Resumen Ejecutivo
Las instituciones financieras enfrentan cada año un gran volumen de vulnerabilidades, muchas de las cuales permanecen sin parches debido a una mala priorización. Este artículo destaca la creciente necesidad de que las entidades financieras adopten un marco basado en riesgos que les permita enfocar los esfuerzos de remediación en las vulnerabilidades más peligrosas y explotadas activamente.
Puntos clave:
- Las Vulnerabilidades y Exposiciones Comunes (CVE) se han multiplicado casi por 4 desde 2015, superando las 25,000 anuales, lo que hace difícil la clasificación manual.
- El hecho de confiar únicamente en las puntuaciones del Sistema Común de Puntuación de Vulnerabilidades (CVSS) conduce a fatiga de alertas y a una ineficiencia en la remediación.
- Un banco estadounidense aplicó nuestro marco y logró una reducción del 83% en vulnerabilidades críticas, así como resolver un asunto pendiente (MRA) con su regulador.
- La gestión eficaz de vulnerabilidades es un proceso: escanear → identificar → priorizar → remediar → reportar.
- Asociarse con expertos acelera resultados y fortalece la confianza regulatoria.
- Una acción gubernamental reciente en abril de 2025 extendió el financiamiento para preservar el programa CVE y garantizar operaciones ininterrumpidas, resaltando su papel crítico en la ciberseguridad global.
- En mayo de 2025, NIST propuso la métrica Vulnerabilidades probablemente explotadas (LEV) para estimar qué CVEs probablemente serán explotadas. Aunque es prometedora, aún está en evaluación y no es operativa.
Conclusión:
Para adelantarse al panorama de amenazas actual, las instituciones financieras deben evolucionar del escaneo tradicional de vulnerabilidades a una priorización estratégica basada en la explotación real.
Introducción
En un mundo hiperconectado como el actual, las instituciones financieras enfrentan amenazas cibernéticas implacables. Desde campañas de ransomware hasta exploits de día cero, los atacantes son más rápidos que nunca en aprovechar vulnerabilidades sin parches. Sin embargo, uno de los riesgos menos abordados dentro de muchos bancos y entidades financieras no es la ausencia de un programa de gestión de vulnerabilidades, sino la falta de una priorización efectiva. Con miles de vulnerabilidades reportadas cada año, ¿cómo pueden las instituciones distinguir entre aquellas que requieren acción inmediata y las que pueden esperar? La respuesta está en adoptar un marco de priorización de vulnerabilidades basado en riesgos.
Lecciones Históricas en la Explotación de Vulnerabilidades
La urgencia en la gestión proactiva de vulnerabilidades se hizo evidente a nivel mundial con el brote de ransomware WannaCry en 2017, una campaña que paralizó organizaciones en todo el mundo, incluidos bancos, hospitales y servicios públicos. El ransomware explotó una vulnerabilidad de Microsoft Windows (EternalBlue) previamente robada a la Agencia de Seguridad Nacional (NSA) de EE. UU. por un grupo de hackers conocido como Shadow Brokers. Según el Departamento de Justicia de EE. UU., la campaña estuvo vinculada a actores patrocinados por estados y destacó las consecuencias devastadoras de no aplicar parches a vulnerabilidades conocidas. A pesar de que Microsoft había publicado una solución dos meses antes del ataque, la vulnerabilidad permaneció sin parchear en muchos sistemas, generando daños estimados en miles de millones.
Estos eventos impulsaron un cambio en las estrategias de gestión de vulnerabilidades, impulsando a gobiernos y organizaciones hacia un enfoque más estructurado. Uno de los hitos fundamentales fue el crecimiento de la Base Nacional de Vulnerabilidades (NVD), administrada por el Instituto Nacional de Estándares y Tecnología (NIST). La NVD proporciona identificadores estandarizados (CVE), métricas de severidad (CVSS) y metadatos fáciles de buscar para vulnerabilidades.
Como se observa en los datos públicos de Detalles de CVE, las vulnerabilidades publicadas han aumentado drásticamente en la última década. En 2015, se publicaron alrededor de 6,500 CVEs. Para 2020, ese número superó las 17,000; en 2023, sobrepasó las 25,000. A inicios de 2025, el ritmo sugiere una tendencia similar o incluso mayor.
Los posibles factores que contribuyen a este aumento incluyen:
Mayor adopción de programas de divulgación de vulnerabilidades.
Proliferación de dispositivos y software conectados.
Expansión de superficies de ataque en la nube, IoT y APIs.
Avances en herramientas automatizadas de descubrimiento de vulnerabilidades.
Este rápido crecimiento ha dejado en evidencia una paradoja: más información no significa necesariamente mayor seguridad, especialmente si las instituciones carecen de medios para interpretarla y actuar en consecuencia.
Desarrollos Recientes
Un desarrollo importante ocurrió en abril de 2025, cuando se reveló que MITRE, una organización sin fines de lucro con sede en EE. UU. que opera programas de ciberseguridad financiados federalmente, tenía previsto que expirara su contrato para gestionar el programa CVE el 16 de abril. Esto generó gran preocupación por la continuidad de este recurso vital de ciberseguridad. La posible falta de financiamiento del sistema CVE amenazaba con interrumpir la coordinación de vulnerabilidades en industrias, proveedores de software, equipos de respuesta a incidentes e infraestructuras críticas.
En respuesta, el 16 de abril de 2025, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) intervino para extender el contrato de MITRE, garantizando que el programa CVE continuara sin interrupciones. Esta intervención de último minuto subrayó la importancia estratégica del seguimiento de CVEs para las operaciones de ciberseguridad públicas y privadas.
Simultáneamente, el anuncio de la Fundación CVE marcó otro cambio crucial. Formada por un grupo de miembros de la Junta CVE, la Fundación busca garantizar la sostenibilidad a largo plazo, la neutralidad y la confianza global en el programa CVE, al transformarlo en un modelo de gobernanza más comunitario. Aunque su hoja de ruta completa aún está en desarrollo, su creación refleja el reconocimiento creciente de que la coordinación de vulnerabilidades debe ser descentralizada para eliminar puntos únicos de falla.
Mientras tanto, la colaboración internacional también está evolucionando. En paralelo, la Agencia de Ciberseguridad de la Unión Europea (ENISA) lanzó la Base de Datos Europea de Vulnerabilidades (EUVD), una plataforma que agrega múltiples fuentes de inteligencia de vulnerabilidades. Este impulso refleja una tendencia global hacia ecosistemas de seguimiento de vulnerabilidades federados y transparentes.
Estos desarrollos reafirman el papel del CVE como una herramienta fundamental para la inteligencia de amenazas y la priorización de vulnerabilidades. También refuerzan la urgencia para que las instituciones financieras se alineen con fuentes confiables y comunitarias en sus estrategias de remediación.
El Desafío: Volumen sin Priorización
Las instituciones financieras, particularmente los grandes bancos, a menudo realizan escaneos de vulnerabilidades en cientos de sistemas y aplicaciones. Estos escaneos pueden generar miles de hallazgos, muchos de ellos clasificados como “críticos” o “altos”. Sin embargo, no todas las vulnerabilidades representan el mismo nivel de riesgo. Por ejemplo, una vulnerabilidad crítica en un servidor de pruebas desconectado es mucho menos urgente que una vulnerabilidad de nivel medio que está siendo explotada activamente en el mundo real.
Sin un marco claro de priorización, los equipos experimentan fatiga de alertas, pasan por alto amenazas clave y extienden el tiempo para resolver problemas realmente peligrosos. Confiar únicamente en las puntuaciones CVSS ya no es suficiente. Esta realidad ha llevado a organismos reguladores como la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) a tomar medidas publicando el Catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), que lista vulnerabilidades usadas activamente en ataques reales. CISA exige que las agencias federales prioricen la remediación de estas vulnerabilidades, y esta lista se ha convertido en un punto de referencia clave para los programas de ciberseguridad en múltiples industrias.
Métricas en Evolución: Modelo LEV Propuesto por NIST
En mayo de 2025, NIST publicó un documento técnico titulado “Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability”, introduciendo el modelo Likely Exploited Vulnerabilities (LEV). A diferencia de las herramientas existentes que predicen explotación a corto plazo (EPSS) o listan vulnerabilidades confirmadas como explotadas (KEV), el modelo LEV estima la probabilidad de que una vulnerabilidad haya sido explotada en algún momento.
Este modelo aporta valor en cuatro áreas clave:
- Proporciona una estimación estadística de la proporción de CVEs que probablemente han sido explotadas.
- Permite evaluar la integridad de la lista KEV, identificando posibles vacíos.
- Complementa las estrategias de remediación donde las listas KEV están incompletas o no disponibles.
- Ofrece una forma basada en datos para ajustar puntuaciones EPSS inexactas, conocidas por subestimar CVEs previamente explotadas.
Según el documento técnico de NIST, aunque se divulgan decenas de miles de vulnerabilidades cada año, solo alrededor del 5% son explotadas en ataques reales. A pesar de ello, muchas organizaciones luchan por enfocar sus esfuerzos de remediación en ese subconjunto crítico, distribuyendo recursos en exceso en problemas de bajo riesgo. Al mismo tiempo, NIST señala que la lista KEV de CISA, una referencia clave de vulnerabilidades confirmadas, incluye solo el 0.5% de todas las CVEs. Esta brecha sugiere que muchas amenazas serias pueden pasar desapercibidas y resalta la oportunidad de que LEV ayude a llenar esos vacíos identificando vulnerabilidades altamente probables de ser explotadas, aunque aún no incluidas en las listas KEV.
Es importante destacar que NIST no ha anunciado una fecha formal de implementación para la métrica LEV. Sigue siendo un modelo propuesto que requiere validación adicional. NIST busca activamente colaboración con la industria para probar su efectividad y determinar su preparación operativa. Por ahora, LEV es una herramienta conceptual poderosa para complementar la priorización basada en KEV y EPSS.
Un marco inspirado en el impacto del mundo real
Basándonos en la experiencia directa de trabajo con instituciones financieras en Estados Unidos y América Latina, nuestra firma implementó un marco de priorización de vulnerabilidades personalizado y basado en riesgos, anclado en el Catálogo KEV. La esencia del enfoque consiste en otorgar la máxima prioridad a las vulnerabilidades explotadas activamente, confirmadas por fuentes de inteligencia de amenazas autorizadas como CISA. Indicadores de riesgo adicionales incluyen la explotabilidad de la vulnerabilidad mediante herramientas de ataque comunes y el tiempo que ha permanecido sin resolver.
Este modelo estratégico de priorización permite a las organizaciones concentrarse en las vulnerabilidades que representan el mayor riesgo inmediato, evitando al mismo tiempo la trampa de sobreextender recursos en cuestiones de menor impacto.
Estudio de Caso: Resultados Tangibles en un Banco de EE. UU.
Uno de los resultados más destacados de este enfoque ocurrió en un banco de renombre con sede en Miami, Florida. Al inicio del proyecto, la institución tenía un atraso significativo de vulnerabilidades críticas y altas, la mayoría de más de un año de antigüedad, lo que indicaba retrasos en la remediación y una brecha en la comunicación de riesgos a la alta dirección. Después de aplicar nuestro marco:
- En tres meses, el total de vulnerabilidades críticas y altas se redujo en más del 70%, con una disminución similar en vulnerabilidades antiguas.
- En cinco meses, el volumen total se redujo en más del 80% y las vulnerabilidades antiguas disminuyeron en casi un 87%.
Estas mejoras destacaron un cambio notable en la disciplina de aplicación de parches, la responsabilidad operativa y la visibilidad a nivel de junta directiva.
Cabe señalar que el regulador del banco emitió un Asunto que Requiere Atención (MRA) específicamente relacionado con deficiencias en su programa de gestión de vulnerabilidades. Tras la implementación de nuestro marco y la mejora medible en su postura de riesgos, el regulador cerró oficialmente el MRA, reconociendo los controles fortalecidos y los esfuerzos de remediación del banco. Esta transformación mejoró los resultados de auditoría y la visibilidad ejecutiva, y permitió al equipo de seguridad enfocar recursos en las amenazas más inmediatas en lugar de dispersarse en cientos de problemas de bajo impacto.
Recomendaciones para Instituciones Financieras
1. Incorporar inteligencia de amenazas: integrar fuentes como CISA KEV y Sistema de Puntuación de Predicción de Explotación (EPSS) para enriquecer los datos de vulnerabilidades.
2. Implementar un marco basado en riesgos: ir más allá de los modelos basados en CVSS y adoptar una priorización de riesgos multinivel que considere la explotabilidad y el contexto de amenaza.
3. Definir y operar un proceso integral: un ciclo de vida completo de gestión de vulnerabilidades debe incluir escaneo, identificación, priorización con un marco basado en riesgos, remediación según prioridad y reportes consistentes a equipos técnicos y a la alta dirección.
4. Automatizar y dar seguimiento a la remediación: utilizar tableros de control y herramientas de automatización para asegurar un seguimiento mensual del progreso.
5. Involucrar a los responsables de negocio: integrar a los dueños de aplicaciones y a los gestores de riesgos en el ciclo de vida de gestión de vulnerabilidades para asegurar que las decisiones se alineen con el impacto en el negocio.
6. Confiar en socios expertos: aprovechar firmas especializadas con experiencia en el diseño e implementación de marcos personalizados para acelerar resultados y cumplir con expectativas regulatorias.
Conclusión
Las instituciones financieras deben evolucionar de la gestión tradicional de vulnerabilidades hacia una priorización estratégica en una era donde el tiempo de explotación se mide en días u horas. Con una presión regulatoria creciente y una mayor complejidad de amenazas, adoptar un marco basado en la explotabilidad real ya no es opcional, sino esencial.
Las organizaciones no solo deben escanear y detectar vulnerabilidades, sino también estar preparadas para interpretar, priorizar y actuar sobre esos hallazgos de manera efectiva. Esto requiere un enfoque integral basado en riesgos, desde la identificación hasta la remediación y el reporte ejecutivo.
Construir un programa maduro de este tipo internamente puede ser intensivo en recursos y complejo para muchas instituciones. En estos casos, trabajar con expertos externos que aporten metodologías probadas y experiencia práctica en implementación puede ofrecer un apoyo valioso. Estos expertos pueden ayudar a los equipos a acelerar el progreso mientras mantienen un enfoque sólido en la reducción de riesgos y la alineación regulatoria.
Al enfocarse en lo que realmente importa y aprovechar alianzas estratégicas cuando sea necesario, las instituciones pueden reducir riesgos, optimizar recursos y fortalecer su resiliencia frente a la próxima ola de amenazas cibernéticas.
Gracias por leer nuestro artículo sobre gestión de vulnerabilidades en instituciones financieras. Si le resultaron valiosas estas perspectivas, por favor dé “Me gusta” y “Compartir” para difundir este conocimiento dentro de su red profesional. Su participación es crucial para fomentar una comprensión más amplia de estos temas críticos.
Recuerda seguirnos para recibir actualizaciones continuas e información sobre la intersección entre finanzas y tecnología. Tu participación es clave para construir una comunidad a la vanguardia de las tendencias e innovaciones de la industria.
Agradecemos tu apoyo y esperamos continuar este camino juntos. ¡Mantengamos activa la conversación!
Síguenos, mantente informado, mantente seguro y naveguemos juntos el panorama de riesgos.
