Barracuda full logo

La nueva métrica NIST LEV: Lo que necesitas saber

Temas:
25 jun 2025
|
Doug Bonderud

Informes de vulnerabilidades en aumento y una creciente acumulación de vulnerabilidades críticas y exposiciones (CVE) conspiran para poner a las empresas en riesgo. La nueva métrica Vulnerabilidades Probablemente Explotadas (LEV) del NIST puede ayudar. Aquí te mostramos cómo.

El estado de la ciberseguridad CVE

El programa CVE de NIST rastrea vulnerabilidades tanto históricas como emergentes para ayudar a las empresas a reducir su riesgo de ciberseguridad. Sin embargo, según una reciente actualización de NIST, la agencia se está quedando atrás en el procesamiento y clasificación de nuevos CVE. En parte, este atraso se debe al aumento en los volúmenes de informes. En 2024, las presentaciones de CVE aumentaron un 32%, y NIST dice que "la tasa de presentaciones seguirá aumentando en 2025."

Los procesos manuales junto con la escasez de profesionales cualificados también afectan al retraso acumulado. Aunque NIST planea aumentar la eficiencia revisando los procesos internos y automatizando tareas donde sea posible, es probable que el retraso acumulado de CVE empeore antes de mejorar.

Esto crea un desafío para las empresas que dependen de los datos de CVE para ayudar a informar las prácticas de ciberseguridad. Con los ciberdelincuentes explorando constantemente nuevas formas de explotar los sistemas comúnmente utilizados, los retrasos en los informes y análisis crean una brecha de seguridad. Las aplicaciones y API en las que confían las compañías pueden presentar riesgos no detectados, dando a los atacantes más tiempo para actuar sin intervención de seguridad.

Casi, pero no del todo: KEV y EPSS

Con los informes CVE quedándose atrás, otros programas como el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y el Sistema de Puntuación de Predicción de Explotación (EPSS) ofrecen formas de reducir el riesgo.

Comprensión de KEV

La lista KEV es mantenida por CISA. Contiene más de 1,300 vulnerabilidades que han sido explotadas en el entorno. Como resultado, es una fuente comúnmente utilizada de información de seguridad porque ayuda a los equipos a comprender mejor de dónde proviene el riesgo y cómo pueden responder eficazmente. Sin embargo, dado el gran número de vulnerabilidades listadas, defenderse contra todo el catálogo no es posible. En su lugar, los equipos deben determinar qué vulnerabilidades representan el mayor riesgo y tomar medidas específicas para prevenir compromisos.

Explorando EPSS

EPSS fue desarrollado en 2018 por profesionales de la seguridad en el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST). Este sistema de puntuación considera múltiples factores, incluyendo la presencia de exploits disponibles públicamente, la complejidad de los procesos de explotación, la popularidad del código vulnerable y cualquier dato del mundo real recopilado de fuentes como sistemas de detección de intrusos (IDS) o honeypots.

Usando estos datos, EPSS predice la probabilidad de que una vulnerabilidad sea explotada en un marco de tiempo determinado, que normalmente es de 30 días. Además, el modelo sugiere cuándo el riesgo es más alto y más bajo durante este período de 30 días. La versión más reciente de EPSS se lanzó en marzo de 2025.

Ambos programas ayudan a reducir el riesgo de compromiso, pero también tienen sus advertencias. Aunque KEV señala aproximadamente 1,300 vulnerabilidades, estas preocupaciones de seguridad no conllevan un riesgo igual. Como se señala en un artículo reciente de Security Week, el análisis de 25 errores KEV que afectan a aplicaciones nativas de la nube encontró que 10 eran técnicamente inexplotables o requerían condiciones extremadamente específicas para ejecutarse. Como resultado, no representan amenazas inmediatas o accionables. Para aprovechar al máximo los datos de KEV, los equipos de ciberseguridad deben considerar el contexto de las vulnerabilidades, algo que requiere tiempo y esfuerzo, alejándolos de otras prácticas de seguridad.

EPSS, mientras tanto, ayuda a las empresas a comprender mejor el riesgo de amenazas al predecir la probabilidad de compromiso en el entorno real, generalmente durante un período de 30 días. ¿El desafío aquí? Los entornos de ciberseguridad pueden cambiar significativamente en 30 días, lo que hace que EPSS sea útil para la planificación a largo plazo pero menos aplicable en las operaciones diarias. 

Cómo LEV puede ayudar a nivelar el campo de juego

LEV ofrece un nuevo enfoque para la gestión de vulnerabilidades, que se centra en calcular la probabilidad de que un error ya haya sido explotado por actores de amenazas, incluso si no se ha observado esta explotación.

LEV en sí mismo es una fórmula que proporciona actualizaciones diarias de:

  1. Las probabilidades de que un CVE ya haya sido explotado
  2. Las probabilidades de que se explote un CVE.

Aquí está la fórmula:

fórmula NIST LEV

Fuente: NIST

Con LEV, los equipos de ciberseguridad reciben datos que incluyen:

  • seguridad de aplicaciones
  • Probabilidad de explotación pasada
  • Puntuación máxima EPSS para las ventanas de 30 días seleccionadas
  • Fecha de la puntuación EPSS máxima en cada una de esas ventanas
  • Una lista de software o código afectado descrito utilizando la Enumeración Común de Productos (CPE)

Según el whitepaper NIST LEV: "Estos resultados se pueden utilizar para medir la proporción esperada de CVE que han sido explotados y la exhaustividad de las listas KEV. Estos resultados también pueden complementar tanto la priorización de la remediación de vulnerabilidades basada en KEV como en EPSS."

Conquistando el compromiso: Un esfuerzo colaborativo

LEV es una nueva herramienta poderosa en el arsenal de ciberseguridad de NIST, pero no es una solución milagrosa. Aunque la información sobre las implicaciones reales de los CVE existentes ayuda a reducir el riesgo de compromiso, LEV es más efectivo cuando se combina con otros activos como EPSS y KEV, y se combina con herramientas avanzadas de ciberseguridad como detección de amenazas multimodal basada en IA.

Los esfuerzos colaborativos brindan a las empresas información crítica sobre lo que ya ha sucedido, lo que está sucediendo en este momento y lo que probablemente sucederá en los próximos días o semanas. El resultado es un enfoque más proactivo de la ciberseguridad que ayuda a frustrar los esfuerzos de los atacantes y detener la vulneración antes de que comience.

Manténgase un paso por delante de los atacantes con ciberseguridad gestionada 24/7
Doug Bonderud

Doug Bonderud es un escritor galardonado con un talento para cerrar la brecha entre lo complejo y lo conversacional en tecnología, innovación y la condición humana.  

Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.