Vulnerabilidades y Exposiciones Comunes (CVE), ¿riesgo o utilidad?

Convertir una debilidad en fortaleza no es sólo trabajo de superhéroes, la ciberseguridad trabaja todos los días en torno a eso, pues ¿quién no querría tener la certeza de que su sitio web es completamente seguro? 

Aunque como humanidad nos hemos tardado en darnos cuenta de que trabajando en comunidad avanzamos más rápido, también es verdad que hemos tenido algunas iniciativas muy destacables, como es el caso de MITRE, la corporación que propuso desde 1999 una lista pública de vulnerabilidades y exposiciones de seguridad: CVE. 

¿Qué son las Common Vulnerabilities and Exposures? 

Lo interesante de la lista de Common Vulnerabilities and Exposures es que recopila información sobre la vulnerabilidades, se alimenta con los informes de usuarios en general y es pública y gratuita. 

Sí, hasta aquí suena demasiado bueno para ser verdad, y seguramente la pregunta necesaria en este punto es si el hecho de hacer públicas las CVE no provocaría que cualquier hacker hiciera mal uso de esa información.

 La respuesta más sencilla sería “sí”, pero al mismo tiempo, la información se da a conocer a la par de la solución. Así que en ese sentido, la idea es estar actualizándose constantemente para estar al tanto de las últimas versiones de la CVE, que puede encontrarse directamente en la página de MITRE. 

El hecho de utilizar en tu empresa herramientas de ciberseguridad que sean compatibles con CVE reduce en gran medida los riesgos. 

Pero también es importante decir que no todas las vulnerabilidades se publican en esta lista, porque no siempre quien las descubre se da el tiempo de informarlas.

Eso no significa que no sean rastreables, pues generalmente las entidades que las encuentran también las publican, pero digamos que eso dificulta el acceso a ellas. 

¿Cómo se actualiza la lista de vulnerabilidades de CVE?

Cada vez que alguien informa sobre una nueva vulnerabilidad, se lleva a cabo un protocolo para admitirla en la lista, así que otro punto a tomar en cuenta es que, aunque se actualiza constantemente, no se hacen públicas de inmediato las CVE más recientes. 

Lo que sí es verdad, es que la espera vale la pena porque, como lo mencioné antes, no se publican sin su respectivo parche.

En conclusión, la idea de estandarizar la manera en que identificamos las vulnerabilidades y exposiciones me parece muy útil. Mucho más si reducimos el esfuerzo trabajando en comunidad por la ciberseguridad. 

Autor: Isaac Luz (Desarrollador Senior)