CVSS (Common Vulnerability Scoring System) es un estándar abierto para evaluar la gravedad de vulnerabilidades de seguridad informática y proporcionar una puntuación numérica que refleja la gravedad.

¿Qué es CVSS?

CVSS es un marco estándar para evaluar y comunicar la gravedad de vulnerabilidades de seguridad informática, proporcionando una puntuación numérica de 0.0 a 10.0 que refleja la gravedad de la vulnerabilidad.

Versiones de CVSS

CVSS v1.0 (2005)

• Características: Primera versión del estándar
• Métricas: Métricas básicas de evaluación
• Aplicación: Evaluación inicial de vulnerabilidades
• Limitaciones: Métricas limitadas

CVSS v2.0 (2007)

• Características: Versión mejorada con más métricas
• Métricas: Métricas expandidas de evaluación
• Aplicación: Evaluación estándar de vulnerabilidades
• Mejoras: Más precisión en evaluación

CVSS v3.0 (2015)

• Características: Versión actual con métricas refinadas
• Métricas: Métricas refinadas y expandidas
• Aplicación: Evaluación moderna de vulnerabilidades
• Mejoras: Mayor precisión y detalle

CVSS v3.1 (2019)

• Características: Versión actual con mejoras menores
• Métricas: Métricas refinadas y clarificadas
• Aplicación: Evaluación actual de vulnerabilidades
• Mejoras: Clarificaciones y mejoras menores

Estructura de CVSS

Métricas Base (Base Metrics)

• Definición: Características intrínsecas de la vulnerabilidad
• Aplicación: Evaluación independiente del entorno
• Temporalidad: No cambian con el tiempo
• Responsabilidad: Evaluador de vulnerabilidades

Métricas Temporales (Temporal Metrics)

• Definición: Características que cambian con el tiempo
• Aplicación: Evaluación que considera el tiempo
• Temporalidad: Cambian con el tiempo
• Responsabilidad: Evaluador de vulnerabilidades

Métricas Ambientales (Environmental Metrics)

• Definición: Características específicas del entorno
• Aplicación: Evaluación específica del entorno
• Temporalidad: Específicas del entorno
• Responsabilidad: Usuario final

Métricas Base (CVSS v3.1)

Vector de Ataque (Attack Vector)

• Red (N): Vulnerabilidad explotable desde la red
• Adyacente (A): Vulnerabilidad explotable desde red adyacente
• Local (L): Vulnerabilidad explotable localmente
• Físico (P): Vulnerabilidad explotable físicamente

Complejidad de Ataque (Attack Complexity)

• Baja (L): Condiciones especiales no requeridas
• Alta (H): Condiciones especiales requeridas

Privilegios Requeridos (Privileges Required)

• Ninguno (N): No se requieren privilegios
• Bajo (L): Se requieren privilegios básicos
• Alto (H): Se requieren privilegios administrativos

Interacción del Usuario (User Interaction)

• Ninguna (N): No se requiere interacción del usuario
• Requerida (R): Se requiere interacción del usuario

Alcance (Scope)

• Sin cambios (U): Vulnerabilidad no afecta otros componentes
• Con cambios (C): Vulnerabilidad afecta otros componentes

Confidencialidad (Confidentiality)

• Ninguna (N): No hay pérdida de confidencialidad
• Baja (L): Pérdida limitada de confidencialidad
• Alta (H): Pérdida total de confidencialidad

Integridad (Integrity)

• Ninguna (N): No hay pérdida de integridad
• Baja (L): Pérdida limitada de integridad
• Alta (H): Pérdida total de integridad

Disponibilidad (Availability)

• Ninguna (N): No hay pérdida de disponibilidad
• Baja (L): Pérdida limitada de disponibilidad
• Alta (H): Pérdida total de disponibilidad

Métricas Temporales (CVSS v3.1)

Explotabilidad (Exploitability)

• No definida (X): No se ha definido
• No confirmada (U): No se ha confirmado
• Prueba de concepto (P): Prueba de concepto disponible
• Funcional (F): Exploit funcional disponible
• Alto (H): Exploit ampliamente disponible

Nivel de Remedio (Remediation Level)

• No definido (X): No se ha definido
• Oficial (O): Remedio oficial disponible
• Temporal (T): Remedio temporal disponible
• Workaround (W): Workaround disponible
• No disponible (U): No hay remedio disponible

Confianza del Reporte (Report Confidence)

• No definida (X): No se ha definido
• Desconocida (U): Confianza desconocida
• Razonable (R): Confianza razonable
• Confirmada (C): Confianza confirmada

Métricas Ambientales (CVSS v3.1)

Modificadores de Confidencialidad

• No definido (X): No se ha definido
• Ninguna (N): No hay pérdida de confidencialidad
• Baja (L): Pérdida limitada de confidencialidad
• Alta (H): Pérdida total de confidencialidad

Modificadores de Integridad

• No definido (X): No se ha definido
• Ninguna (N): No hay pérdida de integridad
• Baja (L): Pérdida limitada de integridad
• Alta (H): Pérdida total de integridad

Modificadores de Disponibilidad

• No definido (X): No se ha definido
• Ninguna (N): No hay pérdida de disponibilidad
• Baja (L): Pérdida limitada de disponibilidad
• Alta (H): Pérdida total de disponibilidad

Cálculo de Puntuación

Puntuación Base

• Fórmula: Cálculo basado en métricas base
• Rango: 0.0 a 10.0
• Aplicación: Evaluación estándar
• Responsabilidad: Evaluador de vulnerabilidades

Puntuación Temporal

• Fórmula: Cálculo basado en métricas temporales
• Rango: 0.0 a 10.0
• Aplicación: Evaluación temporal
• Responsabilidad: Evaluador de vulnerabilidades

Puntuación Ambiental

• Fórmula: Cálculo basado en métricas ambientales
• Rango: 0.0 a 10.0
• Aplicación: Evaluación específica del entorno
• Responsabilidad: Usuario final

Niveles de Gravedad

Crítico (9.0 - 10.0)

• Características: Vulnerabilidades críticas
• Impacto: Impacto severo en la organización
• Prioridad: Prioridad máxima de remedio
• Tiempo: Remedio inmediato requerido

Alto (7.0 - 8.9)

• Características: Vulnerabilidades de alta gravedad
• Impacto: Impacto significativo en la organización
• Prioridad: Prioridad alta de remedio
• Tiempo: Remedio urgente requerido

Medio (4.0 - 6.9)

• Características: Vulnerabilidades de gravedad media
• Impacto: Impacto moderado en la organización
• Prioridad: Prioridad media de remedio
• Tiempo: Remedio planificado requerido

Bajo (0.1 - 3.9)

• Características: Vulnerabilidades de baja gravedad
• Impacto: Impacto limitado en la organización
• Prioridad: Prioridad baja de remedio
• Tiempo: Remedio cuando sea posible

Ninguno (0.0)

• Características: Sin vulnerabilidad
• Impacto: Sin impacto en la organización
• Prioridad: Sin prioridad de remedio
• Tiempo: Sin tiempo de remedio requerido

Vector de CVSS

Formato del Vector

• Formato: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
• Versión: CVSS:3.1
• Métricas: AV, AC, PR, UI, S, C, I, A
• Valores: N, L, H, R, U, C, P, F, X

Ejemplo de Vector

• CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
• AV:N: Vector de ataque de red
• AC:L: Complejidad de ataque baja
• PR:N: Sin privilegios requeridos
• UI:N: Sin interacción del usuario
• S:U: Sin cambios en el alcance
• C:H: Pérdida total de confidencialidad
• I:H: Pérdida total de integridad
• A:H: Pérdida total de disponibilidad

Herramientas y Recursos

Herramientas de Cálculo

• CVSS Calculator: Calculadora oficial de CVSS
• NVD CVSS Calculator: Calculadora del NVD
• CVSS v3.1 Calculator: Calculadora de CVSS v3.1
• CVSS Vector Generator: Generador de vectores CVSS

Recursos Adicionales

• CVSS v3.1 Specification: Especificación oficial
• CVSS v3.1 User Guide: Guía del usuario
• CVSS Examples: Ejemplos de CVSS
• CVSS Best Practices: Mejores prácticas

Casos de Uso

Gestión de Vulnerabilidades

• Priorización: Priorización de vulnerabilidades
• Remedio: Planificación de remedio
• Comunicación: Comunicación de gravedad
• Reporte: Reporte de estado

Evaluación de Riesgos

• Análisis: Análisis de riesgos
• Mitigación: Planificación de mitigación
• Monitoreo: Monitoreo de riesgos
• Actualización: Actualización de riesgos

Cumplimiento

• Auditoría: Auditorías de seguridad
• Reporte: Reportes de cumplimiento
• Certificación: Certificaciones de seguridad
• Validación: Validación de controles

Mejores Prácticas

Evaluación

1. Consistencia: Evaluación consistente
2. Precisión: Evaluación precisa
3. Actualización: Actualización regular
4. Validación: Validación de evaluaciones
5. Documentación: Documentación de evaluaciones

Implementación

1. Herramientas: Uso de herramientas apropiadas
2. Procesos: Procesos estandarizados
3. Capacitación: Capacitación del personal
4. Monitoreo: Monitoreo continuo
5. Mejora: Mejora continua

Conceptos Relacionados

• CVE - Identificadores de vulnerabilidades
• Vulnerability Assessment - Evaluación de vulnerabilidades
• Evaluación de Riesgos - Proceso de evaluación
• Monitoreo y Revisión - Control continuo
• Auditorías - Verificación de seguridad
• CISO - Rol responsable de gestión
• NIST - Framework de ciberseguridad
• ISO 27001 - Sistema de gestión

Referencias

• CVSS v3.1 Specification
• CVSS v3.1 User Guide
• CVSS Calculator
• NVD CVSS Calculator
• CVSS Examples

Glosario

• CVSS: Common Vulnerability Scoring System
• CVE: Common Vulnerabilities and Exposures
• NVD: National Vulnerability Database
• AV: Attack Vector
• AC: Attack Complexity
• PR: Privileges Required
• UI: User Interaction
• S: Scope
• C: Confidentiality
• I: Integrity
• A: Availability