El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) acaba de lanzar una propuesta que puede marcar un antes y un después en la forma en que se gestionan las vulnerabilidades de software. Se trata de una nueva métrica llamada “Likely Exploited Vulnerabilities” (LEV), o lo que es lo mismo, vulnerabilidades probablemente explotadas. La idea es sencilla pero potente: ayudarnos a saber qué fallos tienen más posibilidades de estar siendo utilizados por los atacantes en el mundo real.
Hasta ahora, las organizaciones han tenido que confiar en dos herramientas principales para priorizar qué vulnerabilidades tapar primero: EPSS, que predice si un fallo puede ser explotado en el futuro, y la lista KEV de CISA, que recoge vulnerabilidades que ya se ha confirmado que han sido utilizadas en ciberataques. El problema es que una se basa en predicciones —que no siempre se cumplen— y la otra solo recoge una pequeña parte del total.
Ahí es donde entra LEV, una métrica que combina datos históricos de EPSS para calcular la probabilidad de que una vulnerabilidad ya haya sido explotada. No es una certeza, sino una estimación estadística, pero puede convertirse en una herramienta muy útil para decidir por dónde empezar cuando el tiempo y los recursos no dan para todo.
Un enfoque más realista para priorizar parches
El informe del NIST pone el foco en una realidad incómoda: la mayoría de las empresas solo consigue parchear el 16 % de las vulnerabilidades que les afectan cada mes, mientras que solo alrededor del 5% de los fallos descubiertos acaban siendo utilizados realmente por atacantes. En un mundo ideal, se parchearían primero esos pocos pero peligrosos fallos, pero no siempre es fácil identificarlos.
Con LEV, el objetivo es justo ese: ayudar a enfocar los esfuerzos en las vulnerabilidades que de verdad importan. Según el NIST, esta métrica podría servir para:
- Saber cuántas vulnerabilidades han sido probablemente explotadas.
- Ver si las listas oficiales (como la KEV) se están quedando cortas.
- Detectar fallos peligrosos que aún no aparecen en esas listas.
- Mejorar el sistema EPSS, que a veces se queda corto con amenazas ya activas.
Falta validación… y ayuda
Eso sí, el propio NIST admite que LEV no es infalible. Depende de la calidad de los datos de EPSS, de ciertas suposiciones estadísticas que pueden no cumplirse en todos los casos, y lo más importante: no está validado con datos reales. No hay aún forma de saber si los scores que arroja son realmente acertados.
Por eso, el NIST está pidiendo colaboración a la industria. Necesita datos de empresas que detecten cuándo y cómo se explotan las vulnerabilidades —algo que suele estar en manos de compañías de ciberinteligencia, proveedores de seguridad o grandes corporaciones con sistemas avanzados de detección.
Como explican desde Dark Reading, si esas organizaciones se animan a compartir información, LEV podría convertirse en una herramienta muy valiosa para tomar mejores decisiones en seguridad. Y aunque no sustituye a la inteligencia de amenazas ni al criterio de los expertos, puede ser un buen complemento para afinar las estrategias.
El código ya está disponible
La buena noticia es que LEV ya se puede utilizar. Su código es público y trabaja con datos de la versión más reciente de EPSS (desde marzo de 2023). Los scores pueden actualizarse a diario y adaptarse al nivel de riesgo que cada organización esté dispuesta a asumir.
En un panorama donde parchear todo es imposible y el cansancio del equipo de ciberseguridad es real, tener una herramienta que ayude a separar lo urgente de lo importante puede marcar la diferencia.
