Saltar al contenido principal

CVE - Cómo se identifican y rastrean las vulnerabilidades

Lectura de 2 min aprox.

CVE (Common Vulnerabilities and Exposures) es una convención de nomenclatura internacional que asigna un identificador único a las vulnerabilidades de seguridad divulgadas públicamente. Compuesto por un año y un número secuencial, como «CVE-2024-12345», permite referenciar con precisión la misma vulnerabilidad entre distintos proveedores y herramientas. La MITRE Corporation comenzó a operarlo en 1999 y, a fecha de 2025, se han registrado en total más de 270.000 CVE, con un número de nuevos registros anuales también en aumento.

Casos de uso reales

«Cuando se divulgó CVE-2024-3094 (la puerta trasera en xz Utils), el equipo de gestión de vulnerabilidades cotejó el SBOM e identificó el alcance del impacto en dos horas. Como se calificó como Critical con una puntuación CVSS de 10.0, degradamos los paquetes de todos los servidores el mismo día.»

El ciclo de vida de un CVE

Descubrimiento de la vulnerabilidad (investigadores, proveedores, recompensas por errores)
Una CNA reserva y asigna un número CVE
El proveedor desarrolla un parche de corrección
La información del CVE se publica en NVD / JVN (con una puntuación CVSS asignada)
Cada organización aplica parches y realiza evaluaciones de riesgo

Historia y funcionamiento

Antes de que existiera el sistema CVE, cada proveedor asignaba un nombre diferente a la misma vulnerabilidad, lo que generaba confusión en el intercambio de información. Los números CVE los emiten organismos acreditados llamados CNA (CVE Numbering Authority). Proveedores importantes como Google, Microsoft y Red Hat tienen la autoridad de asignar números CVE de forma independiente como CNA de sus propios productos. La gravedad de una vulnerabilidad se evalúa con una puntuación CVSS (Common Vulnerability Scoring System) de 0.0 a 10.0, y una puntuación de 9.0 o superior se clasifica como «Critical».libros de introducción a la gestión de vulnerabilidades (Amazon) permiten aprender de forma sistemática.

Aplicación práctica

En el trabajo de gestión de parches, las prioridades de respuesta se determinan en función de los números CVE. Es importante realizar un juicio integral que considere no solo la puntuación CVSS, sino también si se ha publicado código de explotación (exploit) y si la vulnerabilidad afecta a tu propio entorno. Consulta periódicamente la información de CVE en la NVD (National Vulnerability Database) y JVN (Japan Vulnerability Notes), y combínala con la inteligencia de amenazas para lograr una respuesta rápida. También es importante proteger el acceso a las herramientas de gestión de vulnerabilidades con una contraseña aleatoria robusta y evitar la manipulación del estado de aplicación de los parches.libros sobre gestión de información de seguridad (Amazon) también son una referencia útil.

Términos relacionados

¿Te resultó útil este artículo?

XHatena