IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CVE, CVSS y NVD: cómo se nombran y se puntúan las vulnerabilidades (y por qué el número no es un mandato)

13/07/2026 4 min de lectura Rubén Espinoza

Cualquiera que haya leído un boletín de seguridad se topó con lo mismo: un código raro tipo CVE-2024-3094 y un número del 0 al 10 que dice qué tan grave es. Se ven técnicos e intimidantes, pero detrás hay un sistema bastante lógico —y algunas trampas que conviene conocer para no reaccionar de más ni de menos—. Vamos a desarmarlo en sus tres piezas.

CVE: el nombre único de cada falla

CVE (Common Vulnerabilities and Exposures) es el sistema que le da a cada vulnerabilidad un identificador único —con el formato CVE-año-número— para que todo el mundo hable exactamente de la misma falla sin confusiones. Lo coordina la organización MITRE, con la agencia de ciberseguridad de EE.UU. (CISA) como patrocinador, y los identificadores los asignan las CNAs (CVE Numbering Authorities): fabricantes y organizaciones autorizadas para nombrar vulnerabilidades de sus propios productos. Un CVE es, en esencia, un nombre y una descripción; no dice por sí solo qué tan grave es.

Un paréntesis que dice mucho del ecosistema: en abril de 2025, el programa CVE estuvo a punto de quedarse sin financiamiento cuando el contrato con MITRE casi expira. CISA lo rescató a último momento con una extensión, y para 2026 la operación se estabilizó —pero que algo tan básico para la seguridad mundial dependiera de un contrato tomó a todos por sorpresa—. Puedes ver el programa en cve.org.

CVSS: el puntaje de gravedad (una guía, no un veredicto)

CVSS (Common Vulnerability Scoring System) traduce una vulnerabilidad a un número del 0 al 10, y lo mantiene FIRST (una organización internacional de equipos de respuesta a incidentes). La versión actual es la 4.0, de 2023, aunque la 3.1 sigue muy usada. El puntaje se arma de métricas base —lo intrínseco de la falla— y grupos que lo ajustan según la amenaza actual y tu entorno. Las bandas van de "ninguna" a "crítica" (9.0–10.0). Los detalles oficiales están en first.org/cvss.

Aquí está el error más común: tratar el puntaje base como el veredicto final. El score base no sabe nada de tu contexto. Un 9.8 en un sistema aislado, sin conexión a internet y sin datos sensibles, puede importarte menos que un 6.5 en tu servidor de cara a internet que además ya se está atacando. El CVSS te ordena la fila de forma general; la prioridad real la define tu exposición y si la falla se está explotando.

NVD: la base que enriquece (y por qué hoy está desbordada)

El NVD (National Vulnerability Database), del instituto de estándares de EE.UU. (NIST), toma los CVE y los enriquece con puntajes CVSS, referencias y metadatos. Durante años fue la fuente de facto para saber "qué tan grave es esto". Pero conviene saber su estado real: desde 2024 el NVD acumuló un backlog enorme de vulnerabilidades sin enriquecer —de unas 13,000 a más de 27,000 entre febrero de 2024 y fines de 2025—, porque el volumen de vulnerabilidades reportadas se disparó (las publicaciones crecieron más de 260% entre 2020 y 2025). Desde abril de 2026, el NIST admitió que no puede con todo y ahora prioriza enriquecer solo lo de mayor riesgo: lo que está en el catálogo KEV, el software usado por el gobierno federal y el software crítico (ver NVD del NIST).

La lección práctica de esto es importante: el puntaje oficial puede tardar, faltar o quedar incompleto. No esperes a que alguien te ponga el número perfecto para actuar. Prioriza por lo que se sabe explotado y por tu propio contexto.

Cómo leerlo sin volverte loco

  • CVE = qué falla es (el nombre único).
  • CVSS = qué tan grave en abstracto (una guía útil, no una orden).
  • Tu contexto + si se está explotando = la prioridad real con la que decides qué parchar primero.

Esa última línea es la que separa gestionar vulnerabilidades de solo coleccionar reportes. Cómo se conecta con el día cero, con la forma en que atacan y con qué hacer al respecto lo unimos en la guía completa.

#cve #cvss #nvd #vulnerabilidades #ciberseguridad #fundamentos

Preguntas frecuentes

¿Qué es un CVE?

CVE (Common Vulnerabilities and Exposures) es el sistema que asigna un identificador único a cada vulnerabilidad, con formato CVE-año-número, para que todos hablen de la misma falla. Lo coordina MITRE con CISA como patrocinador, y los identificadores los asignan las CVE Numbering Authorities (CNAs). Un CVE es un nombre y una descripción; no indica por sí solo la gravedad.

¿Qué significa el puntaje CVSS de una vulnerabilidad?

CVSS (Common Vulnerability Scoring System) puntúa una vulnerabilidad del 0 al 10 según su gravedad, y lo mantiene FIRST. La versión actual es la 4.0 (2023). El puntaje base refleja lo intrínseco de la falla, pero no considera tu contexto: es una guía para ordenar prioridades, no un veredicto. Una falla crítica en un sistema aislado puede importar menos que una media en un servidor expuesto y bajo ataque.

¿Qué es el NVD y por qué importa que esté desbordado?

El NVD (National Vulnerability Database) del NIST enriquece los CVE con puntajes y metadatos. Desde 2024 acumuló un backlog enorme por el aumento de vulnerabilidades reportadas, y desde abril de 2026 prioriza enriquecer solo lo de mayor riesgo (catálogo KEV, software federal y crítico). Importa porque el puntaje oficial puede tardar o faltar, así que no conviene esperarlo para actuar.

¿Debo parchar siempre primero la vulnerabilidad con el CVSS más alto?

No necesariamente. El CVSS base no considera tu exposición ni si la falla se está explotando. La prioridad real cruza el puntaje con tu contexto (¿está expuesto a internet?, ¿es un sistema crítico?) y con la evidencia de explotación activa, como el catálogo KEV de CISA. Un puntaje alto en un sistema sin exposición puede ser menos urgente que uno medio en un sistema crítico bajo ataque.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

El parche que rompió todo: parchar rápido no es parchar a ciegas (sandbox, anillos y madurez)
Cómo evaluar una solución de endpoint sin caer en el "cuadrante mágico"
EDR en servidores críticos: cuando el falso positivo es peor que el malware