Buscar

Español

Español

Iniciar sesión

Iniciar sesión/Registrar

Websites

Seguridad

El concepto de CVE

Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de fallas de seguridad informática que se encuentra disponible al público. Por lo general, cuando alguien habla de un CVE, se refiere al número de identificación de CVE que se le asigna a una falla de seguridad.

Los CVE permiten que los especialistas en TI coordinen sus esfuerzos para priorizar y solucionar estos puntos vulnerables y mejorar la seguridad de los sistemas informáticos.

¿Cómo funciona el sistema de CVE?

MITRE Corporation se encarga de supervisar los CVE con el financiamiento de la Agencia de Seguridad de Infraestructura y Ciberseguridad, que forma parte del Departamento de Seguridad Nacional de Estados Unidos.

Las entradas de CVE son breves y no incluyen datos técnicos ni información sobre riesgos, efectos o soluciones. Ese tipo de información aparece en otras bases de datos, incluidas la National Vulnerability Database de Estados Unidos, la CERT/CC Vulnerability Notes Database y varias listas que mantienen los proveedores y demás empresas. Los números de identificación de CVE ofrecen a los usuarios una forma confiable de diferenciar cada falla de seguridad en los distintos sistemas.

¿Cómo se asigna un número de identificación de CVE a una falla de seguridad?

Las autoridades de numeración de CVE (CNA) son las encargadas de asignar los números de identificación de CVE. Hay alrededor de 100 CNA que representan a los principales proveedores de TI, así como a las empresas de seguridad y de investigación; y MITRE también puede emitir CVE directamente.

Se emiten bloques de CVE para las CNA, que se reservan para asignarlas a los problemas nuevos a medida que se descubran. Cada año se emiten miles de números de identificación de CVE. Un solo producto complejo, como un sistema operativo, puede acumular cientos de CVE.

Los informes de CVE pueden provenir de cualquier persona que descubra una falla y la notifique, como algún proveedor, investigador o simplemente un usuario astuto. Muchos proveedores ofrecen recompensas por detectar fallas de seguridad, para incentivar su divulgación responsable. Si encuentra un punto vulnerable en los sistemas de software open source, debe notificarlo a la comunidad.

La información de la falla llegará a la CNA de uno u otro modo. La CNA asigna un número de identificación de CVE a la información, escribe una descripción breve e incluye las referencias. Luego, la entrada de CVE se publica en el sitio web de CVE.

Es posible que no todos estos pasos ocurran de inmediato, ya que los proveedores suelen mantener en secreto las fallas de seguridad hasta que se desarrolle y pruebe una solución. De esta manera se reducen las oportunidades para aquellos que buscan aprovecharse de las fallas sin parches.

Una vez que se publica una entrada de CVE, se incluye el número de identificación de CVE (con el formato "CVE-2019-1234567"), una descripción breve de la exposición o el punto vulnerable de seguridad, y las referencias, que pueden contener enlaces a avisos e informes del punto vulnerable.


¿Qué características debe tener una falla para que se la califique como CVE?

Los números de identificación de CVE se asignan a las fallas que cumplen con el siguiente conjunto específico de criterios:

1. Se pueden solucionar de forma independiente.

La falla puede solucionarse independientemente de las demás.

2. El proveedor afectado las confirma.

El proveedor de software o hardware reconoce la falla, así como su impacto negativo en la seguridad.

O

Se han justificado. La persona que notificó la falla compartió un informe de vulnerabilidad donde se demuestra que tiene un impacto negativo Y que infringe la política de seguridad del sistema afectado.

3. Afectan una base del código.

Las fallas que afectan más de un producto obtienen distintos CVE. En los casos de bibliotecas, protocolos o estándares compartidos, se asigna un solo CVE a la falla si no hay manera de utilizar el código compartido sin quedar expuesto al punto vulnerable. De lo contrario, se asigna un CVE única a cada producto o base de código afectados.


¿Qué es el sistema común de puntuación de los puntos vulnerables?

Hay muchas formas de evaluar la gravedad de un punto vulnerable. Una de ellas es el sistema común de puntuación de vulnerabilidades, un conjunto de estándares abiertos para asignar una calificación a un punto vulnerable y evaluar su gravedad. El rango de puntuación oscila entre 0 y 10, donde las cifras más altas representan un mayor nivel de gravedad. Muchos proveedores de seguridad crean sus propios sistemas de calificación.

Tres recomendaciones clave

Conozca sus implementaciones: la existencia de un CVE no significa que el riesgo afecte su implementación y entorno específicos. Lea cada CVE y verifique si corresponde a su entorno corroborando si se aplica de forma total o parcial al sistema operativo, la aplicación, los módulos y los parámetros configurados en su entorno único.

Practique la gestión de puntos vulnerables: se trata de un proceso repetible para identificar, clasificar, priorizar, solucionar y mitigar puntos vulnerables. Para ello debe entender la forma en que cierto riesgo puede afectar a su empresa, para que pueda darle prioridad al punto vulnerable destacado que deba solucionar.

Prepárese para comunicarse: los CVE no solo afectarán los sistemas de su empresa debido a los propios puntos vulnerables, sino también al tiempo de inactividad que se pudiera requerir para solucionarlos. Comuníquese y trabaje con sus clientes internos y comparta los puntos vulnerables con cualquier unidad central de gestión de riesgos dentro de la empresa.

Cómo se abordan los CVE en Red Hat

Red Hat es uno de los principales colaboradores de sistemas de software open source, así que siempre se involucra en la comunidad de seguridad. Red Hat es autoridad en la numeración de CVE (CNA) y utiliza los números de identificación de CVE para detectar puntos vulnerables de seguridad. Red Hat Security mantiene una base de datos de las actualizaciones de seguridad que es pública, se encuentra actualizada y que puede consultar por número de CVE.

Trust Red Hat

Learn about Red Hat’s commitment to protecting customer data and privacy

Conozca la infraestructura de Red Hat

Red Hat Enterprise Linux logo

Red Hat Enterprise Linux es una base estable y probada, lo suficientemente versátil para implementar aplicaciones nuevas, virtualizar entornos y crear una nube híbrida segura, y todo con el respaldo de nuestro soporte galardonado.

La forma más fácil de gestionar su infraestructura de Red Hat para lograr operaciones de TI conformes y eficientes. Establezca procesos y repositorios de contenido confiables que le permitan crear un entorno seguro y conforme a los estándares correspondientes.