,0)

¿Desea saber cómo se integra CVSS en un programa moderno de gestión de vulnerabilidades? Explore Tenable Vulnerability Management para saber cómo combina la puntuación estática con la priorización preparada para la automatización.

CVSS le proporciona un idioma común para describir la gravedad. Ayuda a sus equipos de seguridad a clasificar, a los equipos de infraestructura a priorizar y a los ejecutivos a comprender lo que es crítico, en teoría.

Cuando todos trabajan a partir de la misma puntuación, se puede hacer lo siguiente:

• Automatizar los umbrales de colocación de parches.
• Establecer acuerdos de nivel de servicio (SLA) con base en los niveles de gravedad.
• Estandarizar los tableros de control y la generación de informes.
• Alinear a los equipos de corrección en torno a definiciones comunes de riesgo.

Pero gravedad no es lo mismo que riesgo. CVSS no le indica lo siguiente:

• Si un atacante podría explotar una vulnerabilidad en su entorno
• Si afecta a sus activos más confidenciales.
• Si los atacantes lo utilizan activamente.

Ahí es donde el Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) marca la diferencia.

Si CVSS le indica la gravedad que podría tener una vulnerabilidad, la priorización basada en el riesgo le señala qué debe reparar primero. Esa distinción es fundamental.

Tenable utiliza CVSS como referencia y luego le incorpora el VPR para ayudarle a comprender lo siguiente:

• ¿Los atacantes explotan esta vulnerabilidad en la realidad?
• ¿Expone sistemas críticos para el negocio?
• ¿Es accesible desde el exterior?
• ¿Un agente malicioso podría utilizarla como parte de una escalación de privilegios o una ruta de movimiento lateral?

El VPR de Tenable incluye las siguientes características:

• Disponibilidad y actividad de los exploits a partir de fuentes reales.
• Inteligencia de amenazas y correlación del comportamiento de los atacantes.
• Criticidad de los activos con base en su importancia para el negocio.
• Rutas de exposición, incluyendo el uso indebido de identidades y el riesgo de configuración en la nube.
• Ejemplo: 
  • CVSS indica que la puntuación de una vulnerabilidad es de 9,8. Si solo se utiliza la puntuación CVSS, se podría pensar que hay que abordar la vulnerabilidad de inmediato. 
  • La diferencia: el VPR muestra que la vulnerabilidad afecta a un servidor de pruebas interno sin datos de usuarios, lo que limita su impacto si un atacante la aprovecha. De repente, una vulnerabilidad con una puntuación CVSS de 9,8 no parece tan urgente.
  • Mientras tanto, el VPR señala una vulnerabilidad con una puntuación CVSS inferior, pero, como se trata de una carga de trabajo orientada al público y vinculada a los registros de los clientes, y los agentes maliciosos la están escaneando activamente, tiene prioridad sobre la vulnerabilidad con una puntuación CVSS más alta.

Ese es el valor de los métodos de priorización y puntuación basados en el riesgo, y la razón por la que no se debe utilizar CVSS de forma aislada.

Obtenga más información sobre cómo el Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) de Tenable aprovecha CVSS para tener en cuenta la explotabilidad, el comportamiento de los atacantes y la importancia de los activos.

En los entornos en la nube modernos, CVSS por sí solo puede ser peligrosamente engañoso. 

Los activos en la nube son dinámicos. Las cargas de trabajo aumentan y disminuyen cada minuto. Un contenedor que desaparece en 10 minutos no implica el mismo riesgo que un servidor de base de datos persistente.

Las rutas de ataque dependen de la identidad. Una vulnerabilidad de gravedad medium (media) en un activo asociado a un rol con privilegios elevados puede ser más peligrosa que un problema de gravedad high (alta) en un punto de conexión aislado.

Los errores de configuración amplifican la exposición, especialmente en la nube.

CVSS no tiene en cuenta los siguientes aspectos:

• Errores de configuración específicos de la nube.
• Identidades excesivamente expuestas.
• Accesibilidad de la red y movimiento lateral.
• Activos efímeros que exponen temporalmente datos de gran valor.

Ahí es donde Tenable Cloud Security aporta un contexto esencial. Integra la puntuación CVSS con la postura de la nube en tiempo real, para que pueda hacer lo siguiente:

• Ver qué vulnerabilidades tienen exposiciones externas.
• Comprender qué identidades pueden acceder a ellas.
• Detectar riesgos en cadena a lo largo de la nube y la infraestructura local.

CVSS le dice: "Esta es una falla crítica".

Tenable le dice: "Es una falla crítica de exposición pública y explotable relacionada con las credenciales de administrador".

Ese es el que hay que reparar primero.

Tenable Cloud Security establece conexiones entre CVSS, errores de configuración en la nube y riesgos de IAM. Proteja su superficie de ataque en la nube con un contexto constante.

CVSS es solo una pieza del rompecabezas de la priorización de vulnerabilidades. Veamos cómo se compara con otros modelos comunes.

Sistema de puntuación de la predicción de exploit (EPSS)

El EEPSS calcula la probabilidad de que un atacante explote una vulnerabilidad en los próximos 30 días. Se basa en las probabilidades, no en la gravedad.

• Lo que agrega: comportamiento del atacante y modelado estadístico.
• Lo que le falta: no tiene en cuenta el impacto para el negocio ni el contexto ambiental.
• Cómo funciona con CVSS: los combina. CVSS le indica la gravedad; EPSS le indica la probabilidad.

Una vulnerabilidad de 6,8 de CVSS con una probabilidad de EPSS de 94 % es probablemente más urgente que una de 9,8 que un atacante nunca explotó.

Vulnerabilidades y exposiciones comunes (CVE)

Una CVE es un identificador, no una puntuación. Le ayuda a dar seguimiento a una vulnerabilidad específica a lo largo de diferentes herramientas, proveedores y alertas.

• Lo que agrega: seguimiento y documentación coherentes.
• Lo que le falta: no aporta información sobre el riesgo.
• Cómo funciona con CVSS: emparejamiento de CVE (qué) con CVSS (qué tan grave).

Índice de riesgos de OWASP

El modelo de OWASP, que se utiliza principalmente en la seguridad de aplicaciones, es más manual y subjetivo. Este evalúa la capacidad de detección, la facilidad de explotación y el impacto, lo que es ideal para el modelado, pero no tanto para la priorización a gran escala.

Entonces, ¿qué abordaje debe utilizar?

La combinación de CVSS, VPR, EPSS y el contexto de los activos ofrece un panorama más completo del riesgo. 

Tenable One utiliza este modelo, que integra la gravedad, la probabilidad, el impacto para el negocio y la exposición en una única visión priorizada.

La gestión de vulnerabilidades comienza con la identificación, pero no termina ahí. 

Cuando su herramienta de escaneo descubre una vulnerabilidad, se necesita una forma de evaluar su gravedad y priorizarla para responder. 

Es entonces cuando la puntuación de vulnerabilidades desempeña un papel fundamental.

CVSS es desde hace tiempo la columna vertebral de la puntuación de vulnerabilidades. Ofrece a sus equipos una forma coherente de asignar niveles de gravedad con base en la explotabilidad y el impacto. Impulsa tableros de control, SLA de colocación de parches, reglas de escalación y planes de corrección.

Pero la gestión de vulnerabilidades moderna requiere algo más que gravedad técnica:

• Debe saber si los atacantes explotan la vulnerabilidad en la realidad.
• Debe determinar si afecta a los sistemas críticos para el negocio o expone datos confidenciales.
• Debe adaptar las medidas de corrección al riesgo real, no a puntuaciones teóricas.

Por eso Tenable integra CVSS en un abordaje más amplio de gestión de vulnerabilidades basada en el riesgo. 

Al combinar CVSS con el VPR y ampliar la puntuación con Tenable One, puede pasar de buscar números de CVSS altos a tomar medidas en función de aquello que es explotable, está expuesto y es relevante.

La puntuación de vulnerabilidad es fundamental, pero ahora forma parte de un sistema dinámico que se adapta al comportamiento de los atacantes y a las necesidades de negocios.

La puntuación de vulnerabilidades es útil, pero si no comprende cómo esas vulnerabilidades contribuyen a su exposición, solo resuelve una parte del problema.

La gestión de exposición examina todos los riesgos evitables (vulnerabilidades, errores de configuración, permisos excesivos) en conjunto para identificar las rutas de ataque que los agentes maliciosos podrían explotar para causar el mayor daño, ya sea en forma de interrupción del negocio o de filtración de datos confidenciales.

La gestión de exposición también identifica y reduce las condiciones que debilitan su postura de seguridad. Esas condiciones incluyen vulnerabilidades además de los siguientes riesgos:

• Servicios en la nube con errores de configuración.
• Identidades con permisos excesivos.
• Activos externos inseguros.
• Puertos abiertos, certificados caducados, API olvidadas.

En este contexto, la puntuación CVSS proporciona la gravedad de referencia de una vulnerabilidad, pero Tenable va más allá, ya que integra la puntuación en un marco más amplio de gestión de exposición constante. 

Aquí es donde Tenable One establece conexiones entre el riesgo de vulnerabilidad y la exposición en el mundo real.

¿Cómo es eso?

• Una vulnerabilidad 5,5 según CVSS podría pasarse por alto de forma aislada, pero, si está vinculada a un sistema accesible desde Internet con controles IAM deficientes, Tenable One la señala como de alto riesgo.
• Por el contrario, una puntuación CVSS de 9,8 podría no representar una exposición significativa para su organización, por lo que podría dejar de darle prioridad, a menos que cambie el contexto de la amenaza.

Esta integración de la puntuación con la inteligencia de exposición le ayuda a hacer lo siguiente:

• Enfocar la corrección en las vulnerabilidades que crean rutas de ataque de alto riesgo.
• Visualizar cómo las fallas técnicas se conectan con el riesgo de identidad y la postura de la red.
• Medir las reducciones en el riesgo real de la superficie de ataque y presentar informes relacionados, en lugar de generar informes sobre las puntuaciones CVSS.

Cuando la puntuación forma parte de la gestión de exposición, deja de ser un número y se convierte en una señal que impulsa la acción.

Muchos marcos de cumplimiento se basan en CVSS para definir y aplicar los requisitos de gestión de vulnerabilidades, pero la forma en que los organismos reguladores lo aplican varía.

Ejemplos de CVSS en cumplimiento:

• PCI DSS v4.0 requiere la corrección de vulnerabilidades con una puntuación CVSS de 7,0 o superior en un período de tiempo determinado.
• La HIPAA no obliga a responder a las vulnerabilidades con una puntuación CVSS específica en un período de tiempo concreto, pero las evaluaciones de riesgos que utilizan CVSS se aceptan ampliamente como parte del programa de seguridad de las entidades contempladas.
• NIST 800-53 y NIST Cybersecurity Framework asignan controles a umbrales basados en CVSS para el seguimiento de vulnerabilidades y la respuesta de corrección.
• ISO/IEC 27001 reconoce CVSS como una herramienta para la evaluación de riesgos en el Anexo A.12.6.1 (gestión de vulnerabilidades técnicas).

Los auditores utilizan CVSS para hacer lo siguiente:

• Comprobar que haya clasificado las vulnerabilidades y haya tomado medidas al respecto con base en los umbrales definidos.
• Confirmar que se hayan implementado SLA para puntuaciones high/critical (altas o críticas).
• Verificar que cumpla los plazos de corrección y les dé seguimiento.
• Respaldar la documentación de los controles de compensación o las aceptaciones de riesgos para los problemas sin resolución.

Ejemplo: Una auditoría trimestral puede requerir pruebas de que se colocaron parches en la mayoría de las vulnerabilidades con una puntuación CVSS 7,0 o superior en un plazo de 30 días, o bien aceptar el riesgo formalmente.

Al combinar CVSS con las señales de criticidad y explotabilidad de los activos en Tenable One, también se pueden justificar excepciones basadas en el riesgo que cumplan con los objetivos de cumplimiento, incluso cuando no sea posible una corrección perfecta.

CVSS hace que el cumplimiento sea defendible. Tenable lo hace procesable.

Aunque muchas organizaciones utilizan CVSS, su aplicación eficaz plantea un desafío. Esto se hace especialmente evidente en el caso de las grandes empresas con superficies de ataque complejas y múltiples equipos de TI, seguridad y cumplimiento. 

Pero incluso algunas organizaciones más pequeñas a menudo se enfrentan a problemas similares.

A continuación, se indican cinco desafíos comunes en la implementación de CVSS y formas de superarlos:

1. Incoherencias en la puntuación entre herramientas

Problema: diferentes escáneres pueden asignar distintas puntuaciones CVSS o vectores para la misma vulnerabilidad, lo que hace que los equipos no sepan en qué puntuación confiar.

Solución: normalizar la puntuación a lo largo de todo su entorno utilizando una única fuente de confianza (por ejemplo, la Base de datos nacional de vulnerabilidades [NVD]) y confirmar las cadenas de vectores. El modelo de datos unificado que utiliza Tenable evita discrepancias, ya que consolida los hallazgos de todas las herramientas y entornos.

2. Dependencia excesiva de CVSS para la priorización

Problema: CVSS es una medida de gravedad, no de explotabilidad, accesibilidad ni impacto para el negocio. Los equipos que solo colocan parches en las vulnerabilidades con puntuaciones CVSS high (altas) suelen pasar por alto el riesgo real.

Solución: utilizar las señales de riesgo dinámicas de Tenable One, incluyendo el VPR, datos de explotación y criticidad de los activos. Combine CVSS con la probabilidad y el contexto de exposición para concentrarse en lo que realmente importa.

3. Falta de consideración de métricas ambientales

Problema: muchas organizaciones omiten la personalización de CVSS para adecuarlo a sus propias prioridades de seguridad, lo que da lugar a una priorización imprecisa.

Solución: implementar políticas de puntuación medioambiental. Por ejemplo, si la disponibilidad es fundamental para la misión (por ejemplo, en el sector de servicios de cuidado de la salud), aumente su ponderación en su fórmula de CVSS personalizada. Tenable permite automatizar los ajustes de la puntuación.

4. Equipos aislados en silos y herramientas fragmentadas

Problema: sin una lógica de puntuación o visibilidad común, los equipos de seguridad, infraestructura y cumplimiento trabajan de forma aislada en silos. La priorización es subjetiva o se duplica.

Solución: centralizar la visibilidad mediante Tenable One. Esta herramienta proporciona tableros de control y alertas que incorporan CVSS, pero van más allá, ya que incluyen señales ante las que todos los equipos pueden reaccionar: exposición en la nube, rutas de acceso de identidad, riesgo de movimiento lateral y mucho más.

5. La escalación de CVSS requiere contexto

En entornos empresariales, CVSS es verdaderamente eficaz cuando se combina con los siguientes elementos:

• Inteligencia de amenazas y predicción de vulnerabilidades.
• IA y análisis para reducir los falsos positivos.
• Puntuación del impacto para el negocio.
• Contexto en la nube y valor de los activos en tiempo real.

Tenable ofrece todo esto y convierte la puntuación estática en un motor de priorización dinámico y basado en el riesgo.

Tenable One combina la base que proporciona CVSS con señales del mundo real, inteligencia de activos y contexto de negocios, lo que crea un modelo de puntuación unificado que está diseñado para priorizar lo que realmente importa a su organización.

Por qué las puntuaciones CVSS estáticas no son suficientes:

• Tratan todos los entornos de la misma manera.
• No saben qué sistemas están orientados al público.
• No tienen en cuenta si los atacantes explotan activamente una vulnerabilidad.
• No consideran el valor de los activos, los niveles de privilegios y las rutas de ataque.

CVSS dice: "Esto es grave desde el punto de vista técnico".

Tenable One pregunta: "¿Esto es grave desde el punto de vista técnico, es explotable, está expuesto y es crítico para el negocio, en este momento?"

La puntuación de Tenable One incluye los siguientes elementos:

Ejemplo de puntuación: la priorización en acción

Supongamos que detecta 120 vulnerabilidades en su entorno de AWS:

• Cuarenta y cinco tienen puntuaciones CVSS entre 7,0 y 9,8.
• Tenable One señala 22 como de alto riesgo con base en señales del mundo real.
• Solo siete se cruzan con sus cargas de trabajo más confidenciales o identidades expuestas en la nube.

Tenable One le ayuda a:

• Enfocarse en las siete vulnerabilidades que realmente generan riesgo.
• Reducir la fatiga de alertas y el retraso en la colocación de parches.
• Alinear la corrección con lo que realmente preocupa a su equipo ejecutivo: la pérdida de ingresos y el daño a la reputación.

Tenable One no sustituye a CVSS. Lo mejora, ya que respalda las decisiones con contexto, no solo con puntuaciones.

¿Está listo para ir más allá de las puntuaciones estáticas? Unifique su visión con Tenable One y establezca prioridades con base en la exposición, la explotabilidad y el impacto para el negocio.

¿Qué es la puntuación CVSS?

Una puntuación CVSS es un índice numérico de 0,0 a 10,0 que indica la gravedad técnica de una vulnerabilidad de software con base en métricas estandarizadas.

¿Es lo mismo CVSS que riesgo?

No. CVSS muestra la gravedad, no la probabilidad ni el impacto para el negocio. El riesgo depende de la explotabilidad, la exposición y el contexto.

¿Cuál es la diferencia entre CVSS y EPSS?

CVSS mide la gravedad de una vulnerabilidad. EPSS calcula la probabilidad de que un agente malicioso la explote en los próximos 30 días. Utilice ambos sistemas para obtener una mejor priorización.

¿Puedo personalizar las puntuaciones CVSS?

Sí. Puede aplicar métricas ambientales para ajustar la importancia y los controles de compensación específicos de su entorno.

¿La puntuación CVSS varía entre las diferentes herramientas?

Es posible. La interpretación del vector CVSS es subjetiva. Revise siempre la cadena completa del vector, no solo la puntuación numérica.

¿Se acepta CVSS en las auditorías de cumplimiento?

Sí. La puntuación CVSS cuenta con el reconocimiento de PCI DSS, NIST, ISO 27001 y muchos otros marcos. Los equipos suelen utilizarla para definir los SLA de parches y los umbrales de riesgo.

¿Puedo utilizar CVSS en flujos de trabajo DevSecOps?

Un placer.Puede utilizar CVSS en los pipelines de CI/CD para bloquear compilaciones, activar correcciones automatizadas o aplicar SLA.

¿Cuál es la última versión de CVSS?

FIRST lanzó CVSS v4.0 en 2023, que ofrece mayor detalle y compatibilidad con la automatización. Actualmente, las organizaciones siguen utilizando CVSS v3.1 ampliamente.

¿Dónde puedo calcular la puntuación CVSS?

Utilice la calculadora oficial de CVSS para introducir los valores base, temporales y ambientales.

¿Qué es una evaluación de CVSS?

Una evaluación de CVSS es el proceso de aplicación de métricas de CVSS a una vulnerabilidad conocida para calcular su puntuación de gravedad, que se puede utilizar con fines de clasificación o cumplimiento.

¿Qué es la certificación de CVSS?

No existe una certificación de CVSS formal, pero muchas certificaciones y cursos de seguridad (por ejemplo, Profesional certificado de seguridad de sistemas de información[CISSP]) pueden incluir la puntuación CVSS como parte de la formación en el análisis de vulnerabilidades.

¿Qué es la prueba de CVSS?

Una prueba de CVSS por lo general implica evaluar cómo los equipos puntúan o confirman una vulnerabilidad. También puede incluir el uso de una calculadora de CVSS para simular el impacto potencial.

¿Qué es una vulnerabilidad de CVSS?

Una vulnerabilidad de CVSS es una vulnerabilidad de conocimiento público que se analiza y califica utilizando el marco CVSS, normalmente con un ID de CVE.

CVE vs. CVSS: ¿cuál es la diferencia?

Una CVE es un identificador que da seguimiento a una vulnerabilidad específica. CVSS es el sistema de puntuación que califica su gravedad.

CVSS es un punto de partida esencial, pero no es la respuesta final.

Le ofrece una manera de medir la gravedad de las vulnerabilidades de manera coherente a lo largo de todos los sistemas que todos pueden comprenden, independientemente de sus conocimientos técnicos.

Sin embargo, las superficies de ataque actuales —que abarcan la nube, la identidad, la OT y los activos efímeros— requieren un modelo de puntuación adaptable. Un modelo que tenga en cuenta la exposición, no solo el impacto teórico; que establezca prioridades con base en el riesgo para el negocio, no en un número en una escala. 

Eso es lo que ofrece Tenable One.

CVSS le indica la gravedad que podría tener. Tenable One le indica qué debe reparar primero.