Inicio » Metodologías QMA » AP Score — Metodología propia QMA de priorización de CVEs
Metodología QMA

AP Score Action Priority

Priorización operativa de CVEs en escala 0 a 10. Cuatro variables, una decisión: qué parchear esta semana, en tu infraestructura, frente a los actores que hoy te apuntan.

TLP WHITE Propiedad intelectual QMA Optimizado México y LATAM
01

Por qué AP Score como metodología de priorización

La priorización de CVEs es uno de los problemas más concretos del SOC moderno. AP Score es la metodología propia de QMA construida específicamente para resolverlo. Un SOC típico enfrenta entre 15,000 y 25,000 CVEs nuevos al año, y CVSS —el estándar más extendido de la industria— asigna una severidad técnica abstracta: mide el potencial de daño de una vulnerabilidad en condiciones ideales de explotación, pero no responde a la pregunta operativa real: ¿cuál parcheo primero esta semana, en mi infraestructura, frente a los actores que hoy me apuntan?

El resultado es un backlog que se acumula. Las organizaciones en México y LATAM operan con infraestructura que no siempre coincide con los perfiles de activo que asumen los scores globales. Un CVE con CVSS 7.5 puede ser irrelevante para la operación de un banco regulado por CNBV, mientras que un CVE con CVSS 6.8 —activamente explotado por ransomware regional en infraestructura de Cisco SD-WAN— exige parche en 24 horas.

AP Score nació para resolver exactamente esa brecha. Combina evidencia de explotación real, exposición contextualizada a México y LATAM y perfil del actor amenaza en una escala unificada 0 a 10 que cualquier analista puede leer y priorizar sin fricción.

02

Componentes de la metodología AP Score

La metodología AP Score integra cuatro variables. Las ponderaciones relativas y el algoritmo de cálculo son propietarios; lo que se publica aquí es la lógica conceptual de cada componente tal como aparece en la documentación TLP WHITE de QMA.

Explotabilidad activa

CISA KEV · EPSS

Si el CVE está siendo explotado activamente en la naturaleza y cuál es la probabilidad programática de explotación en los próximos 30 días según modelos de inteligencia de amenazas. La presencia en CISA KEV es el indicador de mayor peso dentro de esta variable.

Impacto base CVSS v3.1

NVD · CVSS spec

Severidad técnica intrínseca: confidencialidad, integridad, disponibilidad y complejidad de ataque, según el estándar CVSS v3.1. QMA no ajusta los valores base publicados por NVD; los incorpora como componente contextualizado.

Exposición México y LATAM

Shodan · Censys · telemetría sectorial QMA

Prevalencia real del activo vulnerable en infraestructura crítica y sectores regulados de México y LATAM: banca (CNBV), salud (IMSS/ISSSTE), gobierno, OT/ICS energético y telecomunicaciones. Un CVE que afecte tecnología sin presencia regional recibe menor peso en esta variable.

Severidad del actor amenaza

MITRE ATT&CK · respuesta a incidentes · inteligencia QMA

Clasificación del actor que explota o distribuye el exploit: APT con nexo estado (mayor peso), grupo ransomware con historial LATAM, actor oportunista o commodity. La taxonomía de actores QMA está alineada con MITRE ATT&CK.

El resultado se expresa en escala 0 a 10 con un decimal. Un AP Score 9.0 o superior corresponde a CVEs con explotación masiva confirmada en LATAM o con impacto sectorial de alta consecuencia.

03

Escala de priorización: del 0 al 10

La escala AP Score está calibrada para traducirse directamente en decisiones operativas de parcheo y contención, sin requerir interpretación adicional por parte del equipo técnico.

RangoEtiquetaAcción recomendadaVentana
9.0 – 10.0Crítico · Acción inmediataParcheo o mitigación urgente. Activar canal de escalación CISO.≤ 24 h
7.0 – 8.9Alto · Prioridad esta semanaIncluir en sprint de parcheo vigente. Monitorear IoC asociados.≤ 7 días
5.0 – 6.9Medio · Parcheo planificadoParcheo en ciclo mensual. Evaluar controles compensatorios.≤ 30 días
2.5 – 4.9Bajo · Backlog gestionadoIncluir en backlog. Revisar en ciclo trimestral.≤ 90 días
0.0 – 2.4InformativoDocumentar. Sin impacto operativo confirmado en contexto LATAM.Próximo ciclo
04

Diferencia respecto a CVSS solo

CVSS es un instrumento de medición técnica, no de priorización operativa. Está diseñado para describir las propiedades de una vulnerabilidad, no para responder quién la está explotando hoy ni en qué geografía afecta más. Esto genera tres problemas concretos:

  • Inflación de scores: CVSS 9.8 no distingue entre una vulnerabilidad con exploit público activo y otra teórica sin código de prueba.
  • Ceguera geográfica: No incorpora si el activo afectado está presente en infraestructura regulada de México o si hay campañas activas de actores que operan en la región.
  • Sin contexto de actor: Un CVSS 7.5 explotado por un APT con nexo estado tiene implicaciones radicalmente distintas a uno usado por un escáner automatizado commodity.

AP Score no reemplaza a CVSS: lo complementa. El impacto base CVSS v3.1 es uno de los cuatro componentes del cálculo. La diferencia está en que la metodología AP Score añade la capa de inteligencia contextual —explotación activa, geografía, actor— que CVSS por diseño no incluye.

05

Comparativa con metodologías comerciales

Tenable VPR, Rapid7 Real Risk Score y Qualys TruRisk son metodologías propietarias construidas por empresas con décadas de experiencia en gestión de vulnerabilidades. Son excelentes dentro de sus plataformas respectivas. La diferencia honesta con AP Score es una sola: ninguna fue diseñada con foco explícito en México y LATAM. No es una crítica — es un nicho que QMA eligió cubrir.

MetodologíaOwnerVariablesFoco LATAMDisponibilidad
AP ScoreQMAKEV · EPSS · CVSS · Exposición LATAM/MX · ActorSí — optimizado México y LATAMPública (TLP WHITE)
Tenable VPRTenableCVSS · Threat intel · Exploit maturity · Asset criticalityGlobalClientes Tenable
Rapid7 Real RiskRapid7CVSS · Exploit availability · Malware exposureGlobalClientes Rapid7
Qualys TruRiskQualysQDS × Asset value · Threat intel integradaGlobalClientes Qualys (VMDR)

Las organizaciones en México que operan bajo esquemas MSSP con plataformas de los vendors mencionados pueden usar AP Score como capa complementaria de contextualización regional, sin reemplazar sus flujos de gestión de vulnerabilidades existentes.

06

Cómo se publica AP Score

La metodología AP Score se publica de forma sistemática en tres canales complementarios para priorización de CVEs accionable:

Inteligencia narrativa

Capítulos ZDU

Cada análisis de CVE en ZDU incluye su AP Score, rango de escala y las variables que determinaron el resultado. Capítulos AP ≥ 9.0: ZDU-000, 006, 009, 010, 011, 013, 014, 015, 031, 033.

Ver índice ZDU
Feed RSS

Capítulos vía RSS estándar

Los análisis publicados se sirven como RSS estándar con título, URL canónica, fecha y categorías. Consumible por agregadores de inteligencia, lectores RSS y herramientas de monitoreo de fuentes.

Suscribir feed
API · Feeds estructurados

Integración SIEM/SOAR en preparación

Formato API consumible por SIEM/SOAR con campos ap_score, cvss_base, kev_confirmed, actor_class. Acceso institucional vía contacto QMA.

Solicitar acceso

Todos los outputs AP Score son TLP WHITE salvo indicación explícita contraria en la cabecera del capítulo o feed correspondiente. KEV-1 Intel —el boletín priorizado de CISA KEV con AP Score por entrada— se publica en qma.mx/kev-1/.

07

Preguntas frecuentes

¿Qué es AP Score?

AP Score (Action-Priority Score) es la metodología propia de QMA para priorización de CVEs en escala 0 a 10. Combina cuatro variables: explotabilidad activa según CISA KEV y EPSS, impacto base CVSS v3.1, exposición en infraestructura crítica de México y LATAM, y severidad del actor amenaza. El objetivo es convertir el ruido de vulnerabilidades en una decisión operativa directa: qué parchear primero, esta semana, en el contexto específico de la organización.

¿En qué se diferencia de CVSS?

CVSS mide la severidad técnica intrínseca de una vulnerabilidad, sin considerar si hay explotación activa, quién la explota ni en qué geografía impacta más. AP Score usa CVSS v3.1 como uno de sus componentes, pero añade inteligencia de explotación en tiempo real (KEV + EPSS), contexto de exposición regional México y LATAM y clasificación del actor amenaza. El resultado es un score orientado a la decisión operativa, no solo a la descripción técnica.

¿Es propietaria? ¿Está disponible públicamente?

Las ponderaciones internas y el algoritmo de cálculo son propiedad intelectual de QMA. Los cuatro componentes conceptuales, la escala de interpretación y todos los scores publicados son TLP WHITE: accesibles sin restricción en capítulos ZDU, en el feed RSS y en el boletín KEV-1 Intel. Cualquier investigador, periodista o analista puede citar el AP Score de un CVE publicado referenciando la fuente QMA.

¿Se puede consumir AP Score en feeds y publicaciones propias?

Sí. Los scores publicados en capítulos ZDU son TLP WHITE y pueden ser citados, referenciados o integrados en publicaciones de terceros con atribución a QMA. El feed RSS estándar permite agregación automática de capítulos publicados. Los feeds estructurados con campo ap_score consumibles por SIEM/SOAR están en preparación para acceso institucional vía contacto QMA.

¿Cómo se actualiza el AP Score de un CVE en el tiempo?

AP Score es dinámico. Cuando un CVE entra a CISA KEV, cuando emerge un nuevo actor que lo explota, o cuando la exposición regional cambia significativamente, el score se recalcula. Las versiones de score quedan registradas internamente; la publicación de un capítulo ZDU refleja el AP Score vigente al momento del análisis y se nota si hubo recálculos posteriores.

Pasa de score a acción

Aplicá AP Score a tu sprint de parcheo

Capítulos ZDU para inteligencia narrativa, RSS para agregación, KEV-1 para boletín priorizado. Y cuando estés listo para integrar AP Score en tu SIEM/SOAR, hablamos.

Scroll al inicio