SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

26 abr 2026

Segu-Info » , » NIST: "solo se priorizarán las vulnerabilidades de alto impacto". Fin de una era

NIST: "solo se priorizarán las vulnerabilidades de alto impacto". Fin de una era

26 abr 2026, 9:30:00 a.m.   Comenta primero!
  ,  

El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la forma en que gestiona las vulnerabilidades y exposiciones de ciberseguridad (CVE) registradas en su Base de Datos Nacional de Vulnerabilidades (NVD). Debido al aumento exponencial en el número de CVE reportadas, solo priorizará aquellas que cumplan con ciertas condiciones.

"Se priorizarán únicamente las vulnerabilidades de alto impacto. Las CVE que no cumplan con estos criterios seguirán figurando en la NVD, pero el NIST no las priorizará automáticamente. Este cambio se debe al incremento del 263% en el número de CVE reportadas entre 2020 y 2025. No prevemos que esta tendencia disminuya a corto plazo", dijeron.

Los criterios de priorización establecidos por el NIST, que entraron en vigor el 15 de abril de 2026, son los siguientes:

  • CVE que aparecen en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA).
  • CVE para software utilizado en el gobierno federal. CVE para software crítico según la definición de la Orden Ejecutiva 14028: esto incluye software diseñado para ejecutarse con privilegios elevados o gestionados, con acceso privilegiado a recursos de red o informáticos, que controla el acceso a datos o tecnología operativa, y que opera fuera de los límites de confianza habituales con acceso elevado.

Cualquier CVE que no cumpla con estos umbrales se marcará como "No programada". El objetivo, según el NIST, es centrarse en las CVE con el máximo potencial de impacto generalizado. "Si bien las CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que las de las categorías priorizadas", añadió.

El NIST indicó que las CVE presentadas durante los primeros tres meses de 2026 son casi un tercio superiores a las del año anterior, y que está trabajando más rápido que nunca para enriquecer las presentaciones. También informó que enriqueció casi 42.000 CVE en 2025, un 45% más que en cualquier año anterior. 

También se han implementado cambios en otros aspectos de las operaciones de NVD. Estos incluyen:

  • El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad independiente para una CVE cuando la Autoridad de Numeración de CVE ya haya proporcionado una.
  • Una CVE modificada solo se volverá a analizar si tiene un impacto significativo en los datos de enriquecimiento. Los usuarios pueden solicitar que se vuelvan a analizar CVE específicas enviando un correo electrónico a la misma dirección mencionada anteriormente.

Todas las CVE no enriquecidas actualmente en la lista de espera con una fecha de publicación en NVD anterior al 1 de marzo de 2026 se trasladarán a la categoría "No programada". Esto no se aplica a las CVE que ya se encuentran en el catálogo KEV. El NIST ha actualizado las etiquetas y descripciones del estado de las CVE, así como el panel de control de NVD, para reflejar con precisión el estado de todas las CVE y otras estadísticas en tiempo real.

"El anuncio del NIST no resulta una gran sorpresa, dado que ya habían manifestado su intención de adoptar un modelo de priorización basado en el riesgo para el enriquecimiento de CVE", declaró Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck.

"Como aspecto positivo, el NIST está estableciendo de forma clara y pública las expectativas para la comunidad ante el enorme y creciente aumento de nuevas vulnerabilidades. Por otro lado, una parte significativa de las vulnerabilidades ahora parece no tener una vía clara para su enriquecimiento para las organizaciones que dependen del NIST como su fuente autorizada (o única) de datos de enriquecimiento de CVE".

David Lindner, director de seguridad de la información de Contrast Security, afirmó que la decisión del NIST de priorizar únicamente las vulnerabilidades de alto impacto marca el fin de una era en la que los responsables de la seguridad podían utilizar una única base de datos gubernamental para evaluar los riesgos, obligando a las organizaciones a adoptar un enfoque proactivo de gestión de riesgos basado en la inteligencia sobre amenazas.

"Los responsables de la seguridad modernos deben ir más allá del ruido del volumen total de CVE y, en cambio, centrar sus limitados recursos en la lista CISA KEV y las métricas de explotabilidad", declaró Lindner.

Cómo los equipos de ciberseguridad pueden adaptarse a la menor cantidad de datos NVD

Mientras tanto, los equipos de ciberseguridad deberán buscar soluciones para compensar la pérdida de datos de enriquecimiento, según Shane Fry, director de tecnología de RunSafe Security.

"Mythos de Anthropic pone de manifiesto la razón por la que el NIST está tomando esta medida", afirma Fry. "Ya han experimentado un aumento considerable en las notificaciones de CVE durante el último año y no han podido gestionarlas. Mythos y otras herramientas para la detección de vulnerabilidades asistida por IA solo incrementarán el volumen de vulnerabilidades divulgadas. Es un problema del que el sector es consciente desde hace tiempo".

Por lo tanto, sin la capacidad de gestionar el enorme volumen de CVE, los equipos de ciberseguridad deben reorientarse, añade Fry. "El camino a seguir deberá centrarse en integrar defensas en el propio software para prevenir la explotación de errores y vulnerabilidades de día cero incluso antes de que haya parches disponibles o se divulgue la vulnerabilidad", aconseja.

Brooks afirma que los equipos de ciberseguridad tendrán que ser más proactivos en la búsqueda de información sobre vulnerabilidades. "Las CVE tienen un valor limitado. No siempre es fácil identificar los productos en un entorno de usuario final que podrían verse afectados por una CVE. Esto obliga a los usuarios finales a contactar con el fabricante del producto para obtener una respuesta definitiva a la pregunta: '¿Mi producto está afectado?'"

El experto del sector, Adam Shostack, recomienda que, tras el anuncio del NIST, las organizaciones aceleren considerablemente la aplicación de parches. En febrero, Shostack publicó una descripción detallada de cómo lograrlo, junto con directrices para reducir al máximo las zonas de riesgo que podrían verse afectadas por posibles vulnerabilidades.

Según Brooks, quien trabaja en una iniciativa similar con el sector energético estadounidense, podría ser útil que la comunidad de ciberseguridad incorporara estándares de notificación de vulnerabilidades en los contratos de adquisición. Espera que esto sirva de modelo para la ciberseguridad.

Fuente: NIST



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!