Cualquiera que haya leído un boletín de seguridad se topó con lo mismo: un código raro tipo CVE-2024-3094 y un número del 0 al 10 que dice qué tan grave es. Se ven técnicos e intimidantes, pero detrás hay un sistema bastante lógico —y algunas trampas que conviene conocer para no reaccionar de más ni de menos—. Vamos a desarmarlo en sus tres piezas.
CVE: el nombre único de cada falla
CVE (Common Vulnerabilities and Exposures) es el sistema que le da a cada vulnerabilidad un identificador único —con el formato CVE-año-número— para que todo el mundo hable exactamente de la misma falla sin confusiones. Lo coordina la organización MITRE, con la agencia de ciberseguridad de EE.UU. (CISA) como patrocinador, y los identificadores los asignan las CNAs (CVE Numbering Authorities): fabricantes y organizaciones autorizadas para nombrar vulnerabilidades de sus propios productos. Un CVE es, en esencia, un nombre y una descripción; no dice por sí solo qué tan grave es.
Un paréntesis que dice mucho del ecosistema: en abril de 2025, el programa CVE estuvo a punto de quedarse sin financiamiento cuando el contrato con MITRE casi expira. CISA lo rescató a último momento con una extensión, y para 2026 la operación se estabilizó —pero que algo tan básico para la seguridad mundial dependiera de un contrato tomó a todos por sorpresa—. Puedes ver el programa en cve.org.
CVSS: el puntaje de gravedad (una guía, no un veredicto)
CVSS (Common Vulnerability Scoring System) traduce una vulnerabilidad a un número del 0 al 10, y lo mantiene FIRST (una organización internacional de equipos de respuesta a incidentes). La versión actual es la 4.0, de 2023, aunque la 3.1 sigue muy usada. El puntaje se arma de métricas base —lo intrínseco de la falla— y grupos que lo ajustan según la amenaza actual y tu entorno. Las bandas van de "ninguna" a "crítica" (9.0–10.0). Los detalles oficiales están en first.org/cvss.
Aquí está el error más común: tratar el puntaje base como el veredicto final. El score base no sabe nada de tu contexto. Un 9.8 en un sistema aislado, sin conexión a internet y sin datos sensibles, puede importarte menos que un 6.5 en tu servidor de cara a internet que además ya se está atacando. El CVSS te ordena la fila de forma general; la prioridad real la define tu exposición y si la falla se está explotando.
NVD: la base que enriquece (y por qué hoy está desbordada)
El NVD (National Vulnerability Database), del instituto de estándares de EE.UU. (NIST), toma los CVE y los enriquece con puntajes CVSS, referencias y metadatos. Durante años fue la fuente de facto para saber "qué tan grave es esto". Pero conviene saber su estado real: desde 2024 el NVD acumuló un backlog enorme de vulnerabilidades sin enriquecer —de unas 13,000 a más de 27,000 entre febrero de 2024 y fines de 2025—, porque el volumen de vulnerabilidades reportadas se disparó (las publicaciones crecieron más de 260% entre 2020 y 2025). Desde abril de 2026, el NIST admitió que no puede con todo y ahora prioriza enriquecer solo lo de mayor riesgo: lo que está en el catálogo KEV, el software usado por el gobierno federal y el software crítico (ver NVD del NIST).
La lección práctica de esto es importante: el puntaje oficial puede tardar, faltar o quedar incompleto. No esperes a que alguien te ponga el número perfecto para actuar. Prioriza por lo que se sabe explotado y por tu propio contexto.
Cómo leerlo sin volverte loco
- CVE = qué falla es (el nombre único).
- CVSS = qué tan grave en abstracto (una guía útil, no una orden).
- Tu contexto + si se está explotando = la prioridad real con la que decides qué parchar primero.
Esa última línea es la que separa gestionar vulnerabilidades de solo coleccionar reportes. Cómo se conecta con el día cero, con la forma en que atacan y con qué hacer al respecto lo unimos en la guía completa.