CVE, CWE, CVSS, NVD y MITRE ATT&CK

¿Por qué conviene distinguir estos conceptos?

Cuando se estudian vulnerabilidades, es habitual encontrarse con siglas que parecen referirse a lo mismo, pero que en realidad cumplen funciones distintas. Distinguir entre CWE, CVE, CVSS, NVD y MITRE ATT&CK ayuda a interpretar mejor reportes técnicos, priorizar hallazgos y comunicar riesgos con mayor precisión.

En términos generales, estas nociones responden preguntas diferentes:

• CWE: ¿qué tipo de debilidad o error está presente?
• CVE: ¿qué vulnerabilidad pública y específica fue identificada?
• CVSS: ¿qué tan severa parece esa vulnerabilidad?
• NVD: ¿dónde se consolida información técnica y de priorización sobre CVEs?
• ATT&CK: ¿cómo podría actuar un adversario una vez que explota o aprovecha ciertas condiciones del sistema?

CWE: categorías de debilidades

Un CWE describe una debilidad común que puede dar origen a vulnerabilidades. No apunta, en principio, a un producto ni a un incidente puntual, sino a un patrón de error o deficiencia. Por eso resulta especialmente útil en etapas de diseño, programación, revisión y enseñanza, ya que permite hablar de causas recurrentes y no solo de casos concretos.

Desde esta perspectiva, un CWE ayuda a responder cuál es la naturaleza del problema: por ejemplo, exposición de información, validación insuficiente, errores de autorización o manejo inseguro de entradas. En la práctica, esto vuelve a CWE muy útil para procesos de desarrollo seguro, capacitación y remediación estructural.

CVE: vulnerabilidades específicas y públicas

Un CVE identifica una vulnerabilidad concreta, pública y distinguible en un producto, biblioteca, versión o sistema determinado. A diferencia de un CWE, que es una clase de debilidad, un CVE apunta a una instancia específica que puede ser rastreada y discutida de forma estandarizada.

Esto permite que fabricantes, equipos de seguridad, analistas y herramientas hablen del mismo problema usando un identificador común. En otras palabras, el CVE funciona como una referencia compartida para coordinar análisis, priorización, mitigación y seguimiento.

CVSS: severidad y priorización

El CVSS es un sistema de puntaje que busca estimar la severidad de una vulnerabilidad. No describe la debilidad de fondo ni reemplaza el análisis contextual, pero entrega una base cuantitativa para priorizar. En términos generales, resume qué tan serio podría ser un problema considerando variables como impacto y facilidad de explotación.

Por eso, CVSS es útil para ordenar trabajo y comparar hallazgos, aunque no debería interpretarse de manera aislada. Un puntaje alto no siempre implica el mismo nivel de riesgo en todos los entornos, y uno moderado puede resultar crítico si afecta un activo especialmente sensible.

NVD: consolidación de información sobre vulnerabilidades

La National Vulnerability Database (NVD) opera como una base de datos que reúne y enriquece información asociada a vulnerabilidades públicas. En la práctica, es uno de los lugares más importantes para consultar detalles adicionales sobre un CVE, incluyendo puntajes, referencias y metadatos útiles para priorización técnica.

Visto de forma simple, si el CVE entrega la identidad de una vulnerabilidad, la NVD aporta una capa adicional de contexto para su análisis y gestión. Esto la vuelve particularmente relevante para herramientas automatizadas y flujos de respuesta que necesitan centralizar información pública sobre fallas conocidas.

¿Dónde entra MITRE ATT&CK?

MITRE ATT&CK no es un catálogo de vulnerabilidades, sino una base de conocimiento sobre tácticas y técnicas de adversarios observadas en escenarios reales. Su utilidad no está en decir qué debilidad existe en un sistema, sino en ayudar a describir cómo un atacante podría moverse, persistir, extraer credenciales o desplegar carga maliciosa.

Por eso, ATT&CK complementa muy bien a CWE, CVE, CVSS y NVD. Mientras esas estructuras ayudan a identificar, clasificar y priorizar vulnerabilidades, ATT&CK ayuda a contextualizar el comportamiento adversario que podría aparecer antes, durante o después de una explotación.

Cómo se relacionan entre sí

Una manera práctica de entender la relación entre estos conceptos es pensar el flujo de la siguiente forma:

• Un sistema puede contener una debilidad clasificada como CWE.
• Esa debilidad puede materializarse en una vulnerabilidad concreta registrada como CVE.
• Esa vulnerabilidad puede tener una severidad estimada mediante CVSS.
• La información pública ampliada sobre ese caso puede consultarse en NVD.
• Si un atacante aprovecha esa condición, el comportamiento observado puede describirse con técnicas de MITRE ATT&CK.

Este encadenamiento ayuda a pasar desde una visión puramente técnica del defecto a una comprensión más amplia del riesgo, la priorización y el posible comportamiento ofensivo asociado.

Relación con este módulo

En este módulo, estas distinciones son especialmente útiles para leer mejor los resultados producidos por herramientas de análisis. Por ejemplo, cuando se inspeccionan vulnerabilidades conocidas en dependencias, suele aparecer el lenguaje de CVE, CVSS y catálogos públicos. A su vez, cuando se revisan problemas de seguridad desde el código o desde patrones de implementación, resulta más natural pensar en términos de CWE y de causas subyacentes.

ATT&CK agrega una capa adicional de valor pedagógico, porque permite conectar hallazgos técnicos con conductas adversarias más amplias. Así, el análisis no se queda solo en “qué falla existe”, sino que también ayuda a pensar “qué podría intentar hacer un atacante con esa condición”.

Lista de Referencias

• CVE Program
• CVSS Specification Document
• National Vulnerability Database (NVD)
• Understanding the Differences Between CVE, CWE, and NVD
• CWE Vs. CVE Vs. CVSS: What Are the Differences?
• CWE Definitions - CVE Details
• MITRE ATT&CK