Estimando la gravedad de las vulnerabilidades

Buenas tardes a todos, como la gran mayoría ya lo ha definido una vulnerabilidad no es lo mismo
que una amenaza.

Cuando hablamos de una vulnerabilidad sabemos que está presente en todos los sistemas de
información, no es una sorpresa que hasta en los sistemas de última generación (Consolas,
Celulares, Software, etc.) presenten “fallos de seguridad” que permiten hacer un uso inadecuado
de los mismos.

En cierta manera podemos entonces decir que por naturaleza un sistema informático contendrá
vulnerabilidades que podrán ser explotadas, sin embargo, dependerá de muchos factores para que
logre materializarse una amenaza. Y es por ello es que es necesario, al igual que los riesgos,
realizar una clasificación de las vulnerabilidades para poder entender el alcance y las
consecuencias que tendrán.

Como ya se ha mencionado una clasificación amplia de las vulnerabilidades puede ser

 Conocida. Es conocida por los usuarios y/o quien provee el sistema

 Desconocida. No es conocida por los usuarios ni por quien provee el sistema

En ese sentido bastante simplista podemos observamos que hay muchos factores en juego, por un
lado somos capaces de protegernos si dedicamos un poco de tiempo a la documentación
adecuada, pero por otro lado estamos expuestos a ataques que nadie más a experimentado y por
lo tanto no se sabe en qué momento puedan ocurrir.

Ante esto solo queda un punto bastante recurrente, que es el seguimiento. No podemos
depender únicamente de la información recurrente, sino que debemos crear nuestra propia
documentación y compartirla con los demás en pro de la mejora continua y de una comunidad
mejor preparada. En este sentido comentaré que en mi poca experiencia como desarrollador de
Software y Hardware, normalmente somos conscientes de las vulnerabilidades en nuestros
sistemas, en muchas ocasiones debido al tiempo de entrega realizamos componentes del sistema
a prisa y siguiendo documentaciones complejas o incompletas que, para fines del sistema a
desarrollar funcionan, pero que no usan las mejores prácticas para su implementación, y es
cuando se explota una de estas vulnerabilidades o bien se realiza una revisión posterior es
necesario realizar los parches necesarios para su corrección. Por otro lado me ha tocado
enfrentarme con errores y situaciones no documentados, que te hacen pensar, ¿Por qué a mí me
pasa esto? Ó ¿Solo yo tengo ese error?, pero la realidad es que no. Un gran número de respuestas
son encontradas en foros y no en documentaciones oficiales.

Continuando con el tema y la clasificación de las vulnerabilidades, diversos autores clasifican las
vulnerabilidades según su impacto.

 Gravedad Baja
 Gravedad Media
  Gravedad Alta
 Gravedad Critica

En esta nueva clasificación se observa que no todos los fallos de seguridad representan un foco
rojo de atención inmediata.

En nuestro contexto como expertos en seguridad informática, creo que debemos ser capaces de
realizar esta clasificación a detalle, ya que, aunque la última representa el santo grial que todos
quieren descubrir y corregir, las demás deben también ser atendidas y darles la atención necesaria
ya que la seguridad de una organización es un todo y no solo su componente mas débil.