¿Qué analizamos?
CVE (Common Vulnerabilities and Exposures) es una lista pública de vulnerabilidades de seguridad conocidas. Correlacionamos las tecnologías detectadas en tu sitio con bases de datos de CVEs para identificar vulnerabilidades que afecten a tu stack.
Proceso de detección
Base de datos NVD
Consulta a la National Vulnerability Database del NIST.
Correlación de versiones
Matching de las versiones detectadas con CVEs conocidos.
Severidad CVSS
Clasificación según el sistema de puntuación CVSS (0-10).
Exploits públicos
Verificación de si existen exploits públicos disponibles.
Parches disponibles
Información sobre actualizaciones que corrigen la vulnerabilidad.
Referencias técnicas
Enlaces a OWASP, CWE y documentación de mitigación.
¿Por qué es importante?
El 60% de los ciberataques explotan vulnerabilidades conocidas para las que ya existe parche. No actualizar el software o desconocer las vulnerabilidades que afectan a tu stack es una de las principales causas de brechas de seguridad.
Impacto si falla
- Explotación de vulnerabilidades conocidas por atacantes
- Ejecución remota de código en tu servidor
- Acceso no autorizado a datos sensibles
- Posible responsabilidad por negligencia
Marco legal aplicable
No parchear vulnerabilidades conocidas puede considerarse negligencia según el RGPD. La AEPD ha sancionado a empresas por no mantener sus sistemas actualizados.
Sanciones potenciales
| Tipo de empresa | Multa orientativa |
|---|---|
| Microempresa | 10.000 - 50.000 € |
| PYME | 20.000 - 300.000 € |
| Gran empresa | Hasta 20M € o 4% facturación |