No todas las vulnerabilidades son urgentes — ya hay métricas para saber cuáles sí lo son
Cada semana se publican decenas de vulnerabilidades. Aplicar todas en orden descendente de severidad no es una estrategia: es caos. EPSS —probabilidad de explotación real en los próximos 30 días— es más útil que CVSS —gravedad teórica— para decidir qué va primero. La decisión de qué actualizar esta semana y qué puede esperar es una decisión de negocio, no solo técnica.
28 de mayo de 2026
Resumen
Cisco Talos publicó una guía para priorizar actualizaciones de seguridad usando métricas de probabilidad de explotación real (EPSS) en lugar de confiar únicamente en la puntuación de severidad asignada a cada vulnerabilidad (CVSS). La propuesta: tratar el inventario de vulnerabilidades como riesgo de negocio, no como lista interminable de tareas técnicas.
Relevancia
Para empresas que dependen de un proveedor externo de TI, este marco permite hacer mejores preguntas. No “¿aplicaste todos los parches?” sino “¿cuál es la vulnerabilidad con más probabilidad activa de explotación en nuestros sistemas esta semana?”. Esa pregunta cambia el tipo de respuesta y la calidad de la conversación sobre riesgo real.