¿priorIQ.ai reemplaza a mi scanner?

No. Lo potencia. Conectamos con Tenable, Qualys, Rapid7, Snyk, AWS Inspector y Wiz para reconciliar todo en una sola vista.

¿Está disponible on-premise?

Sí. Ofrecemos SaaS multi-tenant y despliegue self-hosted, incluido air-gapped.

¿Cuánto tarda en estar operativo?

El time-to-value típico es menos de 2 semanas desde la conexión del primer scanner.

¿Cómo se calcula la priorización?

Combinamos CVSS, EPSS, presencia en CISA KEV, exploits públicos verificados, exploit-in-kit y la exposición de negocio del activo.

¿Soporta entornos air-gapped?

Sí, con una réplica local del catálogo NVD y un canal de actualización offline.

¿Qué frameworks de compliance soporta?

CIS Benchmarks por OS, NIS2, DORA, SOC 2 e ISO/IEC 27001:2022, con evaluación continua.

¿Cómo se gestionan los datos sensibles?

Cifrado at-rest con AES-256, credenciales nunca expuestas en respuestas API ni en logs, audit log inmutable.

¿Tienen integración con ticketing?

Sí, nativa con Jira, ServiceNow y Freshservice. Crea, actualiza y cierra tickets desde priorIQ.ai.

EPSS vs CVSS: ¿cuál debe guiar tu priorización de vulnerabilidades?

Todo equipo de seguridad choca tarde o temprano con el mismo muro: el scanner reporta miles de hallazgos "Críticos", pero solo puedes corregir un puñado por sprint. ¿Qué métrica debe decidir el orden — CVSS o EPSS? La respuesta corta es que miden cosas radicalmente distintas, y los programas maduros usan las dos. Esto es exactamente lo que te dice cada una y cómo combinarlas.

Qué mide CVSS: severidad

CVSS (Common Vulnerability Scoring System) puntúa la severidad intrínseca de una vulnerabilidad en una escala de 0 a 10, a partir de características como el vector de ataque, la complejidad y el impacto sobre confidencialidad, integridad y disponibilidad. Responde a una pregunta: "Si se explotara, ¿qué tan grave sería?" La puntuación base es esencialmente estática —rara vez cambia tras la publicación— y no dice nada sobre si alguien está explotando el fallo.

Qué mide EPSS: probabilidad de explotación

EPSS (Exploit Prediction Scoring System), mantenido por FIRST, devuelve una probabilidad entre 0 y 1 de que una CVE sea explotada en la práctica dentro de los próximos 30 días. Se construye con señales del mundo real —disponibilidad de código de explotación, referencias, actividad observada— y se recalcula a diario. Responde a otra pregunta muy distinta: "¿Qué tan probable es que esto se explote pronto?"

La diferencia de fondo

CVSS = impacto potencial (severidad). Estático.
EPSS = probabilidad de explotación. Dinámico, actualizado a diario.

Una CVE puede tener CVSS 9,8 con un EPSS de 0,002 (devastadora si se explota, pero casi nadie lo hace) — o CVSS 6,5 con un EPSS de 0,85 (impacto moderado, pero muy probable de ser atacada). Si ordenas por CVSS, la primera es tu prioridad; si ordenas por EPSS, se invierten. Ninguna lente por sí sola te da la cola correcta.

Por qué CVSS solo sobre-prioriza

Como la mayoría de las CVE se inclinan a Alta o Crítica en CVSS, priorizar solo por severidad produce un backlog enorme e indiferenciado. Solo una pequeña fracción de las CVE publicadas se explota alguna vez, así que un programa basado solo en CVSS gasta casi todo su esfuerzo en vulnerabilidades sin amenaza práctica — mientras las realmente peligrosas, las que se explotan activamente, esperan en el mismo montón.

Por qué EPSS solo tampoco basta

EPSS te dice qué es probable que se explote, pero no cuánto daño haría en tus activos concretos — y es probabilístico, así que un valor bajo no garantiza seguridad. Dos factores deben poder anular un EPSS bajo:

CISA KEV: si una CVE está en el catálogo Known Exploited Vulnerabilities, se está explotando ahora mismo — corrígela sin importar su EPSS.
Exposición de negocio: un fallo de EPSS medio en un activo crítico expuesto a Internet puede superar fácilmente a uno de EPSS más alto en una máquina interna aislada.

Cómo usar CVSS y EPSS juntos

Un enfoque práctico y por capas:

KEV primero. Todo lo que se explota activamente salta la cola.
EPSS para ordenar. Entre el resto, ordena por probabilidad de explotación.
CVSS para ponderar impacto. Usa la severidad para desempatar y medir el radio de daño.
Contexto de negocio en la última milla. Multiplica por exposición y criticidad del activo.

Es el marco que detallamos paso a paso en Cómo priorizar vulnerabilidades. En resumen: EPSS decide el orden, CVSS describe la consecuencia, y KEV más exposición fuerzan las excepciones.

Una regla rápida

CVSS alto + EPSS alto + en KEV → deja todo lo demás.
CVSS bajo + EPSS alto → igual es urgente; es probable que se explote.
CVSS alto + EPSS bajo, fuera de KEV, baja exposición → prográmalo, no corras.

Cómo priorIQ.ai las combina automáticamente

priorIQ.ai ingiere CVSS, EPSS y el catálogo CISA KEV para cada hallazgo, añade exposición de negocio y análisis de combinaciones tóxicas, y produce una única lista ordenada de acciones de remediación — para que tu equipo nunca tenga que elegir entre "grave" y "probable". Solicita una demo y mira tus propios hallazgos puntuados con las cuatro señales a la vez.

Preguntas frecuentes

¿Puede una vulnerabilidad de CVSS bajo ser una emergencia real? Sí. Un fallo CVSS 5–6 con un EPSS alto o una entrada en KEV suele ser más urgente que un CVSS 9,8 no explotado.

¿EPSS reemplaza a CVSS? No, son complementarios. Usa EPSS para probabilidad y orden, y CVSS para impacto y contexto.

¿Con qué frecuencia cambia EPSS? A diario. El EPSS de una CVE puede dispararse en cuanto se publica código de explotación, y por eso una priorización eficaz tiene que ser continua, no un ejercicio trimestral.