ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura · Intermedio

CVE vs. errores de configuración: el dilema equivocado

Priorizar CVE o malas configuraciones es un falso dilema. Los atacantes encadenan todo lo que funcione. La defensa efectiva gestiona ambos sin elegir bando.

gestión de vulnerabilidadesciberseguridadcloud securitygestión de riesgosPurple Team

El falso dilema

En ciberseguridad aún se debate si priorizar CVE o errores de configuración.

La realidad es simple: si eliges uno, pierdes.

Así atacan realmente

Los atacantes encadenan todo lo que funcione:

  • Configuraciones expuestas
  • Permisos excesivos
  • Vulnerabilidades sin parchear

No atacan por categorías. Atacan por oportunidad.

Un ataque real típico combina:

  1. Una configuración de cloud storage mal protegida (acceso público)
  2. Credenciales encontradas en un repositorio expuesto
  3. Escalamiento de privilegios por permisos excesivos
  4. Movimiento lateral aprovechando una CVE sin parchear

Separar “vulnerabilidades” de “configuraciones” es una distinción administrativa que el atacante no respeta.

Los CVE importan

Porque son:

  • Explotables: código de explotación disponible públicamente
  • Medibles: CVSS, EPSS, KEV proveen métricas objetivas
  • Urgentes: el reloj corre desde que se publican

Una CVE con exploit público y presencia en el catálogo KEV de CISA es una emergencia. Sin discusión.

Las malas configuraciones también importan

Porque son:

  • El acceso más barato: no requieren exploits sofisticados
  • Silenciosas: no generan alertas de vulnerabilidades
  • Frecuentes: la configuración por defecto rara vez es segura

Ejemplos que se repiten constantemente

ConfiguraciónRiesgo
S3 bucket públicoExposición masiva de datos
Credenciales por defecto en serviciosAcceso directo sin esfuerzo
Puertos de gestión expuestos (SSH, RDP)Punto de entrada para fuerza bruta
Permisos excesivos en IAMEscalamiento de privilegios trivial
Logging deshabilitadoIncidentes sin trazabilidad

Ninguna de estas aparece en un scanner de CVEs. Todas son vectores de ataque reales.

La defensa que funciona

La defensa efectiva no elige bando:

  • Gestiona vulnerabilidades: prioriza por riesgo real (KEV, EPSS, contexto de activo)
  • Asegura configuraciones: baselines de hardening, CIS Benchmarks, revisiones periódicas
  • Practica escenarios reales: ejercicios que combinan ambos vectores como lo haría un atacante

Eso es lo que reduce riesgo de verdad.

El enfoque integrado

En lugar de equipos separados para “vulnerability management” y “configuration management”, los equipos maduros:

  1. Unifican la visión de riesgo: una sola vista que combine CVEs y configuraciones
  2. Priorizan por impacto de negocio: no por categoría técnica
  3. Validan con Purple Team: ejercicios que encadenan vulnerabilidades y misconfigurations como lo haría un adversario real
  4. Reportan en lenguaje de riesgo: al directorio no le importa si es un CVE o un misconfiguration — le importa el impacto

La seguridad no se gestiona por silos. Se gestiona por riesgo.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

Artículos relacionados

·2 min de lectura
El problema del ruido en ciberseguridad: cuando todo es crítico, nada lo es
gestión de vulnerabilidadesCVSSEPSS
·3 min de lectura
$240.000 millones en tecnología. Cero en entender el problema
gestión de riesgosciberseguridadprocesos
·2 min de lectura
Gestión del riesgo en seguridad de la información: buenas prácticas clave
gestión de riesgosISO 27001NIST

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo