CVEs

Los CVE (Common Vulnerabilities and Exposures) son identificadores únicos asignados a vulnerabilidades de seguridad en software. Este sistema de categorización fue creado por la organización MITRE y busca estandarizar la nomenclatura de fallos de seguridad.

El propósito del sistema CVE es crear una forma estándar de referirse a vulnerabilidades, de modo que diferentes herramientas de seguridad y bases de datos puedan compartir información de manera efectiva, agilizando la respuesta ante amenazas.

Características principales de los CVE:

1. Identificación única: Cada vulnerabilidad tiene un código específico, como por ejemplo: CVE-2024-XXXX, lo que facilita su seguimiento y discusión a nivel global.
2. Información detallada: Aunque la descripción es breve, indica qué software está afectado, qué versiones, y qué gravedad tiene la vulnerabilidad.
3. Amplia accesibilidad: Aunque se encuentra centrado en personas que trabajan ciberseguridad, desarrolladores y empresas que buscan proteger sus sistemas frente a vulnerabilidades conocidas. Se ha convertido en el punto de referencia principal para gestionar vulnerabilidades, proporciona un sistema común que garantiza que todos estén hablando el mismo lenguaje en cuanto a seguridad.

Es importante destacar que el sistema CVE solo ofrece una referencia rápida. Si es necesario entrar más en detalle sobre una vulnerabilidad en concreto, habría que consultar en bases de datos como la NVD de NIST (National Institute of Standards and Technology).

El NIST colabora con el sistema CVE a través de su base de datos llamada National Vulnerability Database (NVD). La NVD es un repositorio que expande la información proporcionada por los CVE, proporcionando detalles adicionales, como:

1. Clasificación de riesgo: Asigna un puntaje basado en el sistema CVSS (Common Vulnerability Scoring System), que mide la severidad de una vulnerabilidad.
2. Detalles técnicos y soluciones: Proporciona análisis profundos de las vulnerabilidades, recomendaciones de mitigación y enlaces a parches.
3. Automatización y cumplimiento: Las herramientas de seguridad usan la información del NIST NVD para identificar y gestionar vulnerabilidades en sistemas críticos.

No existen CVEs de vulnerabilidades zero-day inmediatamente porque estas no son conocidas públicamente en el momento en que son explotadas. Solo cuando se descubren y se divulgan pasan a formar parte de una base de datos pública como la de CVE.

En resumen, los CVE son muy importantes para buscar de manera eficiente dónde pueden estar las debilidades en los sistemas, analizar el riesgo, encontrar soluciones y aplicarlas antes de que los actores maliciosos puedan aprovecharlas.

Es fundamental que las organizaciones mantengan un monitoreo constante de los CVE para prevenir incidentes de ciberseguridad, como el caso del ransomware WannaCry. Ataque que aprovechó de una vulnerabilidad crítica en el protocolo EternalBlue, identificada previamente bajo el CVE-2017-0144 y publicada meses antes del ataque.