El Instituto Nacional de Estándares y Tecnología planteó un nuevo método para medir la probabilidad que una vulnerabilidad haya sido explotada en la práctica y llama a la comunidad de especialistas a validar y mejorar la propuesta.
El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha dado a conocer una nueva herramienta que podría cambiar la manera en que las organizaciones priorizan sus esfuerzos de ciberseguridad, la que se ha denominado como Likely Exploited Vulnerabilities (LEV), o Vulnerabilidades Probablemente Explotadas.
La propuesta, desarrollada en colaboración con investigadores de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), pretende determinar cuáles de los miles de fallos descubiertos cada año han sido efectivamente utilizados en ataques reales.
LEV busca ser un complemento a del sistema de puntuación de predicción de explotación (Exploit Prediction Scoring System, EPSS), y de las listas de vulnerabilidades explotadas conocidas (Known Exploited Vulnerabilities, KEV), como la mantenida por CISA.
“El LEV ayuda a estimar la probabilidad de que una vulnerabilidad haya sido explotada, a partir de datos históricos del EPSS”, explicó Peter Mell, investigador del NIST y uno de los especialistas detrás de la iniciativa. Por su parte, Jonathan Spring, coautor del documento con la propuesta LEV y miembro de CISA, complementó que “anteriormente, los encargados del mantenimiento de KEV no contaban con una métrica que demostrara la precisión con la que su lista incluía todas las vulnerabilidades relevantes”.
Según el documento técnico publicado por el NIST el 19 de mayo pasado, el sistema LEV se basa en una serie de ecuaciones que analizan patrones en los puntajes EPSS a lo largo del tiempo. A diferencia del EPSS, que predice si una vulnerabilidad será explotada en los próximos 30 días, LEV intenta concluir si una vulnerabilidad ya ha sido explotada anteriormente. Este enfoque estadístico permitiría a las organizaciones actuar con mayor certeza al priorizar la aplicación de parches.
En 2024, se registró un aumento del 39% en el número de vulnerabilidades (CVEs), de las cuales solo alrededor del 5% de terminan siendo explotadas. Mientras tanto, la tasa mensual de remediación de vulnerabilidades en las empresas ronda apenas el 16%, lo que evidencia una brecha importante entre el volumen de vulnerabilidades y los recursos disponibles para solucionarlas.
En ese contexto, LEV ofrece una vía para enfocar esos esfuerzos limitados en lo que más importa. “Si las empresas pudieran identificar y parchear solo ese pequeño subconjunto de vulnerabilidades que realmente representan un riesgo alto, podrían mejorar sustancialmente su postura de seguridad”, señala el informe.
La información que LEV proporciona incluye el nombre y la descripción del CVE, la probabilidad de explotación (LEV), la puntuación máxima EPSS observada, las fechas clave, y los productos afectados. Las organizaciones pueden incluso generar listas LEV personalizadas con un umbral específico (por ejemplo, 20%) para decidir qué fallas abordar primero.
Aun así, el NIST reconoce que LEV no es infalible. Depende de la precisión del EPSS, y requiere supuestos estadísticos que aún deben validarse empíricamente. “LEV es una estimación, no una confirmación. Por eso necesitamos colaboración con el sector privado para validar los datos”, concluye el documento.
Por ahora, la propuesta depende del apoyo de la industria, especialmente de las entidades que posean registros sobre cuándo y cómo ciertas vulnerabilidades fueron explotadas. Sin ese respaldo, LEV podría quedarse como una herramienta prometedora, pero incompleta.
El código LEV ya está disponible públicamente y calcula puntajes diarios para vulnerabilidades publicadas después de marzo de 2023. Su uso puede orientar no solo las decisiones técnicas de los equipos de seguridad, sino también las estrategias de cumplimiento normativo y comunicación del riesgo en las organizaciones.