{"id":2617,"date":"2020-11-30T15:39:56","date_gmt":"2020-11-30T15:39:56","guid":{"rendered":"https:\/\/www.eaprende.com\/blog\/?p=2617"},"modified":"2022-06-17T12:27:44","modified_gmt":"2022-06-17T12:27:44","slug":"explicacion-del-concepto-cve","status":"publish","type":"post","link":"https:\/\/www.eaprende.com\/blog\/2020\/11\/30\/explicacion-del-concepto-cve\/","title":{"rendered":"Explicaci\u00f3n del concepto CVE"},"content":{"rendered":"

CVE b\u00e1sicamente significa V<\/strong>ulnerabilidades y E<\/strong>xposiciones C<\/strong>omunes (C<\/strong>ommon V<\/strong>ulnerabilities and E<\/strong>xposures por sus siglas en ingl\u00e9s)<\/p>\n

\"\"<\/p>\n

D\u00eda a d\u00eda se van descubriendo vulnerabilidades del software, sea cual sea el fabricante del mismo o el producto, \u00a1todos est\u00e1n expuestos de alguna u otra manera!<\/em> Existen programas de recompensas por encontrar fallas en el software, por lo tanto, hay hackers \u00e9ticos que se encargan de analizar el producto de peque\u00f1as hasta grandes compa\u00f1\u00edas con el fin de lograr un r\u00e9dito monetario. Adem\u00e1s, existen entusiastas que sin la b\u00fasqueda de alguna compensaci\u00f3n est\u00e1n tambi\u00e9n al acecho d\u00eda a d\u00eda buscando alguna brecha de seguridad, por mero reconocimiento de la comunidad o solo por ocio, sea cual sea al caso, las vulnerabilidades, en el mejor de los casos son alertados a los fabricantes.<\/p>\n

Una vez identificada la vulnerabilidad esta pasa al estado oficial de identificaci\u00f3n con una numeraci\u00f3n \u00fanica que lo identifica, y obviamente toda la descripci\u00f3n del problema, versiones afectadas, etc. En paralelo a la vulnerabilidad existe el concepto de \u201cexploit\u201d que ser\u00eda si esa vulnerabilidad es explotable y\/o utilizada por un potencial atacante, y esto es lo que realmente marcar\u00eda el grado de gravedad de una vulnerabilidad, pues al ser explotable y peor a\u00fan si ya se hacen p\u00fablicos los exploits, el problema es mayor<\/em>.<\/p>\n

Existe el otro escenario en el que un software es vulnerable pero no existe a\u00fan exploit para el mismo por lo que su estado de gravedad entra en un letargo pero, puede ser un falso positivo, as\u00ed que de igual manera hay que tomar las debidas precauciones y \u201cparchar\u201d la vulnerabilidad, dicho esto, aqu\u00ed entra \u201cla otra pata del tema\u201d que ser\u00edan los \u201cpatches\u201d o parches de seguridad y esto marcar\u00eda la calidad y seriedad del fabricante en responder ante cualquier vulnerabilidad en su producto, as\u00ed que hay que tener muy en cuenta la trilog\u00eda: 1-la vulnerabilidad<\/em>, su tipo y su gravedad; 2-los exploit<\/em>, y tomarse el tiempo para aplicar 3-los parches<\/em>, muchas de las actualizaciones de seguridad son autom\u00e1ticas pero otras se deben realizar manualmente.<\/p>\n

En resumen, una vulnerabilidad publicada como CVE nos provee todas las descripciones y algunas referencias del mismo. Adem\u00e1s provee la informaci\u00f3n: si a\u00fan\u00a0no son explotables<\/em>, que puede ser debido al desinter\u00e9s de la vulnerabilidad por la comunidad, la baja peligrosidad o puede ser que solo sea cuesti\u00f3n de tiempo; o si ya existe alg\u00fan exploit p\u00fablico, y dependiendo nuevamente de lo que se puede obtener aprovechando esa vulnerabilidad, el sistema podr\u00eda estar gravemente comprometido o no. Y por \u00faltimo aplicar los parches correctivos es de vital importancia y m\u00e1s en el caso que la vulnerabilidad sea tildada de grave o cr\u00edtica.<\/p>\n

Algunos sitios de inter\u00e9s<\/p>\n