Desarrollo de una herramienta automatizada para la detección y análisis de vulnerabilidades basada en Python
Empezar
Autor: Javier Díaz LópezTutor: Héctor Marco Gisbert Curso: 2024/2025
Índice
1.Motivación
1.1. Problema
2. Solución
2.1. Objetivos y alcance
3. Arquitectura
3.1. Escaneo y normalización a CPE 2.3
3.2. Análisis y correlación: NVD API 2.0 + Exploit-DB
3.3. Contexto operativo: MITRE ATT&CK
3.4. Generación de informes
4. Demo
5. Resultados
6. Trabajos futuros
7. Conclusiones
01
Motivación
Motivación del proyecto
- Aumento de ciberataques (CCN), con pico claro desde 2020.
- Curiosidad por comprender cómo se detectan y explotan vulnerabilidades.
- Procesos poco sistematizados, fuentes poco integradas y necesidad correlacionar datos.
1.1
Problema
¿Por qué hace falta SCANPLOIT?
- El flujo actual es fragmentado y manual (Nmap, NVD, Exploit-DB, ATT&CK se consultan por separado).
- Esto implica tiempo, errores y mala priorización del riesgo.
- Falta un puente entre CVE/CWE y técnicas ATT&CK para contexto operativo.
02
Solución
SCANPLOIT: de una IP a un informe automatizado
- Desarrollar una herramienta que automatice la enumeración y correlación de vulnerabilidades y las priorice con contexto operativo (MITRE ATT&CK), entregando un informe único, claro y accionable.
NVD/ ExploitDB
Informe Automatizado
IP
MiTRE ATT&CK
Nmap
2.1
Objetivos y alcance
Objetivos y alcance
Contextualicación
Integración
Automatización
Generación
03
Arquitectura
Arquitectura de SCANPLOIT
3.1
Escaneo y normalización a CPE 2.3
Escaneo y normalización a CPE 2.3
- Entrada: IP → Nmap (puertos, servicio, producto, versión). Opcional: filtro del año.
- Post-proceso: limpieza de versión y normalizacion vendor/product (VENDOR_LOOKUP).
- Salida normalizada: CPE 2.3 cpe:2.3:a:vendor:product:version:*:*:*:*:*:*:*.
Normalización a CPE 2.3
- Objetivo: consultas a NVD precisas y sin ambigüedades.
3.2
Análisis y correlación: NVD API 2.0 + Exploit-DB
Análisis y correlación: NVD API 2.0 + Exploit-DB
- Consulta NVD por CPE 2.3 (endpoint: https://services.nvd.nist.gov/rest/json/cves/2.0) con requests.
- Extracción de campos clave: CVE, descripción, CVSS, vector, CWE, fechas y referencias → enlaces a NVD y CVE-Details.
- Página por CVE con generate_cve_pages.py (detalle, severidad, referencias).
- Cruce con Exploit-DB usando CSV local files_exploits.csv (marca Exploit disponible + enlace).
3.3
Contexto operativo: MITRE ATT&CK
Contexto operativo: MITRE ATT&CK
- Objetivo: traducir CVE/CWE a tácticas y técnicas ATT&CK para priorizar con criterio operativo.
- Doble vía de mapeo:
- CVE → Técnica con dataset público ATT&CK to CVE (CSV local Att&ckToCveMappings1.csv).
- CWE → Técnica con CWEMapping.csv propio (mantenible) cuando no hay mapeo directo.
- Enriquecimiento STIX: Enterprise ATT&CK local (enterprise-attack.json).
- Salida: página MITRE por CVE + enlaces en el informe (técnica, táctica y origen del mapeo: CVE/CWE).
3.4
Generación de informes
Generación de informes
04
Demo
Demo
05
Resultados
Resultados
- Máquinas vulnerables: detección consistente de servicios/versiones, CVEs relevantes y exploits cuando existen; mapeo ATT&CK.
- Máquinas no vulnerables: baja o nula presencia de CVEs explotables; sin falsos positivos en las muestras revisadas.
Trazabilidad
Priorización
Eficiencia
Precisión
Enlaces directos NVD/EDB/ATT&CK, CVSS y páginas por CVE.
Cada hallazgo enlazado a tácticas/técnicas ATT&CK.
De una IP a un informe único sin consultas manuales dispersas.
Normalización a CPE 2.3, correlación estricta NVD + Exploit-DB.
06
Trabajos futuros
Trabajos futuros
- Actualizar bases locales automáticamente (Exploit-DB, mappings).
- Más fuentes (Shodan/Metasploit/osv.dev...) y cache inteligente.
- Paralelismo en escaneo/consultas.
- Publicar API REST e integración SIEM/Tickets.
- Dashboards más ricos; plantillas de informes ejecutivos.
07
Conclusiones
Conclusiones
- SCANPLOIT no es solo un escáner: es un puente entre descubrimiento, correlación y decisión.
- La normalización CPE y el mapeo CVE/CWE→ATT&CK mejoran la priorización y la comunicación con TI.
- El informe HTML facilita gestión de vulnerabilidades, pentesting y auditoría con evidencias claras.
- Base sólida para escalar y seguir aportando valor.
¡Gracias por su atención!
¿Alguna pregunta?
Multicloud
Tipo de implementación de nube que implica el uso de varias nubes públicas. Es decir, una organización alquila servidores y servicios virtuales de varios proveedores externos.
Nube Publica
Es un servicio gestionado por un proveedor externo que puede incluir servidores en uno o varios centros de datos. Se comparten entre varias organizaciones.
Nube Hibrida
Combinan nubes públicas y privadas. Una organización puede utilizar su nube privada para algunos servicios y la nube pública para otros.
Nube Privada
Es un servidor, un centro de datos o una red distribuida totalmente dedicada a una organización.
Medidas organizativas:
- Designación de un Delegado de Protección de Datos (DPD).
- Políticas internas de privacidad y protección de datos.
- Formación continua para el personal en aspectos relacionados con la protección de datos.
Medidas técnicas:
- Pseudonimización y cifrado de datos personales.
- Garantías de confidencialidad, integridad y disponibilidad de los sistemas.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida.
- Evaluación de impacto en la protección de datos (EIPD).
Generación:
- Crear informes claros y detallados en formato HTML que incluyan información sobre las vulnerabilidades encontradas, su nivel de severidad y recomendaciones sobre cómo mitigarlas
Contextualización:
- Mapeo marco MITRE ATT&CK para contextualizar las vulnerabilidades traduciendo CVE/CWE a tácticas y técnicas ATT&CK con enlaces y descripciones para priorizar con criterio.
Integración:
- Unificar Nmap, NVD 2.0, Exploit-DB y ATT&CK STIX bajo un mismo flujo con normalización CPE 2.3.
Automatización:
- Reducir al mínimo la intervención manual y el tiempo de análisis.
Desarrollo de una herramienta automatizada para la detección y análisis de vulnerabilidades basada en Python
Javier Díaz López
Created on September 4, 2025
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Smart Presentation
View
Practical Presentation
View
Essential Presentation
View
Akihabara Presentation
View
Flow Presentation
View
Terrazzo Presentation
View
Dynamic Visual Presentation
Explore all templates
Transcript
Desarrollo de una herramienta automatizada para la detección y análisis de vulnerabilidades basada en Python
Empezar
Autor: Javier Díaz LópezTutor: Héctor Marco Gisbert Curso: 2024/2025
Índice
1.Motivación
1.1. Problema
2. Solución
2.1. Objetivos y alcance
3. Arquitectura
3.1. Escaneo y normalización a CPE 2.3
3.2. Análisis y correlación: NVD API 2.0 + Exploit-DB
3.3. Contexto operativo: MITRE ATT&CK
3.4. Generación de informes
4. Demo
5. Resultados
6. Trabajos futuros
7. Conclusiones
01
Motivación
Motivación del proyecto
1.1
Problema
¿Por qué hace falta SCANPLOIT?
02
Solución
SCANPLOIT: de una IP a un informe automatizado
NVD/ ExploitDB
Informe Automatizado
IP
MiTRE ATT&CK
Nmap
2.1
Objetivos y alcance
Objetivos y alcance
Contextualicación
Integración
Automatización
Generación
03
Arquitectura
Arquitectura de SCANPLOIT
3.1
Escaneo y normalización a CPE 2.3
Escaneo y normalización a CPE 2.3
Normalización a CPE 2.3
3.2
Análisis y correlación: NVD API 2.0 + Exploit-DB
Análisis y correlación: NVD API 2.0 + Exploit-DB
3.3
Contexto operativo: MITRE ATT&CK
Contexto operativo: MITRE ATT&CK
3.4
Generación de informes
Generación de informes
04
Demo
Demo
05
Resultados
Resultados
Trazabilidad
Priorización
Eficiencia
Precisión
Enlaces directos NVD/EDB/ATT&CK, CVSS y páginas por CVE.
Cada hallazgo enlazado a tácticas/técnicas ATT&CK.
De una IP a un informe único sin consultas manuales dispersas.
Normalización a CPE 2.3, correlación estricta NVD + Exploit-DB.
06
Trabajos futuros
Trabajos futuros
07
Conclusiones
Conclusiones
¡Gracias por su atención!
¿Alguna pregunta?
Multicloud
Tipo de implementación de nube que implica el uso de varias nubes públicas. Es decir, una organización alquila servidores y servicios virtuales de varios proveedores externos.
Nube Publica
Es un servicio gestionado por un proveedor externo que puede incluir servidores en uno o varios centros de datos. Se comparten entre varias organizaciones.
Nube Hibrida
Combinan nubes públicas y privadas. Una organización puede utilizar su nube privada para algunos servicios y la nube pública para otros.
Nube Privada
Es un servidor, un centro de datos o una red distribuida totalmente dedicada a una organización.
Medidas organizativas:
Medidas técnicas:
Generación:
Contextualización:
Integración:
Automatización: