Puntos Clave
- Los programas tradicionales de gestión de parches suelen basarse en clasificaciones de gravedad de los proveedores y puntuaciones CVSS, que pueden ser incoherentes y no siempre reflejan el riesgo real.
- La gestión de parches basada en riesgos prioriza las vulnerabilidades explotadas activamente, es decir, aquellas que los actores de amenazas utilizan para lanzar ciberataques.
- El catálogo Known Exploited Vulnerabilities (KEV) de CISA es un recurso valioso para identificar vulnerabilidades explotadas activamente, pero las organizaciones también pueden utilizar metodologías avanzadas de puntuación de riesgos para una evaluación del riesgo más completa.
La resistencia al cambio siempre está presente, especialmente si cree que los procesos que tiene implantados son eficientes y eficaces. Muchas organizaciones piensan así de sus procedimientos de gestión del software hasta que sufren una brecha o un incidente de seguridad y se preguntan qué ha fallado.
La realidad es que la mayoría de los programas de gestión de parches se basan en suposiciones y recomendaciones, en lugar de en datos sobre vulnerabilidades explotadas activamente. La gestión de parches basada en riesgos es la respuesta a este problema.
En este artículo encontrará:
- Qué falla al mantener las prioridades habituales.
- Qué es la gestión de parches basada en riesgos.
- Por qué es el momento idóneo para adoptar la gestión de parches basada en riesgos.
Los problemas de la priorización habitual de parches
Las actualizaciones de funciones de software, las correcciones de seguridad, las correcciones de errores, las mejoras de rendimiento y muchos otros tipos de versiones de software existen desde los inicios del sector. Los proveedores suelen asignar una clasificación de gravedad u otra puntuación a cada una de ellas para indicar a los clientes qué consideran más importante.
Por desgracia, no existe ningún estándar sectorial asociado a estas clasificaciones, por lo que tenemos que comparar y priorizar las versiones para desplegarlas en nuestros sistemas basándonos en recomendaciones. Además, estas clasificaciones rara vez se actualizan para tener en cuenta el contexto de amenazas activas, aunque las vulnerabilidades cambien.
Pasar por alto una vulnerabilidad explotada activamente
Aunque son mejor que nada, las clasificaciones de gravedad de los proveedores suelen quedarse cortas. Pensemos en la vulnerabilidad Follina (CVE-2022-30190) publicada en mayo de 2022. Esta vulnerabilidad en la Herramienta de diagnóstico de soporte técnico de Microsoft Windows (MSDT) permite la ejecución remota de código.
Follina fue objeto de ataques durante varios meses antes de que Microsoft respondiera finalmente con varias actualizaciones. De forma alarmante, Microsoft solo asignó a esta vulnerabilidad una puntuación de 7.8 en Common Vulnerability Scoring System (CVSS) v3 y una gravedad de Importante. Si solo aplicaba parches en función de una gravedad Crítica, se le habría pasado por alto, dejando una brecha importante en su superficie de ataque.
Y lo que es peor, la puntuación CVSS de Follina se mantuvo en 7.8 incluso después de que se revelara que la vulnerabilidad se estaba explotando activamente para distribuir el ransomware Bisamware, lo que exponía a las organizaciones que la habían pasado por alto a un riesgo aún mayor.

Limitaciones de CVSS
Las clasificaciones de gravedad se «complementan» con puntuaciones CVSS de FIRST. A cada CVE se le asigna un número CVSS, como el 7.8 otorgado a CVE-2022-30190 en el ejemplo anterior.
Uno de los principales objetivos al calcular el número CVSS real es garantizar la estandarización, de modo que todas las CVE se puntúen de forma coherente y puedan compararse con precisión. Cuanto mayor sea la puntuación CVSS de una vulnerabilidad y del parche asociado, más crítico será desplegarlo en la mayoría de los entornos.
En el caso de actualizaciones de software que abordan varias CVE, normalmente se tiene en cuenta el valor CVSS más alto para la priorización. Pero ¿es realmente preciso ese valor?
Los resultados de un análisis de puntuaciones CVSS en un artículo reciente mostraron que existe una discrepancia en casi el 20 % de las puntuaciones CVSS (25 000). Este análisis se basó en una comparación de las puntuaciones notificadas en la National Vulnerability Database (NVD) del NIST y las comunicadas directamente por los propios proveedores.
Incoherencias en la gravedad asignada por los proveedores
Un punto importante que conviene tener en cuenta es que, históricamente, los proveedores han asignado su propia terminología a la gravedad (por ejemplo, crítica, importante). Usar la puntuación de gravedad del proveedor como mecanismo de priorización puede funcionar bien al comparar todos los parches de un proveedor determinado, pero no siempre ofrece una comparación precisa de parches entre distintos proveedores. De hecho, muchos utilizan terminología completamente diferente.
Del mismo modo, la gravedad asignada por el proveedor no siempre es un indicador positivo. Muchas vulnerabilidades de día cero solo reciben la calificación de Importante por parte de Microsoft, pero tienen puntuaciones CVSS elevadas. Esto demuestra que aplicar parches usando la gravedad y CVSS para la priorización se basa en suposiciones y recomendaciones, y puede dar lugar a un entorno vulnerable.
¿Por qué priorizar los exploits activos por encima de cualquier otro método de priorización?
Según la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA), una vulnerabilidad explotada activamente es “one for which there is reliable evidence that execution of malicious code was performed by an actor on a system without permission of the system owner.” En términos sencillos, una vulnerabilidad bajo explotación activa es aquella que un actor de amenazas ha utilizado para lanzar un ciberataque.
Por tanto, para minimizar el riesgo de un ataque contra su organización, debe priorizar las vulnerabilidades explotadas activamente por encima de todas las demás. La buena noticia es que la mayoría de las vulnerabilidades no se están explotando activamente y, por tanto, suponen poco o ningún riesgo para su organización. Puede identificar las que sí se han explotado mediante la gestión de parches basada en riesgos.
¿Qué es la gestión de parches basada en riesgos?
La gestión de parches basada en riesgos es una extensión de la gestión de vulnerabilidades basada en riesgos, que va más allá de la gravedad asignada por los proveedores y de las puntuaciones CVSS básicas para identificar y cualificar las vulnerabilidades concretas que suponen el riesgo más significativo para una organización. Esto incorpora el contexto de riesgo real al proceso de gestión de parches para que los equipos de TI puedan centrar sus esfuerzos en las actualizaciones con vulnerabilidades explotadas conocidas que más importan para la postura de seguridad de una organización.
¿Cómo puede mi organización adoptar la gestión de parches basada en riesgos?
Para las organizaciones preparadas para adoptar un enfoque de gestión de parches basado en riesgos, un buen punto de partida es el catálogo Known Exploited Vulnerabilities (KEV) de CISA. CISA dio un gran paso adelante para ayudar a priorizar vulnerabilidades cuando presentó la Directiva operativa vinculante 22–01 junto con su catálogo KEV. Cuando se publicó originalmente, el catálogo contenía unas 200 vulnerabilidades explotadas activamente. Desde entonces, ha aumentado hasta casi 900.
CISA elabora la lista con el conocimiento de que las vulnerabilidades que contiene están siendo explotadas en escenarios reales por amenazas activas. Sin embargo, la lista tiene sus limitaciones, ya que actualmente excluye 131 vulnerabilidades asociadas al ransomware.
¿Es el catálogo KEV de CISA el único recurso disponible para la gestión de parches basada en riesgos?
Las organizaciones con prácticas de gestión de parches basada en riesgos más maduras aprovechan metodologías avanzadas de puntuación de riesgos en lugar de CVSS o además de este. Estas metodologías asignan puntuaciones a cada vulnerabilidad identificada en el entorno de una organización, lo que permite ampliar el enfoque basado en riesgos más allá del KEV de CISA.
Muchos proveedores del ámbito de la gestión de vulnerabilidades basada en riesgos han desarrollado metodologías de puntuación propias que representan el riesgo real que supone una vulnerabilidad. Lo hacen ofreciendo clasificaciones de riesgo dinámicas que dan un peso adicional a las vulnerabilidades explotadas activamente.
Por ejemplo, la Vulnerability Risk Rating (VRR) de Ivanti ha asignado a Follina una puntuación de 10, una puntuación que representa con mayor precisión el riesgo que plantea esa vulnerabilidad que su puntuación CVSS de 7.8.

Por qué es el momento idóneo para adoptar la gestión de parches basada en riesgos
Si cree que se ha quedado atrás con las actualizaciones del sistema o se siente desbordado por los nuevos sistemas y aplicaciones de su empresa, ahora es el momento idóneo para adoptar la gestión de parches basada en riesgos.
Incluso si considera que cuenta con un programa sólido basado en clasificaciones de gravedad y puntuaciones CVSS, es hora de superar la resistencia al cambio e iniciar un nuevo proceso antes de que su empresa sufra las graves consecuencias de una brecha de datos derivada de una vulnerabilidad explotada.
Empiece utilizando el KEV de CISA para priorizar sus actualizaciones y reservar presupuesto para una solución de gestión de vulnerabilidades y parches basada en riesgos. Con las herramientas adecuadas implantadas, puede identificar rápidamente los sistemas de mayor riesgo para aplicarles parches primero y avanzar por la lista para garantizar que sus sistemas estén protegidos.
¿Quiere dar el primer paso? Consulte este eBook, una guía integral para implantar un programa moderno de gestión de parches basada en riesgos.
Preguntas frecuentes
¿Qué es la gestión de parches basada en riesgos?
La gestión de parches basada en riesgos es un enfoque que va más allá de las clasificaciones de gravedad tradicionales de los proveedores y de las puntuaciones CVSS para identificar y priorizar vulnerabilidades en función del riesgo real que suponen para una organización. Incorpora contexto de amenazas reales para centrarse en las vulnerabilidades que se están explotando activamente.
¿Qué es una vulnerabilidad explotada activamente?
Las vulnerabilidades explotadas activamente son aquellas que los actores de amenazas están utilizando en la actualidad para lanzar ciberataques. CISA define una vulnerabilidad explotada activamente como “one for which there is reliable evidence that execution of malicious code was performed by an actor on a system without permission of the system owner.”
¿Cuáles son algunos de los beneficios de la gestión de parches basada en riesgos?
La gestión de parches basada en riesgos permite a las organizaciones centrar sus esfuerzos en las vulnerabilidades que suponen el riesgo más significativo.
¿Vende Ivanti un producto de gestión de parches basada en riesgos?
Sí, Ivanti vende un software de gestión de parches basada en riesgos nativo de la nube llamado Ivanti Neurons for Patch Management. Las funciones clave de Ivanti Neurons for Patch Management incluyen:
Remediación automatizada, incluida configuración lista para usar para despliegue por anillos, despliegue por riesgo y remediación continua de parches.
Funcionalidades de detección para descubrir dispositivos desconocidos que requieren parches.
Inteligencia de amenazas y clasificaciones de criticidad de activos.
Informes de cumplimiento listos para usar.
Integración nativa con otros productos de Ivanti Neurons, incluidos Ivanti Neurons for Risk-Based Vulnerability Management, Ivanti Neurons for Application Security Posture Management, Ivanti Neurons for UEM e Ivanti Neurons for ITSM.