El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios
en la forma en que gestiona las vulnerabilidades y exposiciones de
ciberseguridad (CVE) registradas en su Base de Datos Nacional de
Vulnerabilidades (NVD). Debido al aumento exponencial en el número de CVE
reportadas, solo priorizará aquellas que cumplan con ciertas condiciones.
«Se priorizarán únicamente las vulnerabilidades de alto
impacto. Las CVE que no cumplan con estos criterios seguirán figurando
en la NVD, pero el NIST no las priorizará automáticamente. Este cambio se
debe al
incremento del 263%
en el número de CVE reportadas entre 2020 y 2025. No prevemos que esta
tendencia disminuya a corto plazo»,
dijeron.
Los criterios de priorización establecidos por el NIST, que
entraron en vigor el 15 de abril de 2026, son los siguientes:
-
CVE que aparecen en el catálogo de
Vulnerabilidades Explotadas Conocidas (KEV)
de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.
(CISA). -
CVE para software utilizado en el gobierno federal. CVE para
software crítico
según la definición de la Orden Ejecutiva 14028: esto incluye software
diseñado para ejecutarse con privilegios elevados o gestionados, con acceso
privilegiado a recursos de red o informáticos, que controla el acceso a
datos o tecnología operativa, y que opera fuera de los límites de confianza
habituales con acceso elevado.
Cualquier CVE que no cumpla con estos umbrales se marcará como «No
programada». El objetivo, según el NIST, es centrarse en las CVE con el máximo potencial
de impacto generalizado.
«Si bien las CVE que no cumplen con estos criterios pueden tener un impacto
significativo en los sistemas afectados, generalmente no presentan el mismo
nivel de riesgo sistémico que las de las categorías priorizadas», añadió.
El NIST indicó que las CVE presentadas durante los primeros tres meses de 2026
son casi un tercio superiores a las del año anterior, y que está trabajando
más rápido que nunca para enriquecer las presentaciones. También informó que
enriqueció casi 42.000 CVE en 2025, un 45% más que en cualquier año
anterior.
También se han implementado cambios en otros aspectos de las operaciones de
NVD. Estos incluyen:
-
El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad
independiente para una CVE cuando la Autoridad de Numeración de CVE ya haya
proporcionado una. -
Una CVE modificada solo se volverá a analizar si tiene un impacto
significativo en los datos de enriquecimiento. Los usuarios pueden solicitar
que se vuelvan a analizar CVE específicas enviando un correo electrónico a
la misma dirección mencionada anteriormente.
Todas las CVE no enriquecidas actualmente en la lista de espera con una fecha
de publicación en NVD anterior al 1 de marzo de 2026 se trasladarán a la
categoría «No programada». Esto no se aplica a las CVE que ya se encuentran en
el catálogo KEV. El NIST ha actualizado las
etiquetas y descripciones del estado de las CVE, así como el panel de control de NVD, para reflejar con precisión el estado
de todas las CVE y otras estadísticas en tiempo real.
«El anuncio del NIST no resulta una gran sorpresa, dado que ya habían
manifestado su intención de adoptar un modelo de priorización basado en el
riesgo para el enriquecimiento de CVE», declaró Caitlin Condon, vicepresidenta de investigación de seguridad en
VulnCheck.
«Como aspecto positivo, el NIST está estableciendo de forma clara y pública
las expectativas para la comunidad ante el enorme y creciente aumento de
nuevas vulnerabilidades. Por otro lado, una parte significativa de las
vulnerabilidades ahora parece no tener una vía clara para su enriquecimiento
para las organizaciones que dependen del NIST como su fuente autorizada (o
única) de datos de enriquecimiento de CVE».
David Lindner, director de seguridad de la información de Contrast Security,
afirmó que la decisión del NIST de priorizar únicamente las vulnerabilidades
de alto impacto marca el fin de una era en la que los responsables de la
seguridad podían utilizar una única base de datos gubernamental para evaluar
los riesgos, obligando a las organizaciones a adoptar un enfoque proactivo de
gestión de riesgos basado en la inteligencia sobre amenazas.
«Los responsables de la seguridad modernos deben ir más allá del ruido del
volumen total de CVE y, en cambio, centrar sus limitados recursos en la
lista CISA KEV y las métricas de explotabilidad», declaró Lindner.
Cómo los equipos de ciberseguridad pueden adaptarse a la menor cantidad de
datos NVD
Mientras tanto, los equipos de ciberseguridad deberán buscar soluciones para
compensar la pérdida de datos de enriquecimiento, según Shane Fry, director de
tecnología de RunSafe Security.
«Mythos de Anthropic pone de manifiesto la razón por la que el NIST está
tomando esta medida»,
afirma Fry.
«Ya han experimentado un aumento considerable en las notificaciones de CVE
durante el último año y no han podido gestionarlas. Mythos y otras
herramientas para la detección de vulnerabilidades asistida por IA solo
incrementarán el volumen de vulnerabilidades divulgadas. Es un problema del
que el sector es consciente desde hace tiempo».
Por lo tanto, sin la capacidad de gestionar el enorme volumen de CVE, los
equipos de ciberseguridad deben reorientarse, añade Fry.
«El camino a seguir deberá centrarse en integrar defensas en el propio
software para prevenir la explotación de errores y vulnerabilidades de día
cero incluso antes de que haya parches disponibles o se divulgue la
vulnerabilidad», aconseja.
Brooks afirma que los equipos de ciberseguridad tendrán que ser más proactivos
en la búsqueda de información sobre vulnerabilidades.
«Las CVE tienen un valor limitado. No siempre es fácil identificar los
productos en un entorno de usuario final que podrían verse afectados por una
CVE. Esto obliga a los usuarios finales a contactar con el fabricante del
producto para obtener una respuesta definitiva a la pregunta: ‘¿Mi producto
está afectado?'»
El experto del sector, Adam Shostack, recomienda que, tras el anuncio del
NIST, las organizaciones aceleren considerablemente la aplicación de parches.
En febrero, Shostack publicó una
descripción detallada
de cómo lograrlo, junto con directrices para reducir al máximo las zonas de
riesgo que podrían verse afectadas por posibles vulnerabilidades.
Según Brooks, quien trabaja en una iniciativa similar con el sector energético
estadounidense, podría ser útil que la comunidad de ciberseguridad incorporara
estándares de notificación de vulnerabilidades en los contratos de
adquisición. Espera que esto sirva de modelo para la ciberseguridad.
Fuente: NIST