Clasificación de Criticidad de Vulnerabilidades

Back to: BHPX – Black Hat Pentesting eXpert Network & Web Exploitation

1. 🔍 ¿Qué es el CVSS?

El CVSS (Common Vulnerability Scoring System) es el estándar global para cuantificar el impacto técnico de una vulnerabilidad, asignando un valor numérico entre 0.0 (sin impacto) y 10.0 (crítico).

CVSS Score	Criticidad	Color
0.0	Informativa	Gris
0.1 – 3.9	Baja	Verde
4.0 – 6.9	Media	Amarillo
7.0 – 8.9	Alta	Naranja
9.0 – 10.0	Crítica	Rojo

📈 Aplicación: Permite priorizar la remediación en función del riesgo técnico
🧠 Valor: Estandariza el análisis de vulnerabilidades entre equipos, auditores y herramientas

2. 🧮 ¿Cómo usar la Calculadora CVSS?

La calculadora oficial de CVSS permite obtener la puntuación base de una vulnerabilidad eligiendo las características técnicas del hallazgo:

Attack Vector (AV): ¿Se explota remotamente o localmente?
Privileges Required (PR): ¿Requiere autenticación o acceso previo?
Confidentiality / Integrity / Availability Impact: ¿Qué impacto produce?
Otros vectores como Scope, User Interaction, Attack Complexity, etc.

🔗 Enlace directo: Calculadora CVSS v3.1

⚙️ Resultado: Un puntaje numérico + una categoría (baja, media, alta, crítica)
📊 Usabilidad: Ideal para informes técnicos y matrices de riesgo

3. ⚠️ Factores Adicionales a Considerar

🧬 Explotabilidad: ¿Es fácil ejecutar el ataque?
🔓 Impacto: ¿Permite control remoto o fuga de información?
🧑‍💻 Exploit Público: ¿Ya existe una herramienta para explotarla?
💼 Activo Afectado: ¿Impacta a sistemas críticos del negocio?

🔍 Consejo: No todo CVSS alto implica riesgo real si el entorno está protegido
🛠️ Complementa: CVSS con análisis de contexto organizacional (Environmental Score)

4. 📊 Tabla de Clasificación Práctica

A continuación se presentan ejemplos de escenarios comunes para cada nivel de criticidad:

Criticidad	Descripción
Crítica	Permite control total del sistema sin autenticación. Fuga de datos masiva o ejecución remota de código.
Alta	Acceso parcial o ejecución remota con credenciales mínimas o interacción.
Media	Requiere interacción del usuario o tiene impacto limitado en integridad/confidencialidad.
Baja	Información accesible públicamente sin explotación directa.
Informativa	Datos técnicos sin riesgo directo (ej: banners, headers, versiones).

📌 Pro Tip: Usa esta clasificación para redactar hallazgos más claros y comprensibles para el cliente

5. 🛠️ Herramientas para Evaluar Criticidad

🧠 Consejo profesional: Revisa tanto CVSS Base como Temporal y Environmental
📋 Recomendación: Incluye puntuación y criticidad en todos los reportes técnicos

6. 🧭 Conclusión

La clasificación adecuada de vulnerabilidades permite priorizar esfuerzos, enfocar recursos de ciberseguridad y comunicar riesgos con claridad. CVSS es una herramienta indispensable para pentesters, auditores y equipos de respuesta ante incidentes.

🔐 Clave: El CVSS no solo mide gravedad técnica, también guía decisiones de mitigación
🚀 Aplicación real: Desde análisis técnico hasta presentaciones ejecutivas

🔗 Consulta adicional y referencias

Explora estas fuentes para dominar la evaluación de criticidad con CVSS:

🔗 FIRST – CVSS v3.1 Official Calculator
🔗 NVD – CVSS v3.x Calculator
🔗 ChandanBN – Visual CVSS Calculator
🔗 PentestList – CVSS 3.1 Calculator
🔗 FIRST – CVSS User Guide
🔗 AllDayDevOps – Impacto del CVSS en Seguridad Empresarial

Certisysnet Solutions