Servicios de calidad en Ciberseguridad de Redes y TI

Menú

MITRE, NIST y CVE en la Gestión de Vulnerabilidades

¿Qué es el NIST y cuál es su función?

El NIST (National Institute of Standards and Technology) o, Instituto Nacional de Estándares y Tecnología, es una agencia no reguladora del Departamento de Comercio de los Estados Unidos de Norte América.

Su función principal es promover la innovación y la competitividad industrial a través de avances en la ciencia de la medición, normas y tecnología.

Además, el NIST desarrolla estándares, directrices y marcos de referencia, como el Marco de Ciberseguridad del NIST, para ayudar a las organizaciones a gestionar y reducir sus riesgos de ciberseguridad.

Todo esto lo veremos a continuación al detalle, pero si eres más de poner el oído, te dejamos aquí un vídeo donde recogemos todo esto además de algunos detales curiosos sobre el tema. ¡No te lo pierdas!

 

La Base de Datos Nacional de Vulnerabilidades (NVD) del NIST

La NVD (National Vulnerability Database) del NIST es un repositorio público del gobierno de EE.UU. que contiene información estandarizada sobre vulnerabilidades de seguridad informática.
Sirve como fuente centralizada para la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento normativo.

 

Relación entre NVD y CVE

La relación entre el NVD y las CVE (Common Vulnerabilities and Exposures) es que el primero es el repositorio oficial del gobierno estadounidense para las vulnerabilidades identificadas mediante CVE.

NVD utiliza las CVE como base para enriquecer la información con detalles adicionales sobre cada vulnerabilidad, como:

  • Su gravedad (usando CVSS)
  • Tipos de debilidades (usando CWE)

En resumen:

  • CVE = identificadores únicos para vulnerabilidades conocidas.
  • NVD = base de datos con información detallada y enriquecida sobre esas vulnerabilidades.

 

CVSS: Sistema de Puntuación de Vulnerabilidades

El CVSS (Common Vulnerability Scoring System) es un estándar abierto para evaluar la gravedad de las vulnerabilidades de seguridad en sistemas informáticos.

  • Permite asignar una puntuación numérica a una vulnerabilidad.
  • Ayuda a priorizar los esfuerzos de mitigación.
  • Está bajo la custodia de FIRST (Forum of Incident Response and Security Teams), aunque es totalmente abierto y gratuito.

En otras palabras, CVE es una lista de vulnerabilidades, mientras que CVSS es una herramienta para evaluar el riesgo asociado a esas vulnerabilidades.

Cómo funciona CVSS

CVSS se basa en un conjunto de métricas agrupadas en cuatro categorías:

  • Base
  • Temporal
  • De entorno
  • Suplementarias

Estas métricas se combinan para calcular una puntuación numérica que indica la gravedad de la vulnerabilidad.

➡️ La última versión de CVSS es la 4.0, lanzada en 2022.

 

NIST NVD en la práctica: búsqueda de vulnerabilidades

La página oficial del NVD es: https://nvd.nist.gov.

En su página principal podemos ver:

  • Enlace directo con CVSS (verde).
  • Menú lateral con la opción Search (rojo), que permite acceder al botón de CVE (azul).

 

Ejemplo práctico: búsqueda de la CVE-2021-44228

Al seleccionar la opción “Vulnerabilities – CVE”, aparece una ventana de búsqueda donde se puede introducir, por ejemplo: CVE-2021-44228.

  • Puede haber varias opciones, en este coso concreto, la que nos interesa es la que se presenta a continuación:

 

  • Si la seleccionamos, podemos encontrar mucho más nivel de detalle para poder seguir profundizando en el tema:

 

  • Lo primero que deseamos destacar de la imagen de la derecha, es que por defecto, no está resaltando en azul, “CVSS Version 3.x”. Si seleccionáramos “CVSS Version 4.0”, veríamos lo que se presenta en la imagen de abajo:

 

  • En algunos casos, aún no está disponible la versión más reciente, por lo que se recomienda seguir trabajando con la 3.x.

 

Detalle de las métricas en NIST NVD

Si hacemos clic en el botón Base Score del NIST, se muestra un informe completo con todas las métricas asociadas a la vulnerabilidad.

Por último, toda esta puntuación aplicando CVSS, si deseamos estudiarlo en detalle, podemos seleccionar el hipervínculo “CVSS” (recuadrado en rojo en la imagen de arriba), y nos desplegará la página web de FIRST, en el enlace: https://www.first.org/cvss/, que podemos en la imagen que sigue:

 

¿Preparado para ponerlo en práctica?

Ya hemos comprendido cómo el NIST, MITRE y las CVE se interrelacionan para proporcionar un marco sólido en la gestión de vulnerabilidades, apoyados por herramientas como NVD y CVSS. Ahora que ya conocemos la teoría, ¡llega el momento de llevarla a la práctica!

En el próximo capítulo especial nos centraremos en MITRE, trabajando con ejercicios prácticos a partir de un caso real: CVE-2021-44228 (Log4Shell). La idea es que pongas a prueba a prueba lo aprendido y resuelvas el reto. Después podrás compartir tu experiencia y conclusiones en los comentarios, así podremos debatirlo juntos en la siguiente lección.

Además, te dejamos a mano el enlace al evento, clica en «Recibir Aviso» y te avisaremos al momento en que se haya publicado el vídeo. ¡Nos vemos el próximo lunes!

Autor
Categorías
Entradas recientes
Etiquetas
análisis de vulnerabilidades ATT&CK CAPEC capec 586 CCWE ciberseguridad CVE defensa en profundidad deserialización insegura hacking ético MITRE ATT&AK mitreatt&ck nist nvd pentesting seguridad defensiva seguridad informática seguridad ofensiva técnica t1190

DarFe Learning Consulting S.L.

  • Calle Hachazuelas 26 (28411) Moralzarzal, Madrid
  • info@darFe.es
Facebook-f Twitter Instagram Youtube Linkedin
De interés
Políticas Web
¡Suscríbete a nuestra lista informativa!

    Al acer clic en "Enviar", aceptas las condiciones sobre la utilización de los datos de contacto facilitados a la empresa DarFe S.L.

    DarFe Learning Consulting S.L. © 2025. Todos los derechos reservados.