Recomendación de CWE y CVSS mediante técnicas de interpretación textual: caso AuditForge

Abstract

La generación de reportes en auditorías de ciberseguridad consume una proporción significativa del tiempo de los auditores, afectando la eficiencia del proceso de hacking ético. Este trabajo propone una solución basada en técnicas de procesamiento de lenguaje natural y modelos de Deep Learning para automatizar la recomendación de clasificaciones CWE (Common Weakness Enumeration) y CVSS (Common Vulnerability Scoring System) a partir de descripciones de vulnerabilidades. El objetivo es reducir el tiempo invertido en la clasificación manual y mejorar la consistencia en la evaluación de riesgos. Para ello, se diseñaron dos arquitecturas: una jerárquica para CWE, basada en cross-encoders y clasificación jerárquica, y otra multi-output para CVSS, que primero determina la severidad y luego predice los componentes del vector correspondiente. La validación se realizó sobre conjuntos de datos obtenidos de la National Vulnerability Database, empleando métricas como accuracy, precision, recall y F1 score. Los modelos alcanzaron un 79, 66 % de Top-1 Accuracy en CWE y un 91, 85 % de accuracy promedio en la predicción de componentes CVSS. El impacto esperado incluye una mejora significativa en la eficiencia de los procesos de auditoría, estandarización en la clasificación de vulnerabilidades y soporte a la toma de decisiones en ciberseguridad.