NewIntroducing QODEX QA Services — platform-powered QA for API-driven teams.Learn more →
Calculadora CVSS

Calculadora CVSS

Use la Calculadora CVSS de Qodex para calcular puntuaciones base de CVSS v3.1 para vulnerabilidades de seguridad. Ajuste métricas clave como Vector de Ataque, Interacción del Usuario y Confidencialidad para evaluar la severidad del riesgo. Ideal para reportes de bug bounty, evaluación de vulnerabilidades y documentación de cumplimiento normativo. Combínela con nuestro Generador de token, Generador UUID o Generador de Claves de API para flujos de trabajo de prueba completos.

Calculadora CVSS - Documentación

¿Qué es una puntuación CVSS?

CVSS (Common Vulnerability Scoring System) es un método estandarizado para evaluar la severidad de vulnerabilidades de software. Genera una puntuación de 0.0 a 10.0 basada en múltiples factores de impacto y explotabilidad.

Cómo funciona

  1. Seleccione valores para cada vector (por ejemplo, AV, AC, PR).

  2. La puntuación base y la cadena de vector se calculan automáticamente.

  3. Copie y use los resultados en sus informes de seguridad o auditorías.

Interacción del Usuario (UI)

La métrica de Interacción del Usuario mide si una vulnerabilidad puede explotarse de forma independiente o si requiere que un usuario desempeñe un papel activo.

  • Ninguna: Si este campo está configurado como "Ninguna", significa que el atacante no necesita ayuda de nadie más: la vulnerabilidad puede activarse sin ninguna participación del usuario, lo que tiende a aumentar el riesgo.

  • Requerida: Si se selecciona "Requerida", la explotación solo es posible si un usuario legítimo realiza alguna acción específica primero, como hacer clic en un enlace, abrir un archivo adjunto de correo electrónico o realizar una instalación del sistema. Esta dependencia del usuario puede a veces reducir la probabilidad de un ataque exitoso.

Disponibilidad (A)

Al evaluar la disponibilidad en CVSS v3.1, seleccionará entre tres niveles, cada uno capturando un grado diferente de impacto en el tiempo de actividad del sistema:

  • Alta (Peor): El atacante puede impedir completamente el acceso a los recursos del componente afectado. Esto puede manifestarse como una interrupción total del servicio, ya sea que continúe mientras dure el ataque o que el daño persista después.

  • Baja (Malo): En este escenario, el rendimiento puede degradarse o hay interrupciones ocasionales en la disponibilidad de recursos. El servicio no queda completamente fuera de línea, pero el impacto es tangible: los usuarios pueden experimentar lentitud o interrupciones intermitentes.

  • Ninguna (Bueno): No hay impacto en absoluto. La vulnerabilidad no afecta el tiempo de actividad del sistema ni la capacidad de los usuarios para acceder a sus recursos.

Integridad

Al evaluar la métrica de "Integridad" en CVSS v3.1, se considera en qué medida un atacante podría manipular datos protegidos o recursos del sistema:

  • Alta: El peor escenario. Un atacante puede alterar libremente cualquier dato o realizar cambios con consecuencias graves y directas, como modificar archivos críticos del sistema operativo o bases de datos sensibles.

  • Baja: Pueden ocurrir situaciones problemáticas, pero limitadas. Un atacante podría realizar algunos cambios no autorizados, pero el alcance de lo que puede cambiar está controlado o los cambios no tienen efectos inmediatos y graves.

  • Ninguna: Todo permanece intacto. No hay oportunidad para que un atacante manipule datos, por lo que la integridad se mantiene.

Ejemplos por Vector de Ataque y Requisito de Privilegios

Vectores de Ataque (AV)

El Vector de Ataque describe cómo puede explotar un atacante una vulnerabilidad. Las opciones son:

  • Red: Un exploit remoto clásico, como un atacante que envía paquetes especialmente diseñados a través de Internet para comprometer un servidor web. Estos ataques pueden ocurrir desde cualquier lugar con solo acceso a la red. Piense en el famoso ransomware WannaCry que se extendió por todo el mundo explotando vulnerabilidades SMB.

  • Adyacente: El atacante debe estar en la misma red local o dentro de un dominio administrativo limitado. Por ejemplo, un ataque basado en Wi-Fi donde alguien inunda una red de área local con solicitudes ARP para interrumpir el servicio.

  • Local: Estos ataques requieren que el perpetrador ya tenga acceso al sistema, ya sea directamente en el teclado o de forma remota mediante una conexión de shell segura. Un ejemplo clásico: engañar a un usuario conectado para que abra un archivo malicioso por correo electrónico.

  • Físico: El atacante debe tener acceso físico al hardware, como extraer claves de cifrado conectándose brevemente a los chips de memoria de una máquina, o conectar un dispositivo USB no autorizado para explotar el acceso directo a la memoria.

Requisitos de Privilegios (PR)

La métrica de Privilegios Requeridos (PR) describe el nivel de acceso que debe tener un atacante en un sistema vulnerable para explotar una vulnerabilidad dada.

  • Ninguno: El atacante no necesita estar autorizado ni conectado. Por ejemplo, explotar una vulnerabilidad de una aplicación web pública donde cualquier persona en Internet puede lanzar el ataque sin permisos especiales.

  • Bajo: El atacante necesita permisos básicos de usuario, como una cuenta regular sin derechos administrativos. Ejemplos incluyen aprovechar un error de escalada de privilegios local para pasar de usuario regular a administrador.

  • Alto: Se requieren privilegios significativos del sistema antes de que pueda ocurrir el ataque. El caso clásico: explotar una vulnerabilidad a la que solo puede acceder un administrador o usuario root.

Complejidad del Ataque (AC)

Baja: El ataque requiere un esfuerzo mínimo, no existen condiciones de acceso especializado ni condiciones raras. Un atacante puede esperar éxito repetible al apuntar al componente vulnerable.

Alta: Un ataque exitoso no es sencillo. Depende de factores fuera del control directo del atacante, requiriendo preparación adicional o circunstancias específicas.

Clasificación del Impacto en Confidencialidad según CVSS v3.1

CVSS v3.1 categoriza el impacto en la confidencialidad en tres niveles:

  • Alto: El peor escenario: datos sensibles quedan completamente expuestos al atacante. Piense en contraseñas de administrador o claves de cifrado privadas que caen en las manos equivocadas.

  • Bajo: El atacante obtiene cierto acceso a información confidencial, pero limitado. Puede que no elija qué se revela, o que los datos filtrados no generen consecuencias graves inmediatas.

  • Ninguno: El estándar de oro: no se compromete ninguna información confidencial y todo permanece protegido dentro del componente afectado.

Consecuencias directas vs. indirectas en CVSS v3.1

CVSS v3.1 también distingue entre consecuencias directas e indirectas en cada categoría.

  • Consecuencias directas: Ocurren cuando las acciones de un atacante impactan de forma inmediata y grave al componente. Para la confidencialidad, esto podría significar que el atacante obtiene información sensible como contraseñas de administrador o claves de cifrado que comprometen directamente la seguridad del sistema.

  • Consecuencias indirectas: El impacto es menos directo o grave. Si el acceso del atacante es limitado, quizás obteniendo solo alguna información sin consecuencias graves, o si no puede elegir qué información se accede, el resultado se considera una consecuencia indirecta.

¿Qué significa Alcance en CVSS v3.1 y cómo afectan las opciones "Cambiado" e "Invariable" a la puntuación?

El Alcance describe si una vulnerabilidad, cuando se explota, impacta solo lo que controla la autoridad de seguridad inicial o si se extiende más allá de sus límites.

  • Invariable: Una vulnerabilidad explotada solo puede afectar recursos gestionados por la misma autoridad de seguridad. El componente vulnerable y el componente impactado están bajo el control de una sola autoridad.

  • Cambiado: Una vulnerabilidad explotada puede afectar recursos fuera del alcance de seguridad gestionado originalmente. El componente vulnerable y el componente impactado son diferentes y pueden estar gestionados por autoridades completamente distintas.

Características principales

  • Compatible con puntuación CVSS v3.1

  • Generación dinámica de cadena de vector

  • Actualizaciones de puntuación en tiempo real

  • Interfaz simple para evaluaciones de seguridad rápidas

  • Ideal para cumplimiento normativo, DevSecOps y envíos de bug bounty

Ejemplo de salida

Puntuación de Severidad y Vector:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Puntuación: 9.8 - Crítico

Comprensión de "Peor", "Malo" y "Bueno" en CVSS v3.1

Dentro del marco CVSS v3.1, estos términos ayudan a describir la severidad relativa de cada métrica a lo largo de un espectro.

  • Peor: Indica la opción más grave para una métrica dada. Por ejemplo, una vulnerabilidad accesible desde Internet representa el riesgo más alto.

  • Malo: Sugiere un impacto negativo significativo, pero no tan grave como "Peor". Por ejemplo, la explotación puede requerir acceso local o privilegios especiales.

  • Bueno: Representa el escenario más favorable o seguro para esa métrica: poco o ningún riesgo o impacto. Si la integridad o la confidencialidad son "Buenas", generalmente significa que esas cualidades no se ven afectadas.

Casos de Uso Comunes

  • Pruebas de penetración y red teaming

  • Compuertas de seguridad en DevSecOps

  • Priorización de parches de software

  • Cumplimiento de seguridad (ISO 27001, SOC 2)

  • Envíos de bug bounty

Herramientas complementarias recomendadas

Frequently Asked Questions

¿Qué es una puntuación base CVSS?

Es una calificación numérica de 0 a 10 que indica la severidad de una vulnerabilidad de software.

¿Esta herramienta admite CVSS v3.1?

Sí, la calculadora de Qodex usa la especificación CVSS v3.1.

¿Es esta herramienta adecuada para informes de bug bounty?

Absolutamente. Ayuda a los investigadores a reportar vulnerabilidades con puntuaciones estandarizadas.

¿Puedo copiar la cadena de vector para herramientas externas?

Sí, la cadena de vector CVSS se genera en tiempo real para un uso sencillo.

¿Necesito iniciar sesión para usarla?

No se requiere inicio de sesión ni registro: úsela al instante y de forma gratuita.

Related Tools

Address Generator

Address Generator

API Key Generator

API Key Generator

Base64 Decoder

Base64 Decoder

Base64 Encoder

Base64 Encoder

Related Articles

API Security Testing: OWASP Top 10, Tools & Checklist
API Security Testing: OWASP Top 10, Tools & Checklist
Complete guide to API security testing, OWASP Top 10 risks, testing tools, checklists, and how to secure your APIs against attacks.
Top API Security Vulnerabilities (2026) & Fixes
Top API Security Vulnerabilities (2026) & Fixes
Top API vulnerabilities like BOLA, mass assignment, and SSRF. Includes real breaches, fixes, and CI/CD security practices.
GPT-5 vs O3 vs GPT-4.1 for Penetration Testing
GPT-5 vs O3 vs GPT-4.1 for Penetration Testing
We tested GPT-5, O3, and GPT-4.1 on real pen testing tasks. See which AI model finds more vulnerabilities and produces actionable reports.

¡Pruebe sus APIs hoy!

Escriba en español natural, Qodex lo convierte en pruebas seguras y listas para ejecutar.

Start TestingTalk to Us