NIST limita el análisis detallado de vulnerabilidades por aumento del 263% en reportes

El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ha anunciado cambios en la forma en que gestiona las vulnerabilidades y exposiciones de ciberseguridad (CVEs). Debido a un aumento explosivo en los reportes de vulnerabilidades, el NIST solo analizará en detalle aquellos que cumplan ciertas condiciones.

¿Qué significa este cambio?

El NIST mantendrá una lista de todas las vulnerabilidades (CVEs) en su Base de Datos Nacional de Vulnerabilidades (NVD), pero solo se dedicará a enriquecer la información de aquellas que cumplan con ciertos criterios. Esto quiere decir que no todas las vulnerabilidades serán analizadas a profundidad por el NIST. Aquellas que no cumplan con los criterios serán marcadas como "No Programadas".

Este cambio se debe a un incremento del 263% en los reportes de vulnerabilidades entre 2020 y 2025, y el NIST no espera que esta tendencia disminuya pronto.

¿Qué vulnerabilidades priorizará el NIST?

El NIST priorizará las siguientes vulnerabilidades:

• CVEs que aparecen en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) de EE. UU.
• CVEs para software utilizado dentro del gobierno federal de EE. UU.
• CVEs para software crítico, según lo definido por la Orden Ejecutiva 14028. Esto incluye software que:
• Se ejecuta con privilegios elevados.
• Tiene acceso privilegiado a recursos de red o computación.
• Controla el acceso a datos o tecnología operativa.
• Opera fuera de los límites de confianza normales con acceso elevado.

¿Qué implica esto para las organizaciones y usuarios?

David Lindner, jefe de seguridad de la información de Contrast Security, señaló que la decisión del NIST marca el fin de una era en la que los defensores podían usar una única base de datos gestionada por el gobierno para evaluar los riesgos de seguridad. Esto obliga a las organizaciones a adoptar un enfoque proactivo de gestión de riesgos impulsado por la inteligencia de amenazas.

En la práctica, las empresas y usuarios deberán buscar otras fuentes de información sobre vulnerabilidades, o usar herramientas que automáticamente prioricen y evalúen las vulnerabilidades basándose en su riesgo real y potencial impacto.

¿Qué más ha cambiado?

Otros cambios incluyen:

• El NIST ya no proporcionará una puntuación de gravedad separada para una CVE si la Autoridad de Numeración de CVE ya lo ha hecho.
• Una CVE modificada solo se volverá a analizar si afecta materialmente los datos enriquecidos.
• Todas las CVE no enriquecidas actualmente en espera con una fecha de publicación NVD anterior al 1 de marzo de 2026 se moverán a la categoría "No programado". Esto no se aplica a las CVE que ya están en el catálogo KEV.