Saltar al contenido
Lección 5 de 8

Análisis de Vulnerabilidades

5 min read

Qué es el Análisis de Vulnerabilidades

El análisis de vulnerabilidades es la fase donde correlacionás los servicios y versiones que descubriste con debilidades de seguridad conocidas. Es el puente entre saber qué corre en un sistema y entender qué podría salir mal. El objetivo es construir una lista priorizada de vulnerabilidades reales y relevantes, no una avalancha de ruido.

Esta fase combina herramientas automatizadas con análisis humano. Los escáneres encuentran candidatos rápidamente, pero el pentester valida cada hallazgo, descarta falsos positivos y evalúa el impacto real en el contexto del cliente. La automatización amplifica tu alcance, pero el criterio profesional es lo que convierte datos crudos en hallazgos accionables.

Un buen análisis de vulnerabilidades distingue entre lo teóricamente posible y lo prácticamente explotable. Una vulnerabilidad crítica detrás de varias capas de mitigación puede ser menos urgente que una media directamente accesible desde internet.

Escáneres de Vulnerabilidades

Los escáneres de vulnerabilidades automatizan la detección comparando sistemas contra bases de datos de fallas conocidas. Nessus es uno de los más usados a nivel comercial: ofrece escaneos profundos, una amplia base de plugins y reportes detallados. OpenVAS (parte de Greenbone) es su alternativa de código abierto, muy capaz para evaluaciones de red.

Para aplicaciones web y descubrimiento moderno, Nuclei se ha vuelto enormemente popular. Usa plantillas (templates) en YAML mantenidas por la comunidad que describen cómo detectar vulnerabilidades y configuraciones incorrectas específicas. Su velocidad y la enorme biblioteca de plantillas lo hacen ideal para escanear muchos objetivos rápidamente y mantenerse al día con fallas recientes.

Cada escáner tiene fortalezas distintas. Nessus y OpenVAS brillan en infraestructura de red; Nuclei destaca en superficie web y verificación dirigida. Combinarlos da cobertura amplia, siempre validando manualmente lo que reportan.

Entendiendo los CVEs

Un CVE (Common Vulnerabilities and Exposures) es un identificador único asignado a una vulnerabilidad conocida públicamente, con el formato CVE-AÑO-NÚMERO. El sistema CVE, mantenido por MITRE, permite que toda la industria se refiera a la misma falla de forma inequívoca. Cuando un escáner reporta un CVE, podés investigar exactamente qué es, qué afecta y cómo se remedia.

La National Vulnerability Database (NVD) del NIST enriquece cada CVE con detalles técnicos, versiones afectadas, referencias y puntuaciones de severidad. Consultar la NVD o fuentes como los avisos del fabricante te permite entender el contexto completo de una vulnerabilidad antes de actuar sobre ella.

No todos los CVEs son iguales ni igualmente relevantes. Algunos requieren condiciones muy específicas para explotarse; otros son triviales y ampliamente aprovechados. Parte del análisis es leer la descripción del CVE con criterio y entender si las condiciones de explotación se cumplen en el entorno que estás evaluando.

Falsos Positivos y Validación

Los escáneres automatizados son propensos a falsos positivos: hallazgos que el escáner marca como vulnerables pero que en realidad no lo son, por ejemplo porque la versión fue parcheada sin cambiar el banner, o porque una mitigación neutraliza el riesgo. Reportar falsos positivos al cliente daña tu credibilidad y le hace perder tiempo.

Por eso, la validación manual es indispensable. Antes de incluir un hallazgo en el reporte, confirmá que la vulnerabilidad existe y es relevante en el contexto real. Esto puede implicar revisar configuraciones, comprobar versiones exactas o, cuando el scope lo permite, una prueba de concepto controlada que demuestre el problema sin causar daño.

La validación también funciona en la otra dirección: los escáneres producen falsos negativos, omitiendo vulnerabilidades reales. Por eso el análisis humano complementa siempre a la automatización, buscando lo que las herramientas no ven, como lógica de negocio defectuosa o cadenas de fallos menores que combinadas son críticas.

Priorización con CVSS

El CVSS (Common Vulnerability Scoring System) es el estándar para puntuar la severidad de una vulnerabilidad en una escala de 0 a 10. Se compone de métricas base (explotabilidad e impacto), temporales (disponibilidad de exploits, parches) y ambientales (relevancia para el entorno específico). La puntuación se traduce en categorías: baja, media, alta y crítica.

CVSS te da un punto de partida objetivo para priorizar, pero no es la palabra final. Una vulnerabilidad con CVSS alto que solo es accesible desde una red interna aislada puede ser menos urgente que una de severidad media expuesta directamente a internet. El contexto del negocio y la exposición real ajustan la prioridad que la puntuación base sugiere.

La métrica ambiental de CVSS existe precisamente para incorporar ese contexto. Como pentester, tu valor está en traducir puntuaciones genéricas en prioridades concretas para el cliente, considerando qué activos son críticos para su operación y cuáles están realmente expuestos.

De los Hallazgos a la Acción

El producto de esta fase es una lista de vulnerabilidades validadas, priorizadas y documentadas que alimenta tanto la fase de explotación como el reporte final. Cada entrada debe incluir el activo afectado, la vulnerabilidad, su severidad, la evidencia y una hipótesis de impacto. Esta estructura facilita decidir qué explotar y qué recomendar remediar primero.

Mantené el análisis enfocado en lo que aporta valor real. Es tentador reportar cada hallazgo menor que arroja un escáner, pero un reporte saturado de ruido de baja prioridad diluye los hallazgos críticos. La priorización inteligente — apoyada en CVSS pero guiada por el contexto — es lo que distingue un análisis profesional de un volcado automático de resultados.