Modelar el ciclo de vida de las vulnerabilidades y la frecuencia de explotación está en el núcleo de la evaluación de la seguridad de las redes. Los modelos de Pareto, Weibull y log-normal se han utilizado ampliamente para modelar las fechas de disponibilidad de explotación y parches, el tiempo para comprometer un sistema, el tiempo entre compromisos y los volúmenes de explotación. Se analizan muestras aleatorias (muestreo sistemático y muestreo aleatorio simple) del tiempo desde la publicación hasta la actualización de las ciber-vulnerabilidades divulgadas en 2021 y 2022 para evaluar la bondad del ajuste de las leyes tradicionales de Pareto y log-normal. Dado que la censura y el adelgazamiento ocurren casi con seguridad, se investigan otras distribuciones de cola pesada en el dominio de atracción de leyes de valor extremo o de valor extremo geo para encontrar alternativas adecuadas. Las pruebas de bondad de ajuste, el criterio de información de Akaike (AIC) y la prueba de Vuong respaldan la elección estadística de log-logístico, una ley geo-max estable en el dominio de atracción del modelo de máximos de Fréchet, con ajustes hiperejponenciales y de valor extremo general como finalistas. La evidencia de que los datos provienen de una mezcla de poblaciones estiradas de manera diferente afecta los sistemas de puntuación de vulnerabilidades, específicamente el sistema de puntuación de vulnerabilidades comunes (CVSS).