Instituto Nacional de Estándares y Tecnología de Estados Unidos, reforma integral en la operación de la base de datos de vulnerabilidades... comenzando por fortalecer desde las "CVE de alto riesgo"

El Instituto Nacional de Estándares y Tecnología de Estados Unidos(NIST) ha realizado cambios importantes en la operación de la base de datos de vulnerabilidades del país(NVD). En adelante, ya no se realizará un análisis masivo de todas las divulgaciones de vulnerabilidades comunes recibidas(CVE), sino que se adoptará un sistema de “filtrado basado en riesgos” que priorice las vulnerabilidades con riesgos reales elevados.

Esta medida se debe a que el aumento explosivo en el volumen de CVE presentados ya no puede gestionarse con los métodos actuales. Según NIST, desde 2020 hasta 2025, la cantidad de CVE presentados creció un 263%, y en el primer trimestre de 2026, las presentaciones también aumentaron aproximadamente en un tercio respecto al mismo período del año anterior. NIST explica que, aunque en 2025 se reforzaron unas 42,000 CVE, lo que representa un aumento del 45% respecto al año anterior, esto aún no es suficiente para seguir el ritmo del crecimiento.

A partir de ahora, el análisis comenzará con las “vulnerabilidades más peligrosas”

Según la nueva norma, NIST solo dará prioridad a las CVE que cumplan con tres condiciones para un “reforzamiento completo”. Incluyen: estar en la lista de vulnerabilidades conocidas y explotadas del(CISA); afectar el software utilizado por el gobierno federal de EE. UU.; y afectar productos relacionados con la “software crítico” en la Orden Ejecutiva 14028.

En particular, para las vulnerabilidades en la lista KEV de CISA, el objetivo es completar el reforzamiento en un día laborable tras su presentación. Aunque las CVE no incluidas en esta lista seguirán registrándose en la NVD, se clasificarán como “sin fecha definida”. En estos casos, las puntuaciones de riesgo y la información del producto que los equipos de seguridad utilizan para priorizar parches no se agregarán automáticamente.

Limpieza de trabajos acumulados desde 2024

NIST también planea limpiar el trabajo acumulado desde principios de 2024. En principio, las CVE que hayan sido publicadas en la NVD pero que aún no hayan sido reforzadas antes del 1 de marzo de 2026 serán trasladadas a “sin fecha definida”. Sin embargo, las vulnerabilidades en la lista KEV no estarán incluidas en esta limpieza.

Algunos procesos también se simplificarán. Si la organización que emite el número CVE(CNA) ya proporciona una puntuación de riesgo, NIST no calculará una puntuación igual por separado. Además, para CVE ya modificadas, no se volverá a analizar cada actualización, solo cuando los cambios tengan un impacto sustancial en los datos de reforzamiento.

La inteligencia artificial se señala como la causa del aumento en los informes de vulnerabilidades

Aunque NIST no indica directamente que la(IA) sea la causa, la industria considera que la IA es uno de los factores clave que impulsan la tendencia de crecimiento en CVE. Vencent Jorjo, cofundador y CEO de la empresa de detección y respuesta a amenazas de identidad SlashID, afirmó: “El aumento en los informes de vulnerabilidades verificadas descubiertas por IA”, y “algunas análisis indican que solo el año pasado, la cantidad de vulnerabilidades reportadas se duplicó”.

Calificó este cambio de política como “una ajuste razonable, ya que las categorías más importantes seguirán siendo atendidas”. Además, predice que, con la mejora del rendimiento de los modelos de lenguaje grande(LLM), las organizaciones podrán evaluar por sí mismas la prioridad y el contexto de las vulnerabilidades según su entorno, reduciendo gradualmente la dependencia de las “CVEs reforzadas” externas.

“Ya no podemos esperar solo la puntuación CVE”

Shane Flay, director técnico de RunSafe Security, señaló que este anuncio envía una señal clara a la industria. Él afirmó: “Esto significa que la era de esperar a que se publique la puntuación CVE para responder ya terminó”.

Flay enfatizó que, dado que la visibilidad de las vulnerabilidades en sí misma es inherentemente incompleta, las empresas e instituciones no deben depender únicamente de una base de datos, sino que deben combinar varias fuentes de información sobre vulnerabilidades para tomar decisiones más precisas. Además, añadió que también deben establecer sistemas defensivos que puedan bloquear explotaciones incluso antes de que se publiquen parches o puntuaciones oficiales, asumiendo que existen vulnerabilidades desconocidas aún no divulgadas en el software.

Esta reforma se asemeja más a un cambio en la estructura del mercado que a una simple modificación administrativa. En un entorno donde las vulnerabilidades aumentan rápidamente, el método de analizar todos los proyectos con la misma profundidad ha llegado a su límite, y NIST ha optado finalmente por centrarse en la “prioridad”. En la práctica de seguridad, en el futuro será más importante evaluar rápidamente las amenazas combinando inteligencia y el estado de los activos, en lugar de esperar solo las puntuaciones de la NVD.