Nueva métrica LEV de NIST. ¿En qué ayuda a las empresas?

El Instituto Nacional de Estándares y Tecnología (NIST) ha presentado una nueva métrica que promete revolucionar la forma en que se prioriza la gestión de vulnerabilidades. Se trata de Likely Exploited Vulnerabilities (LEV), una clasificación pensada para ayudar a las organizaciones a centrar sus esfuerzos en los fallos que realmente están siendo utilizados en ataques del mundo real.

El desafío parte de la premisa donde cada año se registran miles de vulnerabilidades, pero solo una pequeña fracción se explota activamente. Según datos del propio NIST, las organizaciones solo logran aplicar parches al 16% de los fallos que les afectan cada mes, mientras que apenas el 5% de las vulnerabilidades detectadas llegan a utilizarse de forma maliciosa. Esta desproporción genera un desgaste de recursos y una falsa sensación de seguridad.

Con LEV, el objetivo es cerrar esa brecha. Al identificar qué vulnerabilidades están siendo explotadas activamente, las empresas pueden tomar decisiones más informadas, optimizar su respuesta y minimizar su superficie de ataque.

Cómo aprovechar la métrica LEV para la gestión de vulnerabilidades de las empresas

Esta nueva métrica puede aplicarse de cuatro formas fundamentales al momento de priorizar vulnerabilidades:

• Estimar cuántas vulnerabilidades se han explotado: 

  Para los equipos de TI el reto es priorizar y centrarse en parchear las vulnerabilidades que ya están siendo aprovechadas por los atacantes. La métrica LEV ayuda en este proceso al asignar una puntuación basada en evidencias de explotación activa dentro del entorno específico de la organización. Una información que permite distinguir entre vulnerabilidades leves y aquellas que representan un riesgo real e inmediato, lo que facilita la toma de decisiones precisa. 

• Comprobar lo completas que están las listas KEV: 

  Estas listas son una fuente fundamental que reducen en un 50% los tiempos de recuperación de vulnerabilidades. Sin embargo, dependen de información pública y de casos documentados, por lo que no siempre reflejan de forma completa el estado real de exposición de cada organización. Por esto, es importante complementar estas listas con métricas como LEV, ya que permiten verificar si los sistemas están realmente expuestos a esas vulnerabilidades y si ya han sido parcheadas, evitando así depender exclusivamente de listas públicas para la priorización, y ahorrando tiempo y costes. 

• Identificar las vulnerabilidades de alto riesgo que faltan en esas listas: 

  Como las listas oficiales no siempre llegan a tiempo, algunas vulnerabilidades se explotan antes de ser reconocidas públicamente, lo que deja a las empresas en una situación de riesgo sin saberlo. LEV ayuda a confirmar qué vulnerabilidades están siendo explotadas en la organización, basándose en señales de comportamiento detectadas en tiempo real, como patrones anómalos o intentos de explotación. De esta manera, las empresas pueden identificar amenazas activas, aunque aún no hayan sido documentadas oficialmente, y priorizar su corrección antes de que se conviertan en una brecha. 

• Arreglar los puntos ciegos en EPSS: 

  Las puntuaciones de riesgo como las de EPSS ayudan a priorizar, pero pueden pasar por alto vulnerabilidades ya explotadas si no encajan en su modelo predictivo. La métrica LEV complementa este enfoque al basarse en señales reales del entorno, como intentos de explotación o indicadores de compromiso, para detectar actividad maliciosa en curso. Así, permite ajustar las prioridades con base en evidencia concreta, no solo en estimaciones, y reducir el riesgo de confiar en exceso en estos sistemas de scoring. 

Para que la métrica LEV resulte realmente útil para las empresas, es fundamental que proporcione una visión precisa, capaz de priorizar riesgos reales basándose en evidencias de explotación activa. LEV supone un avance significativo hacia una gestión de vulnerabilidades más eficaz, y su verdadero valor se despliega cuando se integra dentro de un enfoque sólido. Para que esta gestión sea robusta para las empresas, necesitan un servicio que les permita adelantarse, ver en tiempo real lo que ocurre en su entorno, detectar señales de explotación activa, incluso antes de que una vulnerabilidad sea reconocida públicamente, y aplicar parches allí donde el riesgo es real. Esta combinación de contexto, inteligencia y automatización permite convertir los datos en acciones concretas y adelantarse con precisión a las amenazas.

Si quieres conocer más sobre cómo mejorar la seguridad de las organizaciones en la gestión de vulnerabilidades, no dejes de visitar los siguientes artículos de nuestro blog: 

• Navegar por el panorama de los marcos y normativas de seguridad: Guía para la gestión de vulnerabilidades y la aplicación de parches
• Cómo evitar la explotación de vulnerabilidades conocidas en el endpoint
• ¿Por qué es necesaria una evaluación de riesgos de ciberseguridad?