Documentación

CVEsafe — Documentación

Todo sobre CVEsafe: cómo está construida la plataforma, cómo usarla paso a paso y la explicación técnica de cada funcionalidad. Disponible también en inglés y portugués.

Visión general

CVEsafe es una plataforma multi-tenant de gestión de vulnerabilidades. Tú indicas un activo (sitio web, host, rango de red o API); la plataforma descubre el resto de la superficie, ejecuta las comprobaciones adecuadas, correlaciona cada hallazgo con su CVE y contexto de explotación (EPSS/KEV), prioriza lo que realmente importa y lleva la remediación a tu flujo de trabajo (ServiceNow, webhooks, informes).

Hay dos modos de cobertura:

• Sin agente (externo): los activos públicos se escanean desde la infraestructura de CVEsafe.
• Con agente (interno/LAN): un agente ligero instalado en tu red escanea activos internos que el escáner público no alcanza, inventaría la LAN y audita la postura de las máquinas.

Arquitectura y capas del software

CVEsafe se compone de las siguientes capas:

Qué hace cada capa

• Frontend — la aplicación web (panel, Command Center, objetivos, escaneos, issues, postura, agentes, descubrimiento de LAN, integraciones). Totalmente internacionalizada (PT/EN/ES).
• API (FastAPI) — autenticación (JWT + MFA TOTP), aislamiento multi-tenant por organización, permisos (RBAC), cuotas de escaneo por plan y todos los endpoints de negocio. Cada organización solo ve sus propios datos.
• Cola + Workers (Celery/Redis) — los escaneos se ejecutan de forma asíncrona. Las colas están separadas (scans, email, sms, maintenance) para que una acumulación en una no bloquee las demás. Hay un worker dedicado a escaneos y un worker ligero para tareas auxiliares; se puede escalar horizontalmente añadiendo nodos worker.
• Planificador (beat) — dispara escaneos programados, enriquece las issues con EPSS/KEV periódicamente y sincroniza el estado de ServiceNow.
• Engines — herramientas estándar del sector, orquestadas: ZAP (daemon vía API REST), Nmap, Nuclei, SSLyze y OpenVAS. Cada resultado se convierte en un hallazgo.
• Base de datos (PostgreSQL) — almacena objetivos, escaneos, hallazgos, issues (de-duplicadas), inventario de LAN, integraciones y configuraciones. Las credenciales sensibles (ServiceNow, auth de objetivo) se guardan cifradas.
• Agentes — procesos ligeros en las máquinas del cliente que reclaman y ejecutan escaneos de objetivos internos, hacen descubrimiento/inventario de LAN, auditoría SNMP y auditoría de postura del propio host. Solo sube el resultado — se actualizan solos.
• Integraciones — abren incidents en ServiceNow (con sincronización en ambos sentidos) y disparan webhooks firmados (HMAC) a cualquier endpoint.

Conceptos

Término	Significado
Organización	Tenant. Todo (objetivos, escaneos, equipo, integraciones) pertenece a una organización.
Objetivo (Target)	Un activo escaneable: sitio web, host/IP, rango CIDR o API. Cada objetivo nace con una declaración de propiedad.
Grupo	Agrupa objetivos (por entorno, equipo, app) con una nota de riesgo agregada.
Escaneo	Una ejecución de un engine contra un objetivo.
Hallazgo	Una observación de un escaneo.
Issue	La vulnerabilidad de-duplicada y con estado (el "qué corregir"), que agrupa hallazgos a lo largo del tiempo.
Agente	Software instalado en la red del cliente para escaneos internos.

Primeros pasos

1. Crea la cuenta y verifica el correo

   Regístrate en app.cvesafe.com. La verificación de correo es obligatoria antes de ejecutar cualquier escaneo.

2. Crea un grupo

   Organiza tus activos por entorno, equipo o aplicación. Cada grupo lleva una nota de riesgo agregada.

3. Añade un objetivo

   Registra un sitio web, host, CIDR o API que poseas. Confirmas la propiedad del activo (registro de consentimiento para auditoría). Para un dominio, la plataforma mapea sus subdominios automáticamente.

4. Ejecuta un escaneo

   Elige un preset (Rápido / Estándar / Profundo) o selecciona las comprobaciones manualmente e inicia. Para objetivos internos, instala antes un agente (ver Agente local).

5. Sigue y corrige

   El resultado llega con nota de riesgo y un informe por correo. Las vulnerabilidades pasan a Issues, donde priorizas, asignas responsable y haces seguimiento hasta la corrección.

Grupos y objetivos

Tipos de objetivo:

Tipo	Ejemplo	Uso
website	https://example.com	Apps web (pruebas web, CVEs, TLS, subdominios).
host	scanme.example.com	Un host/IP (puertos/servicios, vulnerabilidades de red).
cidr	10.0.0.0/24	Rango de red (puertos/servicios, descubrimiento de LAN).
api	https://api.example.com	APIs (pruebas web, CVEs).

Un objetivo puede ser externo (escaneado por la infraestructura de CVEsafe) o interno (marcado como interno y fijado a un agente, escaneado desde dentro de tu red).

Comprobaciones (lo que eliges)

No eliges una herramienta — eliges qué comprobar. Cada comprobación la entrega nuestra suite orquestada (un detalle de implementación). Selecciona solo lo que necesitas, parte de lo que necesitas, o todo de una vez.

Comprobación	Qué hace
Descubrimiento de puertos y servicios (TCP)	Encuentra puertos TCP abiertos y el servicio/versión de cada uno — tu superficie expuesta. Variantes: top 100, TCP completo, UDP.
Detección de CVE por servicio/versión	Empareja los servicios y versiones detectados con CVEs conocidos (con CVSS).
Pruebas de vulnerabilidad de red (NVTs)	Decenas de miles de comprobaciones de red mapeadas a CVEs.
CVEs conocidos y errores de configuración	Firmas para CVEs conocidos, paneles de administración expuestos, credenciales por defecto y fingerprint de tecnología.
Análisis pasivo web	Cabeceras de seguridad ausentes, cookies inseguras, fuga de información — sin atacar (seguro en producción).
Prueba activa web (SQLi, XSS, traversal)	Envía peticiones controladas para confirmar inyección SQL, XSS, command injection y path traversal.
Validación de certificado TLS	Validez, emisor, hostname, autofirmado y problemas de cadena.
Protocolos y cifrados TLS débiles	TLS 1.0/1.1, RC4, Diffie-Hellman débil y cripto obsoleta.
Heartbleed / ROBOT	Comprobaciones específicas de fallos TLS conocidos.
Mapeo de subdominios	Enumera la superficie externa vía Certificate Transparency + DNS.

Cada comprobación corresponde a un módulo de la suite; combinas las que quieras en una única ejecución. En el agente hay además lan_discovery, host_audit y snmp_audit (ver las secciones de Agente).

Escaneos autenticados

Para encontrar vulnerabilidades detrás de un login, configura una credencial en el objetivo. En Objetivos → botón "Auth" (sitios y APIs), elige el tipo:

• Bearer token — inyecta Authorization: Bearer <token>.
• Cabecera personalizada — p. ej. X-API-Key: <valor>.
• Cookie de sesión — inyecta Cookie: ....
• Basic auth — usuario y contraseña (se convierte en Authorization: Basic ...).

La credencial se guarda cifrada y, durante el escaneo, el motor de prueba web la inyecta en las peticiones restringida al host de ese objetivo (segura incluso con escaneos simultáneos). El agente también hace escaneos autenticados por SNMP en los dispositivos de la LAN (ver Auditoría SNMP).

Programación

Cualquier objetivo puede tener escaneos recurrentes (diario, semanal o mensual), a la hora que definas. Los escaneos programados se ejecutan automáticamente y mantienen la cobertura siempre actualizada — útil para seguir la postura y disparar la verificación automática de correcciones (ver verify-on-rescan).

Agente local

El agente es un proceso ligero (Windows/Linux) que se ejecuta en tu red y realiza escaneos que el escáner público no alcanza. Se registra, reclama trabajos de la cola, los ejecuta localmente y envía solo los resultados.

Instalación (Windows)

En Agents, genera una clave y ejecuta en PowerShell como Administrador:

PS C:\> $env:CVESAFE_KEY="sat_..."; $env:CVESAFE_API="https://api.cvesafe.com/api/v1"; irm "https://app.cvesafe.com/agent/windows/install.ps1" | iex

El instalador registra un servicio en segundo plano (se ejecuta como SYSTEM), instala un icono en la bandeja y se mantiene actualizado solo. En Linux, usa el comando install.sh que se muestra en la misma pantalla.

Qué ejecuta el agente

• nmap (top 100 / full / UDP) — descubrimiento de puertos y servicios. El agente auto-aprovisiona nmap + Npcap en el primer uso, si aún no está.
• nmap_vuln — detección de CVE por servicio/versión.
• lan_discovery — inventario de la red (ver abajo).
• snmp_audit — enumeración SNMP autenticada de un dispositivo.
• host_audit — auditoría de postura de la propia máquina.
• nuclei y subdomain discovery — también se ejecutan localmente.

Descubrimiento de LAN

En Descubrimiento de LAN, selecciona un agente e indica un rango (p. ej. 192.168.0.0/24). El agente lo barre, identifica cada host vivo (SO, servicios, fabricante del MAC, descripción SNMP) y clasifica el tipo de equipo — router, switch, impresora, cámara IP, NAS, host Windows/Linux. Cada dispositivo se registra como un activo en el inventario.

Mientras el barrido se ejecuta, un panel de progreso muestra el estado en tiempo real (en cola / esperando agente / escaneando… / completado con el nº de activos) — la pantalla se actualiza cada pocos segundos.

El inventario se organiza por bloque de IP (subred /24), con el tipo de cada equipo. Para cada activo puedes:

• Promover el host a un escaneo de CVE individual;
• Registrar SNMP y ejecutar la auditoría SNMP en profundidad.

Y para escanear en lote: "Escanear CVEs en la red" ejecuta la detección de CVE en todo el rango indicado, y "Escanear CVEs del bloque" hace lo mismo solo en esa subred /24 — ambos vía agente. Los resultados aparecen en Escaneos / Vulnerabilidades.

Auditoría SNMP

Para un activo descubierto, registra la credencial SNMP (community, versión y puerto) y haz clic en "Auditar SNMP". El agente usa esa credencial para enumerar el dispositivo en profundidad (interfaces, conexiones, procesos, software y servicios instalados) y además detecta una community débil/por defecto (p. ej. public), que es un hallazgo de riesgo. La credencial circula solo por el canal autenticado del agente.

Auditoría de host

En la pantalla Agents, el botón "Auditar host" ejecuta una auditoría de postura en la máquina donde está instalado el agente (se ejecuta como SYSTEM, así que ve la configuración protegida). Comprueba, entre otros:

• Actualizaciones de Windows pendientes medio/alto
• SMBv1 habilitado (EternalBlue/WannaCry) alto
• RDP sin NLA (BlueKeep) alto
• Firewall, Defender/antivirus y firmas, BitLocker, UAC
• Autologon con contraseña en texto claro, cuentas locales débiles, Guest habilitado

Cada debilidad se convierte en un hallazgo y entra en el flujo de Issues, junto a los resultados de red.

Issues y ciclo de vida

Los hallazgos de todos los escaneos de un objetivo se consolidan en Issues de-duplicadas — el "qué corregir". Cada issue tiene estado, responsable, historial y recuento de ocurrencias.

• De-duplicación por organización + objetivo + engine + fingerprint (título normalizado + ubicación).
• Verify-on-rescan — si un nuevo escaneo del mismo engine ya no ve la issue, se resuelve automáticamente. Si reaparece, se reabre.
• Estados: abierta, triada, en progreso, resuelta, falso positivo (el falso positivo es "pegajoso" y no se reabre solo).

Priorización (EPSS / KEV)

Cada issue con CVE se enriquece con:

• CVSS — severidad técnica.
• EPSS — probabilidad (0–100%) de explotación en los próximos 30 días (FIRST).
• KEV — si el CVE está en el catálogo de Known Exploited Vulnerabilities de CISA (explotado activamente).

La combinación genera una prioridad y una nota A–F (0–10) por activo y por grupo, para que te enfoques en los pocos hallazgos que realmente te ponen en riesgo — no en miles de alertas.

Postura e informes

El panel de Postura muestra las abiertas por severidad/prioridad, KEV abierto, MTTR (tiempo medio de remediación) y la tendencia a lo largo del tiempo. El Command Center da la visión consolidada por engine/superficie.

Informes: al final de un lote de escaneos, se envía un informe consolidado por correo (compartible con terceros) y hay exportación CSV para tu pipeline.

Recetas (cómo hacer)

Flujos listos para las tareas más comunes.

Escanear un sitio protegido por login

1. Añade el sitio como objetivo

   En Objetivos, añade la URL (tipo website).

2. Configura la autenticación

   En el objetivo, haz clic en Auth e indica la credencial (bearer token, cabecera, cookie o basic). Ver Escaneos autenticados.

3. Ejecuta la comprobación

   En Ejecutar escaneo, selecciona "Análisis pasivo web" y/o "Prueba activa web (SQLi, XSS)". La credencial se inyecta automáticamente.

Inventariar la red interna y escanear CVEs

1. Instala un agente

   En Agents, genera la clave e instala el agente en la red (ver Agente local).

2. Ejecuta el descubrimiento

   En Descubrimiento de LAN, elige el agente y el rango (p. ej. 192.168.0.0/24) y haz clic en Iniciar descubrimiento. Sigue el progreso en vivo.

3. Escanea CVEs

   Usa "Escanear CVEs en la red" (rango completo) o "Escanear CVEs del bloque" por subred. Para un dispositivo específico, registra SNMP y haz clic en Auditar SNMP.

Validar solo el certificado TLS de un host

1. Añade el host

   Tipo host o website.

2. Selecciona la comprobación

   En Ejecutar escaneo, marca solo "Validación de certificado TLS" (y, si quieres, "Protocolos y cifrados TLS débiles"). Inicia.

Llevar vulnerabilidades a ServiceNow

1. Conecta ServiceNow

   En Integraciones, indica la URL, el usuario (rol itil) y la contraseña; habilita y prueba la conexión.

2. Elige el disparo

   Activa el push automático por encima de un umbral de severidad, o usa el botón "→ ServiceNow" por vulnerabilidad. Ver ServiceNow.

ServiceNow (ITSM)

En Integraciones, conecta tu instancia de ServiceNow (URL, un usuario con el rol itil, contraseña — guardada cifrada). La integración es bidireccional:

• Push — abre la vulnerabilidad como un incident (manual por issue, o automático por encima de un umbral de severidad). La severidad se convierte en impact/urgency; el número/enlace del incident queda en la issue.
• Resolver aquí → cierra allí — al resolver la issue en CVEsafe, el incident pasa a Resolved.
• Cerrar allí → resuelve aquí — una tarea periódica (cada 15 min) lee el estado del incident; si fue resuelto/cerrado, la issue se resuelve automáticamente en CVEsafe.

Webhooks

Los webhooks de salida envían un POST JSON cuando una vulnerabilidad se abre o se resuelve — a Slack, Jira, Zendesk, n8n, SOAR o tus propias automatizaciones. Cada endpoint tiene un filtro de evento y un umbral de severidad.

El cuerpo se firma con HMAC-SHA256 usando el secreto del endpoint, en la cabecera X-CVEsafe-Signature (y el tipo en X-CVEsafe-Event) — verifica la firma en el receptor:

# pseudocódigo de verificación
sig = "sha256=" + hmac_sha256(secret, cuerpo_bruto)
if sig == header["X-CVEsafe-Signature"]: # válido

Ejemplo de payload (issue.opened):

{
  "event": "issue.opened",
  "organization_id": 1,
  "issue": {
    "id": 123, "title": "...", "severity": "high",
    "cve_id": "CVE-2021-44228", "cvss_score": 10.0,
    "epss_score": 0.97, "kev": true,
    "priority": "urgent", "target": "10.0.0.50"
  }
}

Seguridad y privacidad

• Aislamiento multi-tenant — cada organización solo accede a sus propios datos; toda consulta se acota por organización.
• Credenciales cifradas — la contraseña de ServiceNow y las credenciales de escaneo autenticado se guardan con cifrado simétrico (Fernet); nunca vuelven al cliente.
• Autenticación — login por JWT + MFA (TOTP) y dispositivos de confianza.
• Canal del agente — máquina a máquina por token de agente; las credenciales sensibles (p. ej. SNMP) circulan solo por ese canal.
• Autorización de escaneo — debes ser dueño del activo o tener autorización; registramos una declaración de propiedad para cada objetivo.
• Compromiso de confidencialidad — no accedemos, analizamos ni compartimos tus datos o resultados de escaneo.

Planes y límites

Los planes (Free, Basic, Premium, Professional) definen la cuota mensual de escaneos, el número de objetivos y miembros, la retención de datos y qué engines/recursos están disponibles (p. ej. agente interno y escaneos autenticados en planes superiores). Ver los detalles en cvesafe.com/pricing.

FAQ

¿Guardan mis datos o resultados?

No accedemos, analizamos ni almacenamos tus datos o resultados más allá de lo necesario para mostrártelos en tu cuenta. Tus objetivos y hallazgos son solo tuyos.

¿Agente o sin agente?

Los activos públicos no necesitan instalación. Para activos accesibles solo dentro de tu red, instala el agente — reclama y ejecuta esos escaneos localmente y devuelve los hallazgos.

¿Se permite el escaneo no autorizado?

No. Debes ser dueño del activo o tener autorización por escrito; registramos la declaración de propiedad de cada objetivo.

¿Puedo integrar con mis herramientas?

Sí — ServiceNow (bidireccional) y webhooks firmados a cualquier endpoint (Slack, Jira, Zendesk, SOAR, automatizaciones).