Identificación y Evaluación de Vulnerabilidades con CVSS v3.1

Flashcards en español sobre la identificación y evaluación de vulnerabilidades según el estándar CVSS v3.1.

Vulnerabilidad

Un punto débil en un sistema informático que puede ser explotado.

Malware

Software malicioso que daña sistemas y roba información sensible.

Phishing

Ataques de suplantación para obtener credenciales y accesos no autorizados.

Ransomware

Cifrado de datos para exigir rescates económicos.

Vulnerabilidad

Debilidad interna que puede ser explotada.

Amenaza

Agente externo que aprovecha la vulnerabilidad.

Riesgo

Posibilidad de daño cuando una amenaza explota una vulnerabilidad existente.

Identificar vulnerabilidades

Minimiza la superficie de ataque y fortalece las defensas organizacionales.

CVSS

Estándar abierto para evaluar la gravedad de las vulnerabilidades informáticas.

CVSS

Facilita la comunicación entre equipos técnicos y gerenciales y ayuda a decidir qué vulnerabilidades resolver primero.

AV

Vector de Ataque. Desde dónde puede explotarse la vulnerabilidad.

AC

Complejidad de Ataque. Dificultad para ejecutar el ataque.

PR

Privilegios Requeridos. Nivel de acceso necesario para atacar.

UI

Interacción del Usuario. Participación de usuarios en el ataque.

S

Alcance. Capacidad de afectar otros componentes.

C, I, A

Impactos en confidencialidad, integridad y disponibilidad.

Red (N)

Explotable remotamente a través de Internet.

Adyacente (A)

Requiere acceso a red local compartida.

Local (L)

Necesita acceso local al sistema.

Físico (P)

Exige contacto físico con el dispositivo.

Baja (L) Complejidad de Ataque

El atacante puede explotar la vulnerabilidad repetidamente con éxito; no requiere condiciones especiales.

Alta (H) Complejidad de Ataque

La explotación requiere condiciones específicas fuera del control del atacante.

Ninguno (N) Privilegios Requeridos

El atacante no necesita autenticación; puede atacar sin credenciales de acceso al sistema.

Bajo (L) Privilegios Requeridos

Requiere privilegios básicos como usuario estándar con acceso limitado.

Alto (H) Privilegios Requeridos

Exige privilegios administrativos o de sistema para explotar la vulnerabilidad.

Ninguna (N) Interacción del Usuario

La vulnerabilidad se explota sin participación de usuarios; el ataque es completamente automatizado.

Requerida (R) Interacción del Usuario

Necesita que un usuario realice alguna acción; típico en ataques de ingeniería social.

Sin Cambio (U) Alcance

El impacto se limita al mismo componente vulnerable.

Con Cambio (C) Alcance

La vulnerabilidad permite afectar otros componentes; impacto se extiende más allá del componente original.

Log4Shell

Vulnerabilidad de ejecución remota de código en Log4j.

Ejemplo Práctico Log4Shell

Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Vulnerabilidad explotable remotamente sin condiciones especiales. No requiere privilegios ni interacción del usuario para ejecutarse.

Identificar sistemáticamente y evaluar con CVSS

Establece procesos continuos de detección de vulnerabilidades en todos los sistemas y utiliza el estándar CVSS para clasificar objetivamente la severidad de cada hallazgo.