Gestión de vulnerabilidades
Se lee en aproximadamente 4 minutos
Última actualización: 2026-03-15
Qué es la gestión de vulnerabilidades
La gestión de vulnerabilidades (Vulnerability Management) es el proceso de identificar, evaluar y corregir continuamente las debilidades de seguridad existentes en sistemas y software. A diferencia de un escaneo de vulnerabilidades puntual, se caracteriza por operar como un ciclo consistente desde el descubrimiento hasta la corrección y reverificación.
El ciclo de vida de la gestión de vulnerabilidades consta de 6 etapas: inventario de activos → escaneo de vulnerabilidades → evaluación de riesgos → priorización → corrección (aplicación de parches, cambios de configuración) → reverificación. Al ejecutar este ciclo periódicamente, se puede reducir significativamente el riesgo de que los atacantes exploten vulnerabilidades conocidas distintas de los ataques de día cero.
Evaluación de riesgos con CVSS y priorización
El estándar de la industria para evaluar cuantitativamente la gravedad de las vulnerabilidades es CVSS (Common Vulnerability Scoring System). CVSS v4.0 cuantifica la complejidad del ataque, los privilegios necesarios, el alcance del impacto, etc., y calcula una puntuación de 0.0 a 10.0.
Sin embargo, es peligroso decidir la prioridad de corrección solo con la puntuación CVSS. En la práctica, se juzgan integralmente los siguientes factores.
- Explotabilidad: Si se ha publicado código de ataque (PoC). Las vulnerabilidades listadas en el catálogo KEV (Known Exploited Vulnerabilities) de CISA se abordan con máxima prioridad
- Importancia del activo: La urgencia difiere entre un sistema que maneja datos de clientes y una herramienta interna, incluso con la misma puntuación CVSS
- Alcanzabilidad: El riesgo real cambia según si es un servicio expuesto a Internet o está detrás de un firewall
- Controles compensatorios: Si se puede bloquear temporalmente el ataque con WAF o IPS
Tipos de escaneo de vulnerabilidades y operación
El escaneo de vulnerabilidades tiene múltiples enfoques, cada uno con diferente alcance de detección.
- Escaneo de red: Realiza escaneo de puertos y detección de servicios desde el exterior o interior y compara con vulnerabilidades conocidas. Nessus, Qualys, OpenVAS son herramientas representativas
- Escaneo basado en agente: Instala agentes en cada servidor para conocer con precisión las versiones de paquetes del SO y middleware desde el interior. Puede descubrir errores de configuración no detectables por escaneo de red
- SCA (Software Composition Analysis): Detecta vulnerabilidades en bibliotecas de código abierto de las que depende la aplicación. npm audit, Snyk, Trivy corresponden a esta categoría
- DAST (Dynamic Application Security Testing): Envía solicitudes de ataque simuladas a aplicaciones web en ejecución, detectando vulnerabilidades de forma similar a las pruebas de penetración
En la práctica, se combinan para asegurar exhaustividad. Es común operar en paralelo escaneos semanales basados en agente, escaneos mensuales de red y SCA en el pipeline CI/CD.
Mejorar la madurez de la gestión de vulnerabilidades
Para no dejar que la gestión de vulnerabilidades se convierta en una formalidad y mejorar continuamente el nivel de seguridad, son importantes los siguientes indicadores y mecanismos.
- MTTR (Mean Time to Remediate): Tiempo promedio desde el descubrimiento hasta la corrección. Define SLA como Critical en 48 horas, High en 7 días, etc., y haz seguimiento
- Tasa de cobertura: Porcentaje de activos gestionados donde se ha realizado escaneo. Apunta al 100% pero sospecha siempre de la existencia de TI en la sombra
- Tasa de recurrencia: Porcentaje de vulnerabilidades corregidas que se detectan nuevamente. Si es alta, hay problemas en el proceso de gestión de parches o gestión de imágenes
Integrar información de vulnerabilidades con SIEM e inteligencia de amenazas permite identificar inmediatamente las vulnerabilidades que están siendo atacadas. También es indispensable construir un sistema de colaboración con el CSIRT y definir previamente las rutas de escalamiento cuando se descubren vulnerabilidades graves.
Conceptos erróneos comunes
- Si ejecutas escaneos de vulnerabilidades periódicamente, ya estás gestionando vulnerabilidades
- El escaneo es solo un paso de la gestión de vulnerabilidades. Solo se puede llamar gestión de vulnerabilidades cuando se opera un proceso continuo que incluye priorización, corrección y reverificación de las vulnerabilidades descubiertas. Si se dejan los resultados del escaneo sin atender, el riesgo no cambia.
- Basta con abordar solo las vulnerabilidades con puntuación CVSS Critical
- Incluso vulnerabilidades con puntuación media pueden ser explotadas inmediatamente si hay código de ataque circulando. Las vulnerabilidades listadas en el catálogo CISA KEV o que afectan a activos públicos de tu organización deben abordarse prioritariamente independientemente de la puntuación.
Diferencia entre escaneo de vulnerabilidades y pruebas de penetración
Escaneo de vulnerabilidades
Herramientas automatizadas detectan exhaustivamente vulnerabilidades conocidas. Cubre amplio rango en poco tiempo, adecuado para ejecución periódica. Puede incluir falsos positivos y no detecta vulnerabilidades de lógica de negocio.
Pruebas de penetración
Expertos intentan infiltrarse desde la perspectiva del atacante. Pueden descubrir explotación encadenada de vulnerabilidades y defectos de lógica de negocio, pero el costo es alto y no es adecuado para ejecución frecuente.