El Instituto Nacional de Estándares y Tecnología (NIST) anunció cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en la Base de datos nacional de vulnerabilidades (NVD), diciendo que debido a un fuerte aumento en las presentaciones de CVE, enriquecerá solo aquellos que cumplan con ciertos criterios.
«Los CVE que no cumplan con estos criterios seguirán apareciendo en el NVD, pero el NIST no los mejorará automáticamente», dice el informe. «Este cambio está siendo impulsado por un fuerte aumento en las solicitudes CVE, que aumentaron un 263% entre 2020 y 2025, y no vemos que esta tendencia se desacelere en el corto plazo».
Los criterios de priorización descritos por el NIST, a partir del 15 de abril de 2026, son:
Los CVE figuran en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). CVE para software utilizado dentro del gobierno federal. CVE para software crítico según se define en la Orden Ejecutiva 14028: esto incluye software que está diseñado para ejecutarse con privilegios elevados o administrados, tiene acceso privilegiado a redes o recursos informáticos, tiene acceso controlado a datos o tecnología operativa y opera fuera de los límites de confianza normales con acceso elevado.
Los envíos de CVE que no cumplen con estos umbrales se marcan como «no programados». La idea, según el NIST, es centrarse en los CVE que tienen el mayor potencial de impacto generalizado.
«Los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, pero generalmente no presentan el mismo nivel de riesgo del sistema que los CVE que están incluidos en categorías prioritarias», añadió.
El NIST dijo que la cantidad de solicitudes CVE en los primeros tres meses de 2026 aumentó casi un tercio con respecto al año pasado y está trabajando más rápido que nunca para enriquecer sus afirmaciones. También dijo que fortalecerá cerca de 42.000 CVE en 2025, un aumento del 45% respecto al año anterior.
Si un CVE de alto impacto se clasifica como no programado, los usuarios pueden solicitar enriquecimiento enviando un correo electrónico a nvd@nist(.)gov. Se espera que el NIST considere estas solicitudes y programe mejoras de CVE según sea necesario.
También se han realizado cambios en varios otros aspectos del funcionamiento de NVD. Estos incluyen –
El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad separada para un CVE si la autoridad de numeración de CVE ya proporciona una puntuación de gravedad. Los CVE modificados sólo se volverán a analizar si tienen un «impacto significativo» en los datos de enriquecimiento. Los usuarios pueden solicitar un nuevo análisis de un CVE en particular enviando un correo electrónico a la misma dirección indicada anteriormente. Todos los CVE no reforzados que se encuentran actualmente en la cartera de pedidos y tienen una fecha de publicación de NVD anterior al 1 de marzo de 2026 se trasladarán a la categoría «No programados». Esto no se aplica a los CVE que ya están en el catálogo KEV. NIST ha actualizado las etiquetas y descripciones de estado de CVE y el panel NVD para reflejar con precisión el estado y otras estadísticas de todos los CVE en tiempo real.
«Este anuncio del NIST no es una gran sorpresa, dado que el NIST ha señalado previamente su intención de pasar a un modelo de priorización ‘basado en el riesgo’ para fortalecer CVE», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado compartido con Hacker News.
«En el lado positivo, el NIST está estableciendo clara y públicamente sus expectativas para la comunidad a medida que proliferan nuevas vulnerabilidades. Por otro lado, para las organizaciones que dependen del NIST como fuente autorizada (o única) de datos de enriquecimiento CVE, parece que una porción significativa de las vulnerabilidades no tienen un camino claro hacia el enriquecimiento».
Según datos de empresas de ciberseguridad, todavía habrá aproximadamente 10.000 vulnerabilidades sin puntuación CVSS en 2025. El NIST estima que ha reforzado 14.000 vulnerabilidades “CVE-2025”, lo que representa aproximadamente el 32% de la población CVE en 2025.
«Este anuncio refuerza lo que ya sabemos: ya no vivimos en un mundo donde reforzar manualmente nuevas vulnerabilidades sea una estrategia viable o eficaz», dijo Condon.
«Incluso si el descubrimiento de vulnerabilidades impulsado por la IA no acelera los desafíos de volumen y validación de CVE, el panorama de amenazas actual exige un enfoque descentralizado y a velocidad de máquina para la identificación y el fortalecimiento de vulnerabilidades, y una perspectiva de riesgo verdaderamente global que reconozca la naturaleza interconectada e interdependiente de los ecosistemas de software en todo el mundo y los atacantes que los atacan. Después de todo, lo que no priorizamos para nosotros mismos, nuestros adversarios lo priorizarán para nosotros».
David Lindner, director de seguridad de la información de Contrast Security, dijo que la decisión del NIST de priorizar solo las vulnerabilidades de alto impacto marca el final de los días en que los defensores podían confiar en una única base de datos controlada por el gobierno para evaluar los riesgos de seguridad, lo que obligaba a las organizaciones a adoptar un enfoque proactivo para la gestión de riesgos basado en inteligencia de amenazas.
«Los defensores modernos deben ir más allá del ruido de los volúmenes totales de CVE y centrar sus recursos limitados en la lista KEV de CISA y los indicadores de explotabilidad», dijo Lindner.
«Si bien este cambio puede alterar los flujos de trabajo de auditoría tradicionales, en última instancia hará que la industria madure al exigirnos que prioricemos la exposición al mundo real sobre la seriedad teórica. Depender de un subconjunto selecto de datos procesables es mucho más efectivo para la resiliencia nacional que mantener un archivo completo pero inmanejable de cada pequeño error».
Source link
