# # NIST Introduce la Priorización de CVE: Cómo Esto Cambiará la Gestión de Vulnerabilidades
El Instituto Nacional de Estándares y Tecnología (NIST) ha pasado oficialmente a un modelo basado en riesgos para procesar vulnerabilidades. A partir del 15 de abril de 2026, solo las CVE que cumplan con estrictos criterios de prioridad recibirán un procesamiento analítico completo en la National Vulnerability Database (NVD). El resto se marcarán como «Not Planned». Esta decisión surge de un aumento del 263 % en las solicitudes de CVE entre 2020 y 2025, y la imposibilidad de mantener el nivel anterior de enriquecimiento manual de datos.
Por Qué NIST Cambió su Enfoque para Procesar CVE
El volumen de datos sobre nuevas vulnerabilidades ha alcanzado un punto crítico. En 2025, NVD registró casi 42.000 CVE, un aumento del 45 % respecto a cualquier año anterior. En los primeros tres meses de 2026, las solicitudes aumentaron otro tercio. Mientras tanto, los recursos de NIST son limitados, y la verificación y enriquecimiento manual de cada registro demandan tiempo y personal significativos.
Anteriormente, NIST buscaba proporcionar información uniforme y completa para todas las vulnerabilidades: puntuaciones CVSS, detalles técnicos y enlaces a correcciones. Ahora, el instituto reconoce que este modelo está desactualizado. El objetivo de la nueva estrategia es centrarse en las vulnerabilidades con mayor potencial de impacto generalizado en la infraestructura y la seguridad.
Criterios de Priorización: Cuáles CVE Recibirán Procesamiento
Bajo la política actualizada, el procesamiento completo en NVD está garantizado solo para las siguientes categorías de vulnerabilidades:
- Vulnerabilidades incluidas en el catálogo Known Exploited Vulnerabilities (KEV) de la U.S. Cybersecurity and Infrastructure Security Agency (CISA);
- Vulnerabilidades en software utilizado por el gobierno federal de EE. UU.;
- Vulnerabilidades en software crítico según se define en la Executive Order 14028. Este software incluye sistemas que:
- Operan con privilegios elevados o gestionados;
- Tienen acceso privilegiado a recursos de red o computación;
- Controlan el acceso a datos o tecnologías operativas;
- Funcionan más allá de los límites normales de confianza con derechos ampliados.
Todas las demás CVE recibirán automáticamente el estado «Not Planned». Esto no significa que se eliminen de la base de datos: permanecen en NVD, pero sin análisis adicional de NIST.
Cambios en los Flujos de Trabajo de NVD
Además de la priorización, NIST ha realizado varios ajustes técnicos y procedimentales:
- No más puntuaciones CVSS duplicadas: Si el CVE Program ya ha proporcionado una puntuación de severidad, NIST ya no emitirá la suya propia.
- Reanálisis solo para impactos significativos: Los cambios en CVE ya procesadas no activarán una revisión automática a menos que afecten sustancialmente los datos de procesamiento.
- Movimiento masivo de registros antiguos: Todas las CVE no procesadas publicadas antes del 1 de marzo de 2026 se han movido al estado «Not Planned», excepto las que ya están en KEV.
- Actualizaciones en la interfaz y etiquetas: El panel de NVD ahora muestra el estado de procesamiento en tiempo real para cada vulnerabilidad.
Los usuarios pueden solicitar el procesamiento de una CVE específica enviando un correo a [email protected]. Sin embargo, NIST se reserva el derecho de rechazarla si la vulnerabilidad no cumple con los criterios de riesgo.
Implicaciones para la Industria y las Prácticas de Seguridad
Este cambio marca el fin de la era de la evaluación centralizada y liderada por el gobierno de todas las vulnerabilidades. Como señala Caitlin Condon (VulnCheck): «Ya no vivimos en un mundo donde el enriquecimiento manual de nuevas vulnerabilidades es una estrategia viable».
Para las organizaciones, esto significa pasar a una gestión proactiva de riesgos:
- Integrar fuentes de datos externas (incluidas plataformas comerciales y feeds de código abierto);
- Automatizar la priorización basada en el contexto: explotación activa, inclusión en KEV y uso en su propia infraestructura;
- Alejarse de la dependencia ciega de las puntuaciones CVSS hacia el análisis de la explotabilidad real y el impacto en el negocio.
David Lindner (Contrast Security) enfatiza: «Confiar en un conjunto cuidadosamente curado de datos valiosos es mucho más efectivo para la resiliencia nacional que mantener un archivo exhaustivo pero inmanejable de cada falla menor».
Lecciones Clave
- NIST ya no procesa todas las CVE, solo aquellas que cumplen con criterios de alto riesgo.
- Las vulnerabilidades no prioritarias permanecen en NVD, pero sin puntuaciones CVSS ni análisis adicional de NIST.
- Las organizaciones necesitan reformar sus procesos de gestión de vulnerabilidades, enfatizando el contexto y las amenazas reales.
- Las solicitudes de procesamiento de CVE no prioritarias son posibles, pero no garantizadas de ser atendidas por NIST.
- La tendencia apunta a la descentralización y especialización en el ecosistema de ciberseguridad.
— Editorial Team
Aún no hay comentarios.