No todas las vulnerabilidades son iguales; así es el sistema que indica cuáles son las más peligrosas

Nuestros dispositivos y sistemas pueden sufrir muchas vulnerabilidades que comprometan la seguridad y el buen funcionamiento. Sin embargo no todas ellas son igual de importantes. En ocasiones una vulnerabilidad puede ser difícilmente explotada y además generar problemas que no comprometan realmente la privacidad y seguridad de los usuarios, mientras que otras pueden tener una severidad muy elevada. Ahora bien, ¿cómo calculan la importancia de una vulnerabilidad? Vamos a explicarlo en este artículo.

Cómo valoran la peligrosidad de las vulnerabilidades

Frecuentemente vemos vulnerabilidades que afectan a Windows y otros sistemas operativos, así como aplicaciones y software en general, por ejemplo. Tienen un nombre para identificarlas. Hemos visto muchas con la denominación CVE y una serie de números. Sin embargo la importancia de esa vulnerabilidad la obtiene a través de un sistema de puntuación.

Ese sistema del que hacemos mención se denomina CVSS. Viene del inglés Common Vulnerability Scoring System. Sirve para medir el impacto real que esa vulnerabilidad puede tener y cómo de peligrosa es.

CVSS en realidad es una fórmula. Es un sistema que tiene en cuenta diferentes aspectos para dar una valoración de 0 a 10 a esa vulnerabilidad. Lógicamente mientras más cerca se encuentre del 10, más peligro representa para los usuarios. Concretamente, cuando la puntuación es entre 0 y 3,9 se considera una vulnerabilidad de severidad baja. Cuando la cifra resultante se encuentra entre 4 y 6,9 estaríamos ante una de peligrosidad media, mientras que de 7 a 10 son las más peligrosas.

Sistema para valorar las vulnerabilidades

Tres grupos para calcular la puntuación de la vulnerabilidad

Para calcular esta puntuación tienen en cuenta 3 grupos. Dentro de cada grupo hay una serie de métricas y fórmulas que utilizan para obtener el resultado final. El primero se llama grupo de métricas base. Aquí tienen en cuenta el vector de acceso, la complejidad del mismo, la autenticación, impacto a la confidencialidad, impacto a la integridad y a la disponibilidad.

El segundo es el grupo de métricas temporales. Aquí tienen en cuenta la explotabilidad, nivel de remediación y reporte de confianza.

El tercero y último es el grupo de métricas de entorno. Incluye el daño potencial colateral, distribución de objetivos, requerimiento de confidencialidad, requerimiento de integridad y de disponibilidad.

Cada uno de estos valores tiene una ecuación para medir la métrica y posteriormente obtener el resultado final. De esta forma se crea una puntuación personalizada para cada vulnerabilidad y así logran reconocer el riesgo real que tiene.

Todas estas fórmulas son complejas y muy diversas. Sin embargo tenemos a nuestra disposición herramientas que nos facilitan la tarea. Simplemente es necesario rellenar una serie de datos en relación a esa vulnerabilidad y posteriormente da una puntuación.

En definitiva, todas las vulnerabilidades no son iguales. Es importante solucionar lo antes posible aquellas que tengan una severidad alta. De hecho son las primeras donde ponen sus ojos los ciberdelincuentes y también la prioridad para lanzar parches de seguridad.

Nuestro consejo es siempre tener el sistema, así como las diferentes aplicaciones que utilicemos, actualizados a la última versión. De esta forma podremos estar protegidos ante posibles ataques que comprometan la seguridad y pongan en riesgo nuestra privacidad.