Glosario
Qué es CVSS: la puntuación de gravedad y cómo se calcula en realidad
CVSS valora la gravedad de una vulnerabilidad de 0.0 a 10.0, calculada a partir de métricas definidas (vector de ataque, privilegios, impacto en CIA) mediante una fórmula pública, no a ojo. La rúbrica de puntuación, la cadena de vector, qué hace un 10.0 y v3.1 vs v4.0.
"CVSS 10.0", "un RCE con CVSS 9.8": los números de cada titular de vulnerabilidad. No están inventados: salen de un conjunto definido de métricas y una fórmula. Aquí tienes cómo leerlos, desde cero.
Primero, la guía de puntuación
| Puntuación | Rango | Sensación |
|---|---|---|
| 9.0 – 10.0 | Crítica | Actúa ya; a menudo de clase "secuestro" |
| 7.0 – 8.9 | Alta | Atiéndelo pronto |
| 4.0 – 6.9 | Media | Planifícalo |
| 0.1 – 3.9 | Baja | Mantenlo vigilado |
Si un CVE es el nombre de una vulnerabilidad, CVSS es su puntuación de gravedad. "Un RCE con CVSS 10.0" significa una ejecución remota de código de máxima clasificación: la peor clase.
De verdad hay una rúbrica
Una puntuación CVSS se construye a partir de tres grupos de métricas. Lo que se publica como "CVE-XXXX es 9.8" es casi siempre la puntuación Base.
Base
La vulnerabilidad en sí. El valor publicado.
Threat
Ajustada con el tiempo por la disponibilidad de exploits.
Environmental
Recalculada para tu propia configuración y prioridades.
① Explotabilidad
② Impacto
La puntuación Base es, a grandes rasgos, "① lo fácil que es explotar" × "② lo grande que es el impacto". Las dos tablas siguientes son esas métricas.
① Explotabilidad (con qué facilidad se puede atacar)
| Métrica | Valores | Peor caso (sube la puntuación) |
|---|---|---|
| Vector de ataque (AV) | Red / Adyacente / Local / Físico | Red (por internet) es lo más peligroso |
| Complejidad del ataque (AC) | Baja / Alta | Baja (sin condiciones especiales) es peligrosa |
| Privilegios requeridos (PR) | Ninguno / Bajos / Altos | Ninguno (sin necesidad de iniciar sesión) es peligroso |
| Interacción del usuario (UI) | Ninguna / Requerida | Ninguna (la víctima no hace nada) es peligrosa |
② Impacto (qué pasa si tiene éxito)
CIA = los tres pilares de la seguridad: Confidencialidad, Integridad, Disponibilidad.
| Métrica | Valores | "Alto" significa |
|---|---|---|
| Alcance (S) | Sin cambio / Con cambio | Con cambio = la brecha cruza su frontera de privilegio original |
| Confidencialidad (C) | Alta / Baja / Ninguna | los datos se pueden leer por completo |
| Integridad (I) | Alta / Baja / Ninguna | los datos se pueden alterar libremente |
| Disponibilidad (A) | Alta / Baja / Ninguna | el servicio se puede detener por completo |
'Alcance: Con cambio' es lo que empuja la puntuación hacia arriba
Por ejemplo, un daño confinado dentro de un contenedor (Sin cambio) frente a uno que se propaga desde ahí al host u otros servicios (Con cambio). Que "cruce la caja" mueve mucho la puntuación en condiciones por lo demás idénticas.
La cadena de vector: la "receta" de la puntuación en una línea
Toda puntuación CVSS viene con una cadena de vector: un registro de qué métricas se eligieron, es decir, la razón del número.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H → 10.0 (Crítica)Desglosada, todo está puesto en "lo más peligroso":
| Segmento | Significado | Este ejemplo |
|---|---|---|
AV:N | Vector de ataque = Red | alcanzable por internet |
AC:L | Complejidad del ataque = Baja | fácil de lograr |
PR:N | Privilegios requeridos = Ninguno | sin autenticación |
UI:N | Interacción del usuario = Ninguna | sin acción de la víctima |
S:C | Alcance = Con cambio | cruza la frontera |
C:H / I:H / A:H | CIA = todo Alto | leído, escrito y detenido |
Qué separa un 10.0 de un 9.8
Pon el Alcance en "Sin cambio" (S:U) en ese ejemplo y las mismas condiciones puntúan 9.8. Que cruce la frontera (S:C) es lo que alcanza el máximo 10.0. Así que 9.8 vs 10.0 = "ambos de la peor clase, pero el radio de impacto difiere en un escalón".
v3.1 vs v4.0: ahora mismo ambas están en circulación
La versión actual es v4.0 (2023), pero la mayoría de CVE todavía se puntúan con v3.1 (2019), así que las dos coexisten por ahora.
| CVSS v3.1 | CVSS v4.0 | |
|---|---|---|
| Lanzada | 2019 | 2023 |
| Notación | puntuación + vector | CVSS-B / BT / BE / BTE, propósito explícito |
| Interacción del usuario | Ninguna / Requerida (2) | Ninguna / Pasiva / Activa (3) |
| Alcance | Alcance (S), una métrica | divide el impacto en "sistema vulnerable" y "sistema posterior" |
| Extras | ninguno | añade métricas suplementarias (automatizable, recuperación, seguridad física…) |
No te dejes gobernar solo por la puntuación
La rúbrica hace a CVSS potente. Pero la puntuación es un valor teórico del peor caso. En la práctica, multiplícala por dos factores.
Comprueba si se está explotando (KEV)
Las vulnerabilidades observadas bajo ataque real (KEV — Known Exploited Vulnerabilities) son máxima prioridad independientemente de la puntuación. "Que te disparen ahora" pesa más que el número teórico.
Comprueba si usas la función afectada
Un CVSS 10.0 tiene poco impacto real si no usas el componente; una puntuación media es máxima prioridad si lo tocas en producción. Juzga por la versión que realmente se ejecuta.
Un CVSS 10.0 público desestimado como "no es mi problema" condujo a un incidente de facturación fraudulenta. Una puntuación nunca es una razón para desatender. → El CVSS 10.0 desatendido
Sigue leyendo
- Glosario: Qué es un CVE · Qué es RCE
- Defensa: Integra CVE/CVSS en tu flujo de trabajo
FAQ
Q¿CVSS tiene una rúbrica de puntuación real o es a ojo?
Tiene una rúbrica definida. Seleccionas métricas —vector de ataque (AV), complejidad del ataque (AC), privilegios requeridos (PR), interacción del usuario (UI), alcance (S) y confidencialidad/integridad/disponibilidad (CIA)— y las pasas por una fórmula pública para obtener un 0.0–10.0. Está diseñada para ser reproducible: las mismas entradas dan la misma puntuación.
Q¿Quién asigna la puntuación?
El estándar lo mantiene FIRST. Las puntuaciones de cada CVE las asignan NVD (NIST) o los proveedores siguiendo la rúbrica. La misma vulnerabilidad puede puntuarse de forma ligeramente distinta según el evaluador.
Q¿A partir de qué puntuación es peligrosa?
Como guía: 9.0–10.0 Crítica, 7.0–8.9 Alta, 4.0–6.9 Media, 0.1–3.9 Baja. Pero la puntuación es un valor teórico del peor caso: comprueba también si realmente aplica a tu configuración.
Q¿Debe arreglarse siempre primero un CVSS alto?
Normalmente sí, pero importa más si se explota activamente (KEV) y si usas la función afectada. Un 10.0 que no usas puede tener impacto cero; una puntuación media bajo explotación activa es la máxima prioridad.