¿Qué es CVE (vulnerabilidades y exposiciones comunes)?

Febrero 6, 2026

Vulnerabilidades y Exposiciones Comunes (CVE) es un sistema estandarizado para identificar y catalogar vulnerabilidades de ciberseguridad conocidas públicamente.

¿Qué es CVE?

¿Qué significa CVE?

Vulnerabilidades y exposiciones comunes (CVE) es un sistema de identificación público y estandarizado para los riesgos de seguridad cibernética Vulnerabilidades, donde cada entrada asigna un identificador único (el identificador CVE) a un problema de seguridad específico y divulgado públicamente. Un registro CVE actúa como una etiqueta de referencia consistente que las herramientas de seguridad, los avisos, parche Las notas y los informes de incidentes pueden apuntar a algo, por lo que todos hablan sobre la misma falla subyacente incluso cuando los proveedores o los productos la describen de manera diferente.

Es importante destacar que una entrada CVE no constituye una puntuación de gravedad ni una solución en sí misma. Se trata de una entrada de índice que suele incluir una breve descripción y referencias a fuentes fiables (como avisos de proveedores o análisis técnicos), lo que permite a las organizaciones rastrear los productos afectados, relacionar el problema con los recursos internos, priorizar la remediación y verificar si están expuestos.

¿Cómo funciona CVE?

CVE funciona convirtiendo un ataque denunciado vulnerabilidad En un registro estandarizado que todo el ecosistema de seguridad puede consultar, de modo que las herramientas y los equipos puedan rastrear el mismo problema de forma consistente, desde su divulgación hasta su solución. Así es exactamente cómo funciona:

  1. Se encuentra y se informa de una vulnerabilidad potencial. Los investigadores, proveedores o usuarios identifican una falla de seguridad y comparten suficientes detalles para describir qué está afectado y por qué es importante, lo que inicia el proceso de seguimiento formal.
  2. Una autoridad de numeración CVE (CNA) revisa el informe. La CNA (a menudo el proveedor o una organización coordinadora) valida que representa una vulnerabilidad distinta y reúne la información mínima requerida para identificarla claramente.
  3. Se reserva y asigna un ID CVE. La CNA reserva un identificador único (por ejemplo, CVE-YYYY-NNNNN), que proporciona a todos un identificador estable para referenciar mientras continúan el análisis y la coordinación.
  4. La vulnerabilidad está delimitada y documentada. Se aclaran los productos/versiones afectados, la naturaleza de la falla y las referencias confiables, lo que reduce la confusión y ayuda a los consumidores posteriores a mapear el problema a los sistemas reales.
  5. El registro CVE se publica en la Lista CVE. La entrada se vuelve visible públicamente en el catálogo central, lo que la hace detectable para herramientas de seguridad y vulnerabilidades. bases de datosy feeds de asesoramiento.
  6. La gravedad y la explotabilidad se evalúan en otra parte (a menudo a través de CVSS). Los proveedores, NVD u otras fuentes suelen proporcionar puntuaciones y análisis más completos, lo que ayuda a las organizaciones a priorizar la aplicación de parches aunque sea independiente del ID de CVE en sí.
  7. Las organizaciones utilizan el ID CVE para impulsar la remediación y la verificación. Los equipos combinan los CVE con los activos, aplican parches o mitigaciones y luego confirman que se ha resuelto la exposición, utilizando el CVE como referencia común entre escáneres, tickets e informes.

Formato CVE

Un identificador CVE se escribe en la forma CVE-AAAA-NNNNN (La última parte a veces es más larga), donde cada pieza ayuda a que la identificación sea única y fácil de consultar. Esto es lo que incluye:

  • CVE:el prefijo que lo marca como un ID de vulnerabilidades y exposiciones comunes.
  • AAAA: el año en que se obtuvo el ID CVE asignado o reservado (no necesariamente el año en que se descubrió o se divulgó públicamente el error).
  • NNNNN…: una secuencia numérica que identifica de forma única la vulnerabilidad dentro de ese año. Es al menos cuatro dígitos y puede ser más de cuatro (hoy en día no hay una longitud máxima fija), lo que permite emitir muchos documentos de identidad en un solo año.

Ejemplo: CVE-2024-3094.

¿Cuál es un ejemplo de vulnerabilidad y exposición común?

ejemplo de cve

Un ejemplo bien conocido es Log4Shell (CVE-2021-44228), un crítico ejecución remota de código Vulnerabilidad en la biblioteca de registro Java Apache Log4j que permitía a los atacantes activar la aplicación para cargar y ejecutar código controlado por el atacante enviando una cadena especialmente diseñada que Log4j resolvería (a menudo a través de una entrada registrada).

¿Qué se considera una vulnerabilidad y exposición común?

Se asigna una CVE cuando hay una debilidad distintiva y relevante para la seguridad que se puede describir y rastrear claramente como un problema propio, generalmente una falla en un producto o base de código específico que se puede explotar para causar un impacto negativo (por ejemplo, confidencialidad, integridad o disponibilidad). Las CNA están autorizadas a asignar identificaciones CVE para vulnerabilidades dentro de su alcance definido y publicarlas con el primer anuncio público.

En la práctica, un problema generalmente se considera admisible cuando cumple todas estas condiciones:

  • Representa una vulnerabilidad identificable (no una clase vaga de problemas).
  • Hay suficiente información para escribir una descripción significativa y señalar referencias autorizadas.
  • Pasa el proceso de decisión de inclusión de la CNA (de lo contrario, puede ser rechazado por no calificar o por estar informado incorrectamente).

Sistema de puntuación de vulnerabilidad común (CVSS)

El Sistema de puntuación de vulnerabilidades comunes (CVSS) es un estándar abierto para describir la gravedad técnica de una vulnerabilidad de manera consistente y producir una puntuación numérica de 0.0 a 10.0, a menudo asignada a etiquetas como Bajo/Medio/Alto/CríticoSu objetivo es ayudar a los equipos a comparar vulnerabilidades utilizando el mismo criterio, pero no es lo mismo que el riesgo, porque el riesgo depende del entorno, la exposición y el impacto en el negocio.

CVSS funciona seleccionando valores para un conjunto definido de métricas y combinándolos para obtener una puntuación. En CVSS v3.x, las métricas se agrupan en Base, Temporal y Ambiental. En CVSS v4.0, los grupos son Base, Amenaza, Ambiental y Suplementario, lo que refleja una separación más clara entre "gravedad intrínseca", "factores que cambian con el tiempo" y "su contexto local".

¿Cómo se identifican los CVEs?

Las CVE se identifican a través de un proceso coordinado en el que se revisa un informe de vulnerabilidad real y luego se le asigna un ID CVE único Por una organización autorizada, para que todos puedan consultar el mismo problema de forma sistemática. Aquí te explicamos cómo identificarlo:

  1. Se descubre una vulnerabilidad y se informa al proveedor afectado o a una autoridad de numeración CVE (CNA) (una organización autorizada para asignar identificaciones CVE).
  2. La CNA valida y delimita el problema, confirmando que representa una vulnerabilidad distinta y reuniendo suficientes detalles para describirlo y vincularlo a referencias confiables.
  3. Se reserva/asigna un ID CVE (por ejemplo, CVE-2026-12345), que crea un identificador estable que las herramientas, los avisos y los tickets pueden usar, incluso mientras aún se están ultimando los detalles.
  4. El registro CVE se publica cuando la CNA completa el registro (descripción + referencias), moviéndolo de un estado “RESERVADO” a una entrada pública en la Lista CVE.
  5. Si el problema resulta no calificar o se retira por alguna razón, el registro puede marcarse como RECHAZADO en lugar de publicarse como un CVE válido.

Los beneficios y limitaciones de CVE

CVE facilita el seguimiento y la comunicación de vulnerabilidades al asignar a cada problema una identificación coherente que las herramientas, los proveedores y los equipos de seguridad pueden consultar. Al mismo tiempo, CVE es solo un sistema de identificación, por lo que no garantiza una cobertura completa, no proporciona una solución ni refleja el riesgo real de una vulnerabilidad en su entorno específico.

Beneficios de vulnerabilidades y exposiciones comunes

CVE proporciona una forma compartida de referenciar vulnerabilidades, lo que reduce la ambigüedad y agiliza el trabajo de seguridad entre proveedores, herramientas y equipos. Las principales ventajas incluyen:

  • Nombres estandarizados en todo el ecosistema. Un único ID de CVE evita la confusión causada por diferentes nombres de proveedores o múltiples descripciones del mismo problema, lo que hace que la comunicación y los informes sean consistentes.
  • Seguimiento más sencillo desde el descubrimiento hasta la remediación. Los ID de CVE actúan como identificadores duraderos que puede usar en tickets, notas de parches y auditorías para seguir un problema a través de la investigación, mitigación y verificación.
  • Superior interoperabilidad entre herramientas de seguridad. Escáneres, SIEMLas plataformas SOAR, las CMDB y las bases de datos de vulnerabilidades pueden generar la misma identificación CVE, lo que mejora la correlación y reduce el trabajo duplicado.
  • Inteligencia y coordinación de vulnerabilidades más rápidas. Los avisos públicos, los informes de exploits y los boletines de proveedores se pueden vincular a través del registro CVE, lo que ayuda a los equipos a recopilar contexto rápidamente sin tener que buscar múltiples esquemas de nombres.
  • Evidencia de auditoría y cumplimiento más clara. Cuando las políticas requieren el seguimiento de vulnerabilidades conocidas, los CVE proporcionan una referencia aceptada que respalda la elaboración de informes y documentación consistentes.
  • Entradas de priorización más confiables cuando se combinan con puntuación y contexto. Los identificadores CVE le permiten unir datos como CVSS, actividad de explotación, exposición de activos y criticidad comercial, lo que hace que la priorización de la remediación sea más estructurada.

Vulnerabilidades y exposiciones comunes Limitaciones

La CVE es valiosa para la identificación y la coordinación, pero tiene límites importantes a la hora de priorizar y gestionar el riesgo real. Las limitaciones comunes son:

  • CVE es un sistema de identificación, no una clasificación de riesgo. Una entrada CVE no le indica qué tan urgente es para su entorno; aún necesita contexto como exposición, controles de compensación e impacto comercial (a menudo junto con CVSS e información sobre amenazas).
  • La cobertura no está garantizada. No todos los problemas de seguridad reciben una CVE, especialmente fallas específicas del producto que no se divulgan públicamente, problemas fuera del alcance de CNA o vulnerabilidades que no cumplen con los criterios de asignación.
  • Los detalles del registro pueden ser mínimos o desiguales. Algunas descripciones y referencias de CVE son breves, y la profundidad/calidad de la información varía según el proveedor o la CNA, lo que puede dificultar la evaluación de impacto.
  • Las entradas CVE no incluyen correcciones de forma predeterminada. El CVE puede tener vínculos a avisos, pero la disponibilidad de parches, los pasos de mitigación y las soluciones alternativas provienen de proveedores y otras fuentes, pero no del sistema CVE en sí.
  • El tiempo puede retrasarse respecto de la actividad del mundo real. Una vulnerabilidad podría ser explotada in situ antes de que se publique un CVE, o un CVE podría estar reservado mucho antes de que estén disponibles todos los detalles, lo que crea brechas para los defensores.
  • La granularidad de CVE no siempre coincide con la forma en que se aplica el parche. Un solo CVE puede afectar a muchas versiones/productos, y algunas correcciones abordan múltiples CVE a la vez, por lo que la asignación de “CVE → acción de parche” no siempre es uno a uno.

Preguntas frecuentes sobre CVE

Aquí están las respuestas a las preguntas más frecuentes sobre CVE.

CVE frente a CWE

Aspecto CVE (vulnerabilidades y exposiciones comunes)CWE (enumeración de debilidades comunes)
lo que representaUna vulnerabilidad específica del mundo real que existe en un producto o sistema.Una clase general de debilidad en el diseño o implementación de software o hardware.
Nivel de abstracciónConcreto y basado en instancias.Abstracto y categorial.
Pregunta típica que responde"¿Cuál es exactamente esta vulnerabilidad?""¿Qué tipo de error causó esta vulnerabilidad?"
Formato de identificadorCVE-AAAA-NNNNNCWE-NNN
<b></b><b></b>Una vulnerabilidad distinta en un producto/versión específica.Un patrón de debilidad recurrente que puede aparecer en muchos productos.
Asignado porAutoridades de numeración CVE (CNA).Mantenido y curado por MITRE.
Cambios en el tiempoEstático una vez publicado (puede actualizarse o rechazarse, pero aún hace referencia al mismo problema).Taxonomía en evolución a medida que se agregan o perfeccionan nuevos tipos de debilidad.
Se utiliza con mayor frecuencia paraSeguimiento de vulnerabilidades, aplicación de parches, escaneo, cumplimiento, respuesta a incidentes.Diseño seguro, revisión de código, análisis estático, educación para desarrolladores.
Relación entre ellosEs posible asignar un CVE a uno o más CWE para explicar su causa raíz.Un CWE puede estar vinculado a muchos CVE que comparten la misma debilidad subyacente.
EjemploCVE-2021-44228 (Log4Shell).CWE-502 (Deserialización de datos no confiables).

¿Quién gestiona los CVE?

Los CVE se gestionan a través del Programa CVE, supervisado por la Junta de CVE y operado diariamente por la Secretaría de CVE (actualmente The MITRE Corporation). En la práctica, la mayoría de los identificadores y registros de CVE son creados por una red global de Autoridades de Numeración de CVE (CNA), generalmente proveedores y organizaciones de seguridad autorizados para asignar identificadores de CVE dentro de un alcance definido. La Junta se encarga de la gobernanza del programa y la Secretaría respalda las operaciones, la calidad y la coordinación.

¿Con qué frecuencia se actualizan y publican los CVE?

Los CVE no siguen un ciclo de publicación semanal ni mensual. Se publican continuamente a medida que las Autoridades de Numeración de CVE (CNA) terminan de completar y publicar los registros en la Lista CVE oficial. Los registros CVE individuales pueden actualizarse en cualquier momento si se dispone de nuevos detalles o referencias. Posteriormente, la Base de Datos Nacional de Vulnerabilidades (NVD) de EE. UU. revisa la Lista CVE cada hora para incorporar nuevas publicaciones, rechazos y modificaciones (aunque el análisis adicional de la NVD, como la puntuación y el enriquecimiento, puede aparecer más adelante).

¿Son gratuitos los datos de CVE?

Sí. Los datos CVE son gratuitos y están disponibles públicamente para todos. El Programa CVE ofrece la Lista CVE oficial sin costo de licencia ni restricciones de uso, de modo que organizaciones, proveedores de seguridad, investigadores y particulares puedan usar los ID y registros CVE en herramientas, informes y servicios. Algunas bases de datos de terceros pueden cobrar por análisis de valor añadido (como enriquecimiento, priorización o paneles de control), pero los datos CVE subyacentes son abiertos.

Anastasia
Spasojevic
Anastazija es una escritora de contenido experimentada con conocimiento y pasión por cloud informática, tecnología de la información y seguridad en línea. En phoenixNAP, se centra en responder preguntas candentes sobre cómo garantizar la solidez y seguridad de los datos para todos los participantes en el panorama digital.