¿priorIQ.ai reemplaza a mi scanner?

No. Lo potencia. Conectamos con Tenable, Qualys, Rapid7, Snyk, AWS Inspector y Wiz para reconciliar todo en una sola vista.

¿Está disponible on-premise?

Sí. Ofrecemos SaaS multi-tenant y despliegue self-hosted, incluido air-gapped.

¿Cuánto tarda en estar operativo?

El time-to-value típico es menos de 2 semanas desde la conexión del primer scanner.

¿Cómo se calcula la priorización?

Combinamos CVSS, EPSS, presencia en CISA KEV, exploits públicos verificados, exploit-in-kit y la exposición de negocio del activo.

¿Soporta entornos air-gapped?

Sí, con una réplica local del catálogo NVD y un canal de actualización offline.

¿Qué frameworks de compliance soporta?

CIS Benchmarks por OS, NIS2, DORA, SOC 2 e ISO/IEC 27001:2022, con evaluación continua.

¿Cómo se gestionan los datos sensibles?

Cifrado at-rest con AES-256, credenciales nunca expuestas en respuestas API ni en logs, audit log inmutable.

¿Tienen integración con ticketing?

Sí, nativa con Jira, ServiceNow y Freshservice. Crea, actualiza y cierra tickets desde priorIQ.ai.

CVSS explicado: versiones, calculadoras y qué te dice realmente la puntuación

CVSS es el número que todos citan cuando hablan de lo "grave" que es una vulnerabilidad — el 9,8 del aviso de seguridad, la etiqueta "Crítica" de tu scanner. Pero ¿qué mide en realidad, cómo funcionan las calculadoras y qué versión deberías usar? Aquí tienes una explicación práctica, además de nuestra opinión honesta sobre dónde ayuda CVSS y dónde descarría a los equipos.

¿Qué es CVSS?

El Common Vulnerability Scoring System (CVSS) es un marco abierto y neutral —mantenido por FIRST (Forum of Incident Response and Security Teams)— para puntuar la severidad de una vulnerabilidad en una escala de 0,0 a 10,0. Su valor es la estandarización: un vector CVSS significa lo mismo venga de un aviso del fabricante, del NVD o de tu propio análisis.

Los tres grupos de métricas

Las puntuaciones CVSS se construyen con hasta tres grupos de métricas:

Base — las características intrínsecas e invariables del fallo: cómo se alcanza (vector de ataque), lo difícil que es explotarlo, qué privilegios e interacción de usuario requiere, y el impacto sobre confidencialidad, integridad y disponibilidad. Es la puntuación que casi todos citan.
Temporal (v3.1) / Amenaza (v4.0) — factores que cambian con el tiempo, como la existencia de código de explotación maduro.
Entorno (Environmental) — ajustes para tu entorno concreto, incluida la criticidad del activo afectado.

El detalle: la mayoría de las organizaciones solo usan la puntuación Base e ignoran las otras dos — que es justo lo que la propia documentación de CVSS advierte que no hagas.

Bandas de severidad

La puntuación 0–10 se asigna a bandas cualitativas: Ninguna (0,0), Baja (0,1–3,9), Media (4,0–6,9), Alta (7,0–8,9) y Crítica (9,0–10,0).

Versiones actuales: v3.1 y v4.0

CVSS v3.1 (2019) sigue siendo la más usada en la práctica. Es lo que reportan hoy el NVD y la mayoría de los scanners.
CVSS v4.0 (publicada por FIRST en noviembre de 2023) es la última versión. Añade granularidad relevante: separa el impacto en Sistema Vulnerable y Sistema Subsiguiente, añade una métrica de Requisitos de Ataque, sustituye "Temporal" por métricas de Amenaza e introduce métricas Suplementarias (Seguridad física, Automatizable, Recuperación, etc.). También formaliza la nomenclatura CVSS-B, CVSS-BT y CVSS-BTE según qué grupos puntúes. El objetivo es reducir la tendencia de v3.x a calificar casi todo como "Crítico".

La adopción de v4.0 es gradual, así que verás ambas versiones conviviendo durante un tiempo.

Las calculadoras

La herramienta de referencia es la calculadora oficial de FIRST (en first.org, con páginas separadas para v3.1 y v4.0). Seleccionas cada métrica y produce dos cosas: una puntuación numérica y una cadena de vector.

Esa cadena de vector —por ejemplo CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H— codifica todas tus elecciones. Cualquiera puede pegarla en la calculadora para reproducir la puntuación exacta, lo que hace que las puntuaciones sean reproducibles y auditables. El NVD adjunta puntuaciones CVSS a las CVE publicadas, y la mayoría de los fabricantes publican sus propios vectores en los avisos.

Cómo leer un vector CVSS rápido

Cada par es métrica:valor. En el ejemplo anterior: AV:N = accesible por red, AC:L = baja complejidad, PR:N = sin privilegios, UI:N = sin interacción de usuario, y C/I/A:H = impacto alto en todo. Esa combinación es la que produce una puntuación casi máxima.

Nuestra opinión: útil, pero rutinariamente mal usado

Esta es nuestra opinión honesta. CVSS es esencial como lenguaje común de severidad, y v4.0 es una mejora real — más matiz, menos inflación de puntuaciones. Pero CVSS es también la métrica más mal usada de la gestión de vulnerabilidades:

La severidad base no es riesgo. CVSS mide lo grave que sería la explotación, no lo probable que es. La mayoría de los equipos ordenan su backlog solo por la puntuación Base, que es precisamente lo que FIRST te dice que no hagas.
"Corregir todas las críticas" no escala. Como tantas CVE caen en Alta/Crítica, priorizar solo por severidad produce un backlog imposible mientras los problemas realmente peligrosos y explotados activamente esperan en el mismo montón.
Los grupos Amenaza y Entorno son la cura que CVSS trae de fábrica — y casi nadie los usa. En la práctica, EPSS (probabilidad) y el catálogo CISA KEV (explotación confirmada) suelen hacer ese trabajo mejor y con menos esfuerzo manual.

Nuestra recomendación: usa CVSS para lo que es bueno —describir el impacto— y combínalo con explotabilidad, explotación activa y contexto de negocio. Esa combinación es la base de la gestión de vulnerabilidades basada en riesgo, y la receta práctica está en nuestro marco de priorización.

Cómo priorIQ.ai usa CVSS

priorIQ.ai trata CVSS como la dimensión de impacto y lo combina automáticamente con EPSS, CISA KEV, exposición de negocio y análisis de combinaciones tóxicas — para que un CVSS alto nunca suba al primer puesto solo por severidad. Solicita una demo.

Preguntas frecuentes

¿Debo usar CVSS v3.1 o v4.0? Usa la que provean tus fuentes, y prefiere v4.0 cuando esté disponible — pero no cambies cómo priorizas: la severidad es una entrada, no el ranking.

¿Un CVSS 9,8 siempre es urgente? No. Un 9,8 que no se está explotando y vive en un activo aislado puede ser menos urgente que un 6,5 que está en CISA KEV.

¿Dónde calculo una puntuación CVSS? En la calculadora oficial de FIRST (v3.1 y v4.0), que genera la puntuación y la cadena de vector reproducible.