El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en su Base de datos nacional de vulnerabilidades (NVD), afirmando que solo enriquecerá aquellas que cumplan ciertas condiciones debido a una explosión en las presentaciones de CVE.

«Los CVE que no cumplan esos criterios seguirán figurando en el NVD, pero no se incluirán automáticamente enriquecido por NIST,» él dicho. «Este cambio está impulsado por un aumento en las presentaciones de CVE, que aumentaron un 263 % entre 2020 y 2025. No esperamos que esta tendencia disminuya pronto».

Los criterios de priorización descritos por el NIST, que entraron en vigor el 15 de abril de 2026, son los siguientes:

• CVE que aparecen en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
• CVE para software utilizado dentro del gobierno federal.
• CVE para software crítico según lo define la Orden Ejecutiva 14028: esto incluye software que está diseñado para ejecutarse con privilegios elevados o privilegios administrados, tiene acceso privilegiado a redes o recursos informáticos, controla el acceso a datos o tecnología operativa y opera fuera de los límites de confianza normales con acceso elevado.

Cualquier envío de CVE que no cumpla con estos umbrales se marcará como «No programado». La idea, dijo el NIST, es centrarse en CVE que tengan el máximo potencial de impacto generalizado.

«Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas», añadió.

El NIST dijo que las presentaciones de CVE durante los primeros tres meses de 2026 son casi un tercio más altas que el año pasado, y está trabajando más rápido que nunca para enriquecer las presentaciones. También dijo que enriqueció casi 42.000 CVE en 2025, un 45% más que cualquier año anterior.

En los casos en los que un CVE de alto impacto se haya clasificado como no programado, los usuarios tienen la opción de solicitar enriquecimiento enviando un correo electrónico a «nvd@nist[.]gov.»Se espera que el NIST revise esas solicitudes y programe el enriquecimiento de los CVE según corresponda.

También se han instituido cambios para varios otros aspectos de las operaciones de NVD. Estos incluyen –

• El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad separada para un CVE cuando la Autoridad de Numeración de CVE ya haya proporcionado una puntuación de gravedad.
• Un CVE modificado se volverá a analizar sólo si «afecta materialmente» los datos de enriquecimiento. Los usuarios pueden solicitar que se vuelvan a analizar CVE específicos enviando un correo electrónico a la misma dirección indicada anteriormente.
• Todos los CVE no enriquecidos actualmente en cartera con una fecha de publicación de NVD anterior al 1 de marzo de 2026 se trasladarán a la categoría «No programado». Esto no se aplica a los CVE que ya están en el catálogo de KEV.
• NIST ha actualizado el Etiquetas y descripciones de estado CVEasí como el Panel de control NVDpara reflejar con precisión el estado de todos los CVE y otras estadísticas en tiempo real.

«El anuncio del NIST no es una gran sorpresa, dado que previamente han telegrafiado su intención de pasar a un modelo de priorización ‘basado en riesgos’ para el enriquecimiento de CVE», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado compartido con The Hacker News.

«En el lado positivo, el NIST está estableciendo clara y públicamente expectativas para la comunidad en medio de un aumento enorme y creciente de nuevas vulnerabilidades. Por otro lado, una parte significativa de las vulnerabilidades ahora parece no tener un camino claro hacia el enriquecimiento para las organizaciones que dependen del NIST como su fuente autorizada (o única) de datos de enriquecimiento CVE».

Los datos de la empresa de ciberseguridad muestran que todavía quedan aproximadamente 10.000 vulnerabilidades a partir de 2025 sin puntuación CVSS. Se estima que el NIST ha enriquecido 14.000 vulnerabilidades ‘CVE-2025’, lo que representa aproximadamente el 32 % de la población CVE de 2025.

«Este anuncio subraya lo que ya sabemos: ya no vivimos en un mundo donde el enriquecimiento manual de nuevas vulnerabilidades es una estrategia factible o efectiva», dijo Condon.

«Incluso sin que el descubrimiento de vulnerabilidades impulsado por IA acelere el volumen de CVE y los desafíos de validación, el clima de amenazas actual exige inequívocamente enfoques distribuidos y a velocidad de máquina para la identificación y el enriquecimiento de vulnerabilidades, junto con una perspectiva genuinamente global sobre el riesgo que reconozca la naturaleza interconectada e interdependiente del ecosistema de software mundial y los atacantes que lo atacan. Después de todo, lo que no priorizamos para nosotros mismos, los adversarios lo priorizarán para nosotros».

David Lindner, director de seguridad de la información de Contrast Security, dijo que la decisión del NIST de priorizar solo las vulnerabilidades de alto impacto marca el final de una era en la que los defensores podrían aprovechar una única base de datos administrada por el gobierno para evaluar los riesgos de seguridad, lo que obligaría a las organizaciones a adoptar un enfoque proactivo para la gestión de riesgos impulsado por la inteligencia de amenazas.

«Los defensores modernos deben ir más allá del ruido del volumen total de CVE y, en cambio, centrar sus recursos limitados en la lista CISA KEV y las métricas de explotabilidad», dijo Lindner.

«Si bien esta transición puede alterar los flujos de trabajo de auditoría heredados, en última instancia hace que la industria madure al exigir que prioricemos la exposición real sobre la gravedad teórica. Depender de un subconjunto curado de datos procesables es mucho más efectivo para la resiliencia nacional que mantener un archivo completo pero inmanejable de cada error menor».

Una operación internacional de aplicación de la ley derribó 53 dominios y arrestó a cuatro personas en relación con operaciones comerciales de denegación de servicio distribuido (DDoS) que fueron utilizadas por más de 75.000 ciberdelincuentes.

El esfuerzo en curso, denominado Operación Apagadointerrumpió el acceso a los servicios de alquiler de DDoS, derribó la infraestructura técnica que los respaldaba y obtuvo acceso a bases de datos que contenían más de 3 millones de cuentas de usuarios criminales. Las autoridades también están enviando correos electrónicos y cartas de advertencia a los usuarios criminales identificados, y se han emitido 25 órdenes de registro.

En la acción participaron nada menos que 21 países: Australia, Austria, Bélgica, Brasil, Bulgaria, Dinamarca, Estonia, Finlandia, Alemania, Japón, Letonia, Lituania, Luxemburgo, Países Bajos, Polonia, Portugal, Suecia, Tailandia, Reino Unido y Estados Unidos.

«Los servicios de arranque permiten a los usuarios lanzar ataques DDoS contra sitios web, servidores o redes específicos», Europol dicho en un comunicado. «Su infraestructura se compone de servidores, bases de datos y otros componentes técnicos que hacen posibles las actividades de alquiler de DDoS. Al apoderarse de estas infraestructuras, las autoridades pudieron obstaculizar estas operaciones criminales y evitar mayores daños a las víctimas».

La agencia describió el alquiler de DDoS como una de las tendencias más prolíficas y de fácil acceso en materia de delitos cibernéticos, ya que permite que incluso personas con poco o ningún conocimiento técnico ejecuten ataques maliciosos a escala e inflijan daños significativos a las empresas.

Europol también señaló que la actividad DDoS puede provenir de actores de amenazas capacitados y con buenos recursos, que podrían confiar en dichos servicios para personalizar u optimizar sus actividades ilícitas. Los ataques DDoS suelen tener como objetivo varios servicios basados ​​en la web, y las motivaciones detrás de ellos son tan variadas como amplias.

Esto va desde la simple curiosidad y la ganancia financiera mediante la extorsión hasta el hacktivismo impulsado por razones ideológicas y la interrupción de los servicios de los competidores. Se ha descubierto que algunos operadores de estos servicios enmascaran sus verdaderos motivos y escapan al escrutinio de las autoridades disfrazándolos de herramientas de pruebas de estrés.

Este desarrollo marca el último paso dado por las autoridades para desmantelar las infraestructuras criminales de alquiler de DDoS en todo el mundo como parte de PowerOFF. En agosto de 2025, el gobierno de EE. UU. anunció la eliminación de una botnet DDoS llamada RapperBot que se utilizaba para llevar a cabo ataques disruptivos a gran escala dirigidos a víctimas en más de 80 países desde al menos 2021.

Una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Para ello, la agencia ha agregado la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 30 de abril de 2026.

CVE-2026-34197 se ha descrito como un caso de validación de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código arbitrario en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido a plena vista» durante 13 años.

«Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.

«La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».

la vulnerabilidad impactos las siguientes versiones –

• Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) anterior a 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3

Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un informe publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.

Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antes de que puedan ser parcheados.

Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como arma una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar un malware de Linux llamado DripDropper.

«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que potencialmente permite la filtración de datos, la interrupción del servicio o el movimiento lateral», SAFE Security dicho. «Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».