top of page
Buscar

¿Qué es KEV en ciberseguridad?

ree

Cómo las vulnerabilidades explotadas conocidas de CISA le ayudan a priorizar la aplicación de parches.


En ciberseguridad, la velocidad y la concentración son clave. Miles de nuevas CVE (Vulnerabilidades y Exposiciones Comunes) aparecen cada año, pero solo un subconjunto es utilizado activamente por los atacantes. Las Vulnerabilidades Explotadas Conocidas (KEV) son aquellas cuya explotación se ha confirmado. Priorizar las KEV puede reducir drásticamente el riesgo real, optimizar la aplicación de parches y fortalecer la resiliencia.


KEV, definido


Las vulnerabilidades de seguridad cibernéticas (KEV) se refieren a vulnerabilidades de software que han superado un umbral crítico: existe evidencia creíble de que los adversarios las están utilizando actualmente. A diferencia de los problemas teóricos o las pruebas de concepto realizadas únicamente en laboratorio, las KEV están vinculadas a campañas activas: ransomware, robo de datos, acceso inicial para movimientos laterales, etc. Por eso, las KEV merecen atención inmediata, en lugar de elementos "críticos" genéricos que podrían no estar destinados a ser utilizados como arma.


¿Qué es el Catálogo CISA KEV?


La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) mantiene el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), una lista seleccionada y actualizada periódicamente de CVE confirmadas como explotadas. Para los defensores, es una fuente de información completa que responde a una pregunta práctica: ¿Qué vulnerabilidades están utilizando los atacantes actualmente?


Los equipos de seguridad utilizan el Catálogo KEV para:

  • Identifique qué CVE requieren parches de emergencia o controles de compensación.

  • Establecer cronogramas de parches respaldados por SLA y realizar un seguimiento de las excepciones.

  • Comunique urgencia al liderazgo con una fuente clara y autorizada.


Por qué son importantes los KEV (y cómo reducen el riesgo)


  1. Priorización que se relaciona con ataques reales. Con tantas revelaciones, es fácil malgastar esfuerzos. Los KEVs revelan el pequeño subconjunto con mayor probabilidad de causar incidentes hoy en día.

  2. Asignación eficiente de recursos. Cuando el tiempo, el presupuesto y las ventanas de cambio son limitados, centrarse en los KEV genera la mayor reducción de riesgo por hora invertida.

  3. Impacto medible. La rápida remediación de KEV elimina las vías habituales para el seguimiento de phishing, la vulneración de aplicaciones web y el robo de dispositivos.


KEV vs. CVE vs. CVSS: ¿cuál es la diferencia?


  • CVE es el ID que dice “existe una vulnerabilidad”.

  • CVSS es una puntuación de gravedad que estima el impacto potencial y la explotabilidad.

  • KEV es una lista seleccionada de CVE que se sabe que están siendo explotados.

Conclusión: Una puntuación alta en el CVSS no garantiza la explotación. El estado KEV prevalece sobre el CVSS a la hora de decidir qué reparar primero.


Cómo una vulnerabilidad se convierte en un KEV


  1. Descubrimiento y asignación: investigadores, proveedores, recompensas por errores o incluso atacantes descubren una falla y obtienen una ID CVE.

  2. Explotación observada: la inteligencia de amenazas, los informes de incidentes, los honeypots y la telemetría confirman el uso activo por parte de los adversarios.

  3. Inclusión en el catálogo: CISA agrega la CVE al catálogo KEV, lo que indica a los defensores que deben priorizar la remediación.


Convierta KEV en acción: un manual operativo


1) Ingerir KEV continuamente

Automatice la ingesta diaria de la lista de KEV en su escáner de vulnerabilidades, CMDB o SIEM. Etiquete los activos afectados por KEV para que sean fáciles de consultar y reportar.


2) Asigne KEV a su entorno

Utilice un inventario de software preciso (versiones, ediciones, servicios en la nube, firmware de dispositivos). Identifique primero los activos conectados a internet: puertas de enlace perimetrales, VPN, WAF, dispositivos de correo/seguridad, aplicaciones web y API expuestas.


3) Asignar SLA que prioricen KEV

  • KEV con acceso a Internet: cambio de emergencia; aplicar parche o mitigar lo antes posible (horas a días).

  • KEV crítico interno: alta prioridad; ≤7 días.

  • No KEV, CVSS alto: siga su ciclo mensual/trimestral estándar.


4) Aplicar controles de compensación cuando el parcheo debe esperar

  • Reducción temporal de la exposición (bloquear puertos, listas de permitidos geográficamente/IP, desactivar funciones riesgosas).

  • Parches virtuales WAF/IDS/IPS y firmas de proveedores.

  • Endurecimiento de EDR, reglas estrictas para procesos secundarios sospechosos, controles de macros/scripts.

  • Segmentación o aislamiento de red para los hosts afectados.


5) Verificar y cerrar el bucle

Reescanee, confirme las versiones y revise los registros/EDR para detectar indicadores de vulnerabilidad relacionados con el KEV. Actualice los manuales de ejecución con las lecciones aprendidas.


6) Informar sobre lo que le importa al liderazgo

Utilice un panel de control sencillo: KEV abiertos, KEV superados en el SLA, KEV del tiempo medio de remediación (MTTR) y exposición de KEV por unidad de negocio/nivel de activo. Esto traduce el trabajo técnico en reducción de riesgos.


Mejores prácticas para la gestión de KEV


  • Revise el Catálogo KEV regularmente. Automatice las alertas; no dependa de las comprobaciones manuales.

  • Aplique parches de afuera hacia adentro. Repare primero los sistemas conectados a Internet y luego los activos internos de alto valor.

  • Retire o aísle la tecnología heredada. Los productos antiguos sin soporte aparecen repetidamente en incidentes relacionados con KEV.

  • Correlacione con la información sobre amenazas. Priorice los KEV vinculados a campañas dirigidas a su sector o conjunto de tecnologías.

  • KEV recientes de mesa. Validar la detección, los pasos de respuesta y las transferencias entre equipos antes de la próxima emergencia.


Errores comunes que hay que evitar


  • Tratar a todos los CVE por igual. Usar KEV para enfocarse.

  • Permitir que las ventanas de cambio bloqueen las reparaciones de emergencia. Para las KEV, utilice el proceso de emergencia.

  • Ignorar a terceros y SaaS. Incluir herramientas de MSP, dispositivos administrados y aplicaciones SaaS críticas en las revisiones de KEV.

  • "Parchear y olvidar". Validar siempre, supervisar los intentos de explotación posteriores al parche y ajustar las detecciones.


Ejemplo de flujo de trabajo (ruta rápida)


  1. Llega la alerta KEV para un dispositivo VPN ampliamente utilizado.

  2. Consulta el inventario de activos: se encontraron 14 instancias con conexión a Internet.

  3. Cambio de emergencia aprobado; actualizar el firmware para 10, aislar los 4 restantes detrás de controles de acceso temporales.

  4. Implementar firmas de parches virtuales IDS/WAF; buscar indicadores conocidos durante 30 días.

  5. Volver a escanear para confirmar las versiones; cerrar las excepciones dentro de 7 días; informar el MTTR y los hallazgos al liderazgo.


Preguntas frecuentes

¿KEV es lo mismo que CVE?

No. CVE es el identificador de una falla; KEV es la lista de CVE confirmados como explotados.

¿En qué se diferencia KEV de CVE y CVSS?


  • CVE: Identificador de que existe una vulnerabilidad.

  • CVSS: una puntuación de gravedad que estima el impacto potencial y la explotabilidad.

  • KEV: Una lista seleccionada de CVE que se ha confirmado que han sido explotados . En resumen: Al elegir qué corregir primero, el estado de KEV prevalece sobre el de CVSS .


¿Aún necesito CVSS si uso KEV?

Sí. Utilice KEV para "lo que se ha convertido en arma ahora" y CVSS para priorizar el resto del trabajo atrasado.


¿Qué pasa si no puedo parchar un KEV inmediatamente?

Reduzca la exposición (controles de red), aplique parches virtuales, refuerce el EDR y agilice el periodo de mantenimiento. Documente las excepciones con fecha de vencimiento.


¿Quién mantiene el Catálogo KEV?

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) mantiene el Catálogo KEV público y agrega CVE una vez que se confirma la explotación.


¿El catálogo KEV es sólo para agencias federales de EE. UU.?


No. Si bien las agencias federales de EE. UU. deben actuar sobre los KEV dentro de los plazos establecidos, el catálogo es público y ampliamente utilizado por empresas, PYMES y operadores de infraestructura crítica en todo el mundo.


¿Con qué frecuencia se actualiza KEV?


Regularmente. Se añaden nuevas entradas a medida que se verifica la explotación. Automatiza la compilación para incorporar actualizaciones continuamente en lugar de depender de comprobaciones manuales.


¿Dónde puedo obtener la lista KEV?


CISA publica el Catálogo KEV abiertamente (en formatos navegables y descargables). La mayoría de los escáneres de vulnerabilidades y plataformas de seguridad pueden procesarlo automáticamente .


¿Cómo puedo verificar si mi entorno está afectado por un KEV?


  1. Inventario: mantener versiones precisas de software/firmware (incluidos dispositivos y agentes conectados a SaaS).

  2. Escanear y correlacionar: hacer coincidir los datos de los activos con la lista KEV (escáner/CMDB/SIEM).

  3. Validar la exposición: priorizar primero los sistemas conectados a Internet.


¿Qué pasa si aún no existe ningún parche del proveedor?


Utilice controles de compensación hasta que haya una solución disponible:

  • Aplicación de parches virtuales (reglas WAF/IDS/IPS)

  • Refuerzo de EDR y restricciones de scripts y macros

  • Segmentación de red o aislamiento temporal

  • Reducir la exposición del servicio (cerrar puertos, listas de permitidos)

 

 
 
 

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating

DIRECCIÓN

English Canada

HEADQUARTER OFFICE
77 Bloor St W Suite 600

Toronto, ON M5S 1M2

TELÉFONO

+1 866 803 0700

English Canada

+1 866 803 0700

CORREO ELECTRÓNICO

info@armourcyber.io

CONECTAR

  • LinkedIn
  • Facebook
  • Instagram
  • X

Copyright © Armadura Ciberseguridad 2024 | Términos de uso | política de privacidad

bottom of page