¿Por qué el escáner de vulnerabilidades de repente 'mejoró'? La clave está en CVSS v4
CVE: disminuye la proporción de vulnerabilidades críticas pese al aumento del número total de vulnerabilidades.
En los últimos años a muchos les ha parecido que las vulnerabilidades 'críticas' según CVSS están aumentando, pero el análisis de datos públicos dibuja otra imagen: el número absoluto de CVE crece, mientras que la proporción de 'Critical' entre ellas disminuye notablemente. El autor de la investigación recopiló datos agregados de VulnCheck de varias fuentes públicas (incluyendo NIST NVD, CISA, CVE Numbering Authorities y boletines de proveedores) y para cada CVE publicada seleccionó una única puntuación: la correspondiente a la versión más reciente de CVSS que estaba disponible en el momento de la publicación del registro.
Si se desglosan las vulnerabilidades por años y niveles de gravedad, el volumen de CVE clasificadas como 'Critical' en general se muestra bastante estable durante los últimos cuatro años, y en 2024 y 2025 incluso se aprecia un ligero descenso. En ese contexto aumentaron con fuerza las puntuaciones 'medias' y 'bajas': en conjunto hay muchas más vulnerabilidades, pero proporcionalmente menos de las que reciben 'Critical' y 'High'. El autor precisa además que al momento del cálculo quedaban unas tres semanas para el fin de 2025, por lo que las cifras finales aún podían cambiar.
Surgió a continuación la pregunta lógica: ¿estará relacionado el ligero descenso de 'Critical' con la implantación gradual de CVSS v4, disponible públicamente desde hace aproximadamente dos años? La comparación de la distribución de gravedad por versiones de CVSS mostró un desplazamiento notable: en v4 la proporción de puntuaciones 'Critical' y 'High' parece menor que en v3 y v3.1.
Sin embargo, con un examen más atento se constató que el conjunto de CVE con puntuaciones CVSS v4 está fuertemente sesgado por su procedencia: el 49% de esos registros fueron publicados por VulDB, y esa contribución afecta desproporcionadamente la imagen global de v4. Al excluir las CVE de VulDB, la distribución de gravedad se acercó mucho más a la observada en v3 y v3.1. El autor señala como diferencia clave en la práctica de VulDB la asignación sistemática de la métrica Subsequent System Impact al valor None (N): esa decisión, quizá motivada por una visibilidad limitada de los efectos secundarios o por dificultades de automatización, reduce en todo caso de forma sistemática las puntuaciones finales de CVSS v4 para casi todas las CVE afectadas.
El autor evaluó además hasta qué punto se utiliza CVSS v4 en las entradas recientes. A más de dos años de publicada la especificación de CVSS v4, solo el 25,9% de las 43 002 CVE publicadas en 2025 habían sido complementadas con una valoración v4. En total se identificaron 232 fuentes distintas que publicaron o enriquecieron registros CVE con datos de CVSS v4, pero los principales proveedores «históricos» de enriquecimiento, incluidos NIST NVD y CISA ADP, prácticamente no añaden puntuaciones v4.
Para mostrar la magnitud de la brecha, el autor examinó quiénes publican puntuaciones en grandes volúmenes pero no usan v4 en 2025. Entre esas fuentes están CISA-ADP (7269 CVE sin v4), NIST (7254), Patchstack (5309), Wordfence (2521), Red Hat (1757), Microsoft Corporation (1071), Adobe Systems Incorporated (637), MITRE (413), ZDI (316), IBM Corporation (313), Oracle (312), Qualcomm (212), Cisco Systems, Inc. (189) y SAP SE (185). GitHub, por su parte, ya comenzó la implantación de v4 en 2025 y, según el autor, publicó puntuaciones v4 para 1153 CVE, aunque paralelamente sigue habiendo un volumen notable de registros valorados sin v4.
La conclusión principal del estudio es la siguiente: los posibles cambios en la «tendencia de criticidad» hoy es más probable que se expliquen no por que CVSS v4 «por sí sola» haga que las vulnerabilidades sean menos críticas, sino por la implantación parcial de la nueva versión y por las diferencias en las prácticas de puntuación entre distintos actores. Dado que el volumen de valoraciones v4 todavía es limitado, es pronto para sacar conclusiones definitivas sobre cómo afecta exactamente CVSS v4 a la distribución de niveles de gravedad, pero ya se observa que en las estadísticas pueden surgir sesgos fácilmente debido a la cobertura incompleta y a decisiones subjetivas al asignar métricas.