Vulnerabilidad

Una vulnerabilidad es una debilidad que podría ser explotada o activada por una fuente de amenaza en los controles internos, los procedimientos de seguridad de los sistemas, un sistema de información o su implementación. Una debilidad es sinónima de deficiencia y puede resultar en riesgos de seguridad, de privacidad o ambos.

En términos de ciberseguridad, una vulnerabilidad es una exposición de seguridad que existe en un sistema operativo, en el software del sistema o en un componente de software de una aplicación. Cada vulnerabilidad puede potencialmente comprometer el sistema o la red si se explota.

Existen múltiples bases de datos de vulnerabilidades de acceso público, a veces basadas en los números de versión del software. Common Vulnerabilities and Exposures (CVE) es un medio común para enumerar vulnerabilidades de seguridad de la información de conocimiento público, operado por The MITRE Corporation.

Los identificadores CVE asignan a cada vulnerabilidad un nombre/número único. El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es un estándar abierto de la industria, propiedad y administrado por FIRST.Org, Inc. (FIRST), una organización sin fines de lucro con sede en Estados Unidos.

CVSS 3.1 identifica la gravedad de una vulnerabilidad con base en las siguientes métricas:

Métricas base

• Vector de acceso (qué acceso se requiere: local, red adyacente, red, físico)
• Complejidad de acceso (qué tan fácil o difícil es de explotar)
• Privilegios requeridos (nivel de privilegios que un atacante necesita antes de explotar la vulnerabilidad con éxito)
• Interacción del usuario (si el atacante requiere un usuario separado o un proceso iniciado por el usuario para explotar la vulnerabilidad)

Métricas de impacto

• Alcance (si una vulnerabilidad en un componente afecta recursos más allá de su alcance de seguridad)
• Confidencialidad (¿se ve afectada la confidencialidad de los datos?)
• Integridad (¿cuál es el impacto en la integridad del sistema?)
• Disponibilidad (¿el sistema seguirá completamente funcional, experimentará un rendimiento o capacidades reducidos, o se volverá no disponible?)

Una falla puede ser el resultado de un mal diseño o de errores de implementación, y da lugar a funcionalidades no deseadas. También existen métricas temporales (madurez del código de explotación, nivel de remediación y confianza en el reporte) y métricas ambientales (métricas base modificadas y requisito de confidencialidad, requisito de integridad y requisito de disponibilidad).

El Common Weakness Enumeration (CWE) es una lista de debilidades de software y hardware que tienen implicaciones de seguridad. La gravedad de las debilidades se puntúa usando el Common Weakness Scoring System (CWSS™) y el Common Weakness Risk Analysis Framework (CWRAF™), y se basa en hallazgos base, la superficie de ataque y métricas ambientales. Un atacante puede explotar vulnerabilidades, debilidades o errores de usuario de forma individual o combinarlos para llevar a cabo un ataque. Estas métricas ayudan a los equipos de respuesta a incidentes y a los profesionales de ciberseguridad a determinar el nivel de amenaza de una vulnerabilidad y cómo abordarla de la mejor manera.