Gestión de vulnerabilidades: cómo priorizar y parchear en tu empresa

Gestión de vulnerabilidades: cómo priorizar y parchear en tu empresa

Priorizar vulnerabilidades significa decidir qué parches aplicas primero cuando tienes cien pendientes y tiempo para diez. La gestión de vulnerabilidades no es pasar un escáner y asustarse con la lista roja: es un proceso continuo de detectar, clasificar por riesgo real y aplicar parches de seguridad antes de que alguien los aproveche. El vulnerability management serio empieza cuando aceptas que no vas a parchearlo todo hoy, y que el score CVSS por sí solo no te dice qué arreglar antes. Aquí tienes el método que usan los equipos que no acaban en los titulares por una brecha evitable.

Qué es la gestión de vulnerabilidades y por qué el escáner no basta

Una vulnerabilidad es un fallo explotable en software, configuración o firmware. El problema no es tenerlas —todos las tienen— sino no saber cuáles importan. Un escáner como Nessus, OpenVAS o Qualys te escupe cientos de hallazgos. Sin un proceso detrás, esa lista es ruido.

El ciclo de vulnerability management tiene cuatro fases que se repiten sin fin:

  1. Descubrir: inventario de activos y escaneo continuo. Lo que no sabes que existe, no lo parcheas.
  2. Priorizar: cruzar severidad técnica con exposición real y valor del activo.
  3. Remediar: parchear, mitigar o aceptar el riesgo de forma documentada.
  4. Verificar: comprobar que el parche entró y no rompió nada.

La organización que domina este ciclo dedica más energía a la fase de priorización que a las otras tres juntas. Ahí se gana o se pierde la partida.

CVSS: útil, pero no lo trates como un oráculo

El Common Vulnerability Scoring System (CVSS), mantenido por el FIRST.org, puntúa de 0 a 10 la gravedad técnica de un fallo. La versión vigente es CVSS 4.0, publicada en 2023, aunque muchos catálogos siguen usando la 3.1. Rangos habituales:

Rango CVSSSeveridadLectura práctica
9.0 – 10.0CríticaMira ya si es explotable en tu red
7.0 – 8.9AltaVentana de días, no de semanas
4.0 – 6.9MediaPlanifica en el ciclo normal
0.1 – 3.9BajaRegistra y agrupa

El error clásico: parchear todo lo que sea 9+ y olvidar el contexto. Un CVSS de 9.8 en un servicio interno sin acceso desde fuera, tras un firewall, con autenticación fuerte, es menos urgente que un 7.5 en tu web pública expuesta a internet. El score mide el fallo en abstracto, no tu situación.

Por eso conviene combinarlo con dos fuentes que aportan realidad. La primera es el catálogo KEV (Known Exploited Vulnerabilities) de la agencia estadounidense CISA: si una vulnerabilidad está ahí, hay explotación activa documentada. La segunda es EPSS, también de FIRST.org, que estima la probabilidad de que un fallo se explote en los próximos 30 días. Un CVSS alto con EPSS bajo y ausencia del KEV puede esperar; lo contrario, no.

Cómo priorizar vulnerabilidades de verdad

Priorizar bien exige mezclar cuatro variables, no una. Este es el modelo que funciona para una pyme o un departamento sin un equipo enorme:

  • Severidad técnica: el CVSS como punto de partida.
  • Explotación real: ¿está en el catálogo KEV de CISA? ¿EPSS alto? ¿hay exploit público en Exploit-DB o Metasploit?
  • Exposición: ¿el activo mira a internet o vive en una red interna segmentada?
  • Criticidad del activo: no es lo mismo el servidor de facturación que la impresora de la sala de reuniones.

Un caso real que lo ilustra todo: Log4Shell (CVE-2021-44228), diciembre de 2021. CVSS 10.0, presente en la librería Java Log4j que estaba en medio internet, con exploit trivial y explotación masiva en cuestión de horas. Ahí la prioridad era absoluta. Compáralo con miles de CVEs medias que nunca se explotan: dedicarles el mismo esfuerzo es malgastar recursos. Otro ejemplo obligado es MOVEit (CVE-2023-34362), explotado por el grupo Cl0p en 2023 para robar datos de cientos de organizaciones antes de que muchas parchearan. La lección se repite: la ventana entre publicación y explotación se mide en horas, no en meses.

Para saber si algún dato tuyo ya circula por una filtración de estas, Have I Been Pwned sigue siendo la referencia gratuita. Y si el desastre ya ocurrió con tarjetas de por medio, tenemos una guía sobre qué hacer si te roban los datos de la tarjeta que ahorra pasos en caliente.

Frameworks y políticas: pon el proceso por escrito

Improvisar la seguridad no escala. Varios marcos te dan la estructura sin reinventar la rueda:

  • ISO/IEC 27001: el estándar internacional de gestión de seguridad de la información. Su control de gestión de vulnerabilidades técnicas es explícito.
  • NIST SP 800-40: guía específica del instituto estadounidense sobre programas de gestión de parches empresariales.
  • ENS (Esquema Nacional de Seguridad): obligatorio para el sector público español y sus proveedores, regulado por el Real Decreto 311/2022, publicado en el BOE.

Sobre el marco legal europeo, la directiva NIS2 (Directiva UE 2022/2555) endurece las obligaciones de ciberseguridad para sectores esenciales e importantes, con plazos de notificación de incidentes de 24 a 72 horas. Su transposición en España avanza y afecta a más empresas de las que creen estar fuera. Súmale el RGPD: una brecha por un parche que llevaba meses disponible es negligencia difícil de defender ante la AEPD.

Tu política mínima debería fijar SLA de remediación por severidad: por ejemplo, críticas explotadas en horas o pocos días, altas en un plazo corto, medias en el ciclo mensual. Documenta también qué haces cuando no puedes parchear: mitigación temporal (WAF, segmentación, deshabilitar el servicio) y aceptación formal del riesgo firmada por alguien con autoridad. Un riesgo aceptado por escrito es gestión; uno ignorado es una bomba de relojería.

Herramientas prácticas para montar tu ciclo

No necesitas una suite de seis cifras para empezar. Una combinación razonable:

  • Escaneo: OpenVAS/Greenbone (libre) o Nessus Essentials para redes pequeñas.
  • Inteligencia de explotación: catálogo KEV de CISA y feed EPSS, ambos gratuitos.
  • Análisis de ficheros y URLs sospechosas: VirusTotal.
  • Dependencias de código: OWASP Dependency-Check o el Dependabot de GitHub para detectar librerías vulnerables antes de desplegar.
  • WordPress: escáneres como WPScan, porque los plugins desactualizados son la puerta favorita de los atacantes.

Si tu infraestructura vive sobre WordPress, mantener el núcleo y los plugins al día es media batalla; para montarlo bien desde el principio ayuda apoyarse en WordPress profesional en lugar de acumular deuda técnica. Y cuando encuentres un fallo que no es tuyo, hazlo bien: aquí explicamos cómo reportar una vulnerabilidad de forma responsable sin acabar en un lío legal. Para investigar exposición pública de tu propia empresa, las herramientas OSINT revelan qué ve un atacante antes de tocar nada.

Preguntas frecuentes

¿Cada cuánto debo escanear vulnerabilidades?

Como mínimo semanal para activos expuestos a internet y tras cualquier cambio significativo. Los equipos maduros escanean de forma continua. Un escaneo trimestral solo sirve para cumplir una casilla, no para protegerte.

¿Es suficiente con parchear las vulnerabilidades críticas?

No. Una vulnerabilidad media encadenada con otra puede dar acceso total, y muchas brechas usan fallos que no eran 9+. Prioriza por CVSS combinado con explotación real (KEV, EPSS) y exposición, no solo por el número más alto.

¿Qué hago si no puedo aplicar un parche por incompatibilidad?

Aplica mitigaciones temporales: segmenta el activo, ponle un firewall de aplicación, restringe accesos o deshabilita la función vulnerable. Documenta la decisión y el riesgo aceptado, y revisa la situación periódicamente hasta que el parche sea viable.

¿CVSS y EPSS son lo mismo?

No. CVSS mide la gravedad técnica del fallo; EPSS estima la probabilidad de que se explote en los próximos 30 días. Un CVSS alto con EPSS bajo puede esperar; uno con EPSS alto y presencia en el catálogo KEV, no.

¿La NIS2 afecta a las pymes?

Puede afectarte aunque no seas grande, si operas en sectores esenciales o importantes o eres proveedor de alguien que lo es. La directiva amplía el alcance respecto a la anterior, así que conviene revisar tu situación con un asesor en vez de asumir que quedas fuera.

Estos hábitos de higiene digital no van solo de empresas: aplican en casa, desde la seguridad cotidiana para todos los públicos hasta el cuidado de la privacidad de los niños en internet.

El siguiente paso

Abre el catálogo KEV de CISA ahora mismo, cógelo como filtro y contrasta esas CVEs con el último informe de tu escáner. Si alguna de las vulnerabilidades explotadas activamente aparece en tus sistemas, ese es exactamente el parche que aplicas hoy antes de cerrar el portátil.

gestión vulnerabilidades parches seguridad vulnerability management cvss priorizar vulnerabilidades

Artículos relacionados

← Volver al blog