Skip to content

¿Cómo distingues una vulnerabilidad de una amenaza y de un riesgo?

Respuesta breve

Una vulnerabilidad es una debilidad (software sin parchear). Una amenaza es un actor o evento que podría explotarla (un grupo de ransomware). El riesgo es la combinación de la probabilidad de que una amenaza explote una vulnerabilidad y el impacto si lo hace. Riesgo = amenaza x vulnerabilidad x impacto, y es lo que realmente se prioriza.

Estas tres palabras se usan indistintamente en la conversación informal, pero en seguridad son distintas — y esa distinción es toda la base de cómo los equipos priorizan su trabajo.

Las definiciones

  • Vulnerabilidad — una debilidad o defecto que podría ser explotado. Un servidor sin parchear, una política de contraseñas débil, un bucket S3 mal configurado, un fallo de inyección SQL.
  • Amenaza — algo o alguien que podría explotar una vulnerabilidad para causar daño. Una banda de ransomware, un insider malicioso, un desastre natural o un escáner automatizado.
  • Riesgo — la intersección: la probabilidad de que una amenaza explote con éxito una vulnerabilidad, combinada con el impacto si lo hace. El riesgo es lo que se mide y gestiona.

Una fórmula abreviada común es Riesgo = Amenaza × Vulnerabilidad × Impacto. Sin amenaza, o sin vulnerabilidad, o sin impacto significa poco o ningún riesgo.

Por qué importa la distinción

Rara vez se puede arreglar todo, así que se prioriza por riesgo, no por el mero número de vulnerabilidades. Una vulnerabilidad crítica en un servidor expuesto a internet que aloja datos de clientes es de alto riesgo. La misma vulnerabilidad en una máquina de laboratorio aislada sin datos sensibles es de bajo riesgo — aunque la vulnerabilidad sea idéntica.

También aclara tus opciones. Puedes reducir el riesgo eliminando la vulnerabilidad (parchear), reduciendo el acceso de la amenaza (segmentación de red, reglas de firewall) o reduciendo el impacto (copias de seguridad, cifrado). No siempre tienes que arreglar el defecto directamente.

Por qué esto importa

Los entrevistadores hacen esta pregunta para ver si piensas como un gestor de riesgos en lugar de como alguien que solo marca casillas. Un candidato que explica que una CVE de aspecto aterrador puede seguir siendo de bajo riesgo según el contexto — y que conoce las palancas para reducir el riesgo — demuestra el criterio del que dependen los equipos de seguridad.

Posibles preguntas de seguimiento

  • ¿Cómo reducirías el riesgo sin eliminar la vulnerabilidad?
  • Da un ejemplo donde una vulnerabilidad grave sigue siendo de bajo riesgo.
  • ¿Cuál es el papel del «impacto» al priorizar la remediación?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.