¿Qué es CVE y por qué su papel es vital para la ciberseguridad del mundo?

En la actualidad, la ciberseguridad se ha convertido en uno de los grandes puntos a tener en cuenta por empresas, instituciones y personas individuales. En este contexto, un CVE, o Vulnerabilidades y Exposiciones Comunes, viene para hacer con un gran papel protagonista en este sentido.

Desde hace décadas, las organizaciones han trabajado para catalogar y entender los problemas de ciberseguridad. La idea no es solo describir los problemas, sino también dar herramientas y estrategias para protegerse. Una de estas herramientas es el CVE, que ayuda a identificar y categorizar los problemas de seguridad de una manera organizada y accesible para quien quiera.

Imagina que esta lista funciona como un diccionario que define y etiqueta cada problema específico que podría poner en riesgo la seguridad de una empresa cuando utilizas programas o aplicaciones. Aquí se crea una colaboración global para encontrar soluciones y mitigar los problemas antes de que se conviertan en algo más grave.

Por todo esto, es hora de que conozcas a fondo qué es realmente un CVE, cómo se crean y qué tipo de información de vital importancia incluye.

• ¿Qué es un CVE?
• Así es como se vería el formato de los CVE
• Entran en juego los CNA, la clave para que todo funcione correctamente
• CVE-2017-0144, ¿te suena? A Microsoft seguro que sí

¿Qué es un CVE?

Un CVE, abreviatura de Common Vulnerabilities and Exposures o Vulnerabilidades y Exposiciones Comunes en español, es básicamente una lista organizada de problemas de ciberseguridad que se hacen públicos. Estos problemas pueden encontrarse en software, hardware o firmware, y son identificados por un número único llamado CVE ID.

Imagina que cada CVE ID es como un nombre único para un problema específico en un programa. Por ejemplo, si uno en concreto tiene un error que permite a un ciberdelincuente acceder a información privada, ese error tendría su propio CVE ID. Esta lista CVE es llevada por la MITRE Corporation, una organización sin fines de lucro que trabaja para mejorar la ciberseguridad.

El propósito principal del CVE es ayudar a las empresas y a las personas a entender qué problemas de seguridad existen y cómo pueden protegerse. Al dar identificadores estandarizados, como los CVE ID, todos pueden hablar sobre las mismas vulnerabilidades y compartir información sobre cómo solucionarlas. 

Así es como se vería el formato de los CVE

Lo cierto es que cuando ves uno, a no ser que realmente entiendas lo que se está explicando, es bastante lioso. Sin embargo, aquí tienes un desglose sencillo:

1. CVE ID: cada CVE tiene un identificador único alfanumérico, por ejemplo, CVE-2024-12345. Este ID es clave para referirse todos a una vulnerabilidad específica.
2. Descripción: cada CVE incluye una descripción clara y concisa de la vulnerabilidad o exposición. Aquí vas a ver detalles sobre cómo puede ser explotada la vulnerabilidad.
3. Referencias: se dan referencias a recursos adicionales que pueden incluir más detalles técnicos, análisis de impacto, soluciones, etc.
4. Estado: indica si la vulnerabilidad está en estado de publicación, es decir, si ya ha sido divulgada públicamente o si todavía está en proceso de revisión y validación.
5. Impacto: se detalla el impacto potencial de la vulnerabilidad en términos de seguridad, como la posibilidad de acceso no autorizado, robo de información o interrupción del servicio.
6. Soluciones y mitigaciones: también vas a ver información sobre parches disponibles, configuraciones recomendadas u otras medidas para evitar problemas mayores. 
7. Categorización: las vulnerabilidades CVE suelen estar categorizadas según su gravedad —por ejemplo, crítica, alta, media, baja— y el tipo de sistema o software afectado —por ejemplo, sistema operativo, aplicación web, dispositivo de red—.

Entran en juego los CNA, la clave para que todo funcione correctamente

Un CNA, CVE Numbering Authority, es el responsable de asignar ID CVE únicos a las vulnerabilidades descubiertas. Esto implica recibir informes de vulnerabilidades, validarlos, asignar un CVE ID y luego publicar la información en la base de datos oficial de CVE y en sus propias webs, por ejemplo.

En España, varios organismos y entidades que son CNA: 

• INCIBE (Instituto Nacional de Ciberseguridad): como organismo nacional de referencia en ciberseguridad, INCIBE actúa como CNA para vulnerabilidades relacionadas con infraestructuras críticas y sistemas gubernamentales.
• CCN-CERT (Centro Criptológico Nacional - Centro de Respuesta a Incidentes de Seguridad de la Información): también juega un papel como CNA, especialmente en áreas de seguridad de la información y defensa cibernética.
• Empresas y proveedores de servicios de tecnología: algunas grandes empresas tecnológicas y proveedores de servicios de TI en España pueden ser también CNA.

CVE-2017-0144, ¿te suena? A Microsoft seguro que sí

Un caso emblemático de CVE que fue muy importante es el CVE-2017-0144, más conocido como EternalBlue. Esta vulnerabilidad fue descubierta en el protocolo de servidor de mensajería SMB (Server Message Block) de Microsoft Windows.

EternalBlue fue utilizado por primera vez en 2017 en el ataque de ransomware WannaCry, que afectó a organizaciones en todo el mundo, incluyendo sistemas de salud y servicios de emergencia. Para recuperar el acceso, se exigía una gran cantidad de bitcoins a modo de pago. En España, grandes empresas como Iberdrola o Gas Natural lo sufrieron en sus propias carnes. 

Después del ataque, Microsoft lanzó rápidamente un parche de seguridad que ponía fin a la vulnerabilidad EternalBlue en sistemas Windows. Aquí este CVE aportó la documentación necesaria para que otras compañías pusiesen en marcha sistemas de defensa, pero, sobre todo, conociesen el potencial peligro que corrían. Actuó como una información global para evitar males mayores y que se extendiese más de lo que ya lo hizo.

Conoce cómo trabajamos en ComputerHoy.

Etiquetas: Malware, Vídeo, Ordenadores, Software, Qué es