La cantidad de vulnerabilidades descubiertas y publicadas cada año supera ampliamente la capacidad de los equipos de seguridad para abordarlas de manera inmediata. No todas representan el mismo nivel de riesgo, debido a que muchas nunca llegan a ser explotadas. Esta disparidad ha impulsado la necesidad de priorizar no solo con base en la gravedad técnica, sino también en la probabilidad de que una vulnerabilidad haya sido o pueda ser explotada. En este contexto, contar con herramientas analíticas que permitan estimar con mayor precisión qué vulnerabilidades han sido aprovechadas maliciosamente contribuye a una gestión más eficaz del riesgo.
Frente a las limitaciones de las listas existentes de vulnerabilidades conocidas como explotadas y de los modelos predictivos tradicionales, se propone un enfoque que combina datos históricos con cálculos probabilísticos. A través de esta metodología, se busca estimar qué vulnerabilidades, aunque no estén oficialmente registradas como explotadas, probablemente lo han sido. Este análisis permite detectar omisiones relevantes y complementar otras fuentes, aportando una perspectiva más amplia y adaptativa. La métrica construida para este fin se apoya en secuencias temporales de datos públicos, los cuales se procesan mediante fórmulas que aplican probabilidad condicional. El cálculo permite identificar patrones que, al repetirse con suficiente frecuencia, indican una elevada probabilidad de explotación. A diferencia de los modelos centrados exclusivamente en la predicción futura, este enfoque se orienta hacia una evaluación retrospectiva basada en evidencia observable y en la evolución de indicadores como el puntaje EPSS.
Una de las aplicaciones más destacadas de esta métrica es la evaluación comparativa entre lo que se estima que ha sido explotado y lo que aparece registrado oficialmente. Esta comparación revela que, incluso con herramientas públicas, es posible detectar vulnerabilidades que muestran comportamientos sospechosos y que no han sido incluidas en las listas conocidas. Tal hallazgo sugiere la existencia de vacíos, bien sea por falta de visibilidad, restricciones operativas o simplemente porque ciertos eventos no llegan a ser detectados por los sistemas actuales. Desde una perspectiva operativa, esta herramienta permite asignar prioridades más acertadas en contextos de recursos limitados. En lugar de responder a todas las vulnerabilidades por igual, se enfoca la atención en aquellas que tienen mayor probabilidad de haber sido aprovechadas en ataques. Este enfoque no elimina la incertidumbre, pero la reduce de forma significativa, permitiendo una mejor asignación de esfuerzos en ciberseguridad.
Además del valor técnico, también existe una dimensión estratégica en esta metodología. Estimar con mayor precisión el nivel de explotación de vulnerabilidades puede mejorar la relación entre las organizaciones y sus equipos de seguridad, permitiendo justificar acciones basadas en evidencia cuantificable. Esta transparencia resulta útil para la toma de decisiones, la elaboración de informes internos y la alineación con regulaciones externas. Aunque el modelo actual aún requiere de más datos empíricos para perfeccionar su precisión, su implementación técnica es factible con herramientas ampliamente disponibles. No se requiere una infraestructura avanzada ni un conocimiento especializado en matemáticas complejas. El enfoque puede ser adoptado por organizaciones que buscan mejorar su capacidad de respuesta sin necesidad de reestructurar sus sistemas de seguridad.
El valor de este enfoque radica en su capacidad para proporcionar una perspectiva alternativa a los modelos tradicionales, basada no en suposiciones abstractas, sino en probabilidades calculadas a partir de patrones reales. Esta forma de análisis aporta información útil para una toma de decisiones más ágil y ajustada a los riesgos observables, sin depender exclusivamente de listas o alertas externas que pueden estar incompletas o desactualizadas.
Para leer más ingrese a:
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=959845
Compartir artículo
Para información general sobre la organización: difusion@colombiainteligente.org | Dirección: Edf. TecnoParque Cr 46#56-11 Piso 13 | Medellín – Colombia
Teléfono: +57-4-4441211 Ext. 171 | FAX: +57-4-4440460
Los documentos se clasifican en varios colores tipo semáforo tecnológico que indican el nivel de implementación de la tecnología en el país
Tecnología en investigación que no ha sido estudiado o reglamentado por entidades del sector.
La tecnología se aplica de manera focal y se encuentra en estudio por parte de las entidades del sector.
La tecnología se aplica de manera escalable y se encuentran políticas y regulaciones focales establecidas.
La tecnología se aplica a través de servicios y se encuentran políticas y regulaciones transversales establecidas.
La tecnología se aplica de manera generalizada y se tiene un despliegue masivo de esta.
Para acceder a todos los documentos publicados y descargarlos ingresa aquí