Cuando hablamos de vulnerabilidades en una organización, la primera reacción suele ser mitigarlas de inmediato, especialmente si una herramienta de escaneo o el equipo de seguridad ofensiva les asigna un puntaje CVSS crítico o alto. Pero, ¿es esta realmente una buena práctica?
La realidad es que no necesariamente. Estas herramientas de detección suelen medir únicamente la criticidad técnica, lo cual no refleja el riesgo real ni evalúa el contexto específico de la organización. Además, en la mayoría de los casos, tampoco se toma en cuenta la explotabilidad de la vulnerabilidad. Esto significa que, aunque exista un fallo en el activo (asset), puede que aún no haya una forma práctica de aprovecharlo para ejecutar código malicioso, escalar privilegios o causar un impacto real en el sistema. En otras palabras: el error está ahí, pero al no haber un exploit funcional, no representa una amenaza inmediata.
¿Qué significa esto? ¿Deberíamos ignorar las vulnerabilidades que no son explotables?
No exactamente. Más bien, la explotabilidad debe usarse como un factor clave de priorización. Si la capacidad de mitigación de tu organización es limitada (ya sea por falta de recursos financieros, tecnológicos o humanos) y no puedes resolver todas las alertas, enfocarte exclusivamente en el CVSS, una métrica puramente técnica, puede traer problemas. Este enfoque suele resultar en un desperdicio de recursos valiosos (tiempo, dinero y personal) y, lo que es peor, puede llevarte a desatender vulnerabilidades con un CVSS menor que, por su contexto, facilidad de explotación y los agentes de amenaza involucrados, representan un riesgo mucho más crítico y real para la organización.
Referencia:
-Recorded Future. (2022). The intelligence handbook: A roadmap for building an intelligence-led security program (4th ed.). CyberEdge Press.