El incremento en la explotación de debilidades en la seguridad de software y aplicaciones ha experimentado un crecimiento exponencial año tras año, ocasionando pérdidas significativas a empresas y entidades gubernamentales.
Aunque los impactos son más notorios hoy, el interés por las vulnerabilidades se ha investigado durante más de dos décadas.
En enero de 1999, durante el segundo taller sobre bases de datos de vulnerabilidades de seguridad, los coautores de CVE (Enumeración de Vulnerabilidades Comunes), David E. Mann y Steven M. Christey de The MITRE Corporation, presentaron la primera versión de lo que eventualmente se convertiría en la Lista CVE.
Este concepto originó 321 registros CVE, publicados oficialmente en septiembre de 1999.
Continúe explorando este contenido para una comprensión más profunda de CVE y CVSS, y de cómo estos sistemas y conceptos se utilizan para clasificar vulnerabilidades en seguridad digital.
¿Qué es la Lista CVE?
La Lista CVE consiste en una enumeración de identificadores únicos para vulnerabilidades en ciberseguridad.
Su objetivo es estandarizar la identificación y descripción de vulnerabilidades en software y sistemas, permitiendo a la comunidad de seguridad compartir información de manera consistente y eficiente. Esto posibilita a usuarios y organizaciones acceder a información precisa y actualizada sobre vulnerabilidades de seguridad.
La Lista CVE es administrada por MITRE Corporation, una organización sin ánimo de lucro financiada por el gobierno de los Estados Unidos. Es ampliamente utilizada en la industria de la ciberseguridad y representa una referencia crucial para investigadores, proveedores de software, empresas de seguridad y usuarios finales.
La importancia de CVE ha sido elevada por la comunidad de ciberseguridad a través del desarrollo de productos y servicios «compatibles con CVE» desde su lanzamiento. Actualmente, numerosos productos y servicios alrededor del mundo hacen uso de los registros CVE.
Otro factor que impulsa su adopción es la inclusión continua de los identificadores CVE en avisos de seguridad. Importantes proveedores de sistemas operativos y otras organizaciones globalmente reconocidas incluyen los identificadores CVE en sus alertas para asegurar que la comunidad internacional se beneficie tan pronto como se identifique un problema.
Los registros CVE también son utilizados para identificar vulnerabilidades en listas de vigilancia públicas como OWASP, y son clasificados en términos de gravedad utilizando el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS).
Identificación y Clasificación de Vulnerabilidades CVE
CVE constituye una lista de identificadores únicos para vulnerabilidades en ciberseguridad. Estas vulnerabilidades se clasifican de acuerdo con su gravedad e impacto siguiendo una nomenclatura específica:
CVE-AAAA-NNNN: Identificador único compuesto por un año (AAAA) y un número secuencial de cuatro dígitos (NNNN).
Gravedad: Las vulnerabilidades se clasifican según su gravedad, utilizando la escala CVSS (Sistema de Puntuación de Vulnerabilidades Comunes), la cual varía de 0 a 10. A mayor número, mayor gravedad de la vulnerabilidad.
Impacto: Las vulnerabilidades se clasifican según el impacto que puedan tener en el sistema afectado, incluyendo aspectos como la confidencialidad, integridad y disponibilidad de los datos.
Estas clasificaciones CVE son utilizadas para identificar, analizar y remediar vulnerabilidades de seguridad en software y sistemas. Esto proporciona a la comunidad de ciberseguridad un estándar común para comunicar y compartir información sobre vulnerabilidades, contribuyendo así a proteger a usuarios y organizaciones de posibles ataques.
CVSS: Concepto y Utilidad
El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es un marco abierto diseñado para comunicar las características y la gravedad de las vulnerabilidades en software, hardware y firmware. Proporciona puntuaciones numéricas que indican la gravedad de una vulnerabilidad en comparación con otras.
CVSS consta de tres grupos de métricas:
Métrica Base: Representa las características del activo vulnerable que son constantes en el tiempo, incluyendo la facilidad de explotación y el impacto directo de un exploit exitoso.
Métrica Temporal: Ajusta la gravedad base de una vulnerabilidad considerando factores que pueden cambiar con el tiempo, como la disponibilidad de parches o la aparición de kits de explotación.
Métrica Ambiental: Representa las características de una vulnerabilidad específicas del entorno del usuario, permitiendo ajustes personalizados en la puntuación CVSS.
Las puntuaciones CVSS oscilan entre 0 y 10, pudiendo ser modificadas con las métricas temporales y ambientales. Es común que solo se publiquen las métricas base, mientras que las métricas temporales y ambientales son complementadas por los usuarios según el contexto organizacional.
Paulina Jara