La Agencia de Seguridad de Infraestructura y Ciberseguridad ordenó el miércoles a las agencias federales que prioricen las vulnerabilidades basándose en cuatro criterios, como parte de la iniciativa para “parchear de manera más inteligente, no más difícil”.

Las agencias federales deberían enfatizar los parches para las vulnerabilidades que afectan un activo expuesto públicamente, permitir que un atacante automatice completamente la explotación, darles a los atacantes la capacidad de tomar el control de un sistema o relacionarse con evidencia de explotación activa en el mundo real, declaró CISA.

El director interino de CISA, Nick Andersen, anticipó el martes la directiva operativa vinculante (BOD), enmarcándola como un replanteamiento de la gestión de vulnerabilidades de manera más amplia.

«Esta Directiva proporciona definiciones, cronogramas y criterios claros que mejoran la transparencia, la previsibilidad y la planificación de recursos de las agencias para ejecutar una remediación de vulnerabilidades más efectiva», dijo Andersen en un comunicado. «CISA lidera y colabora con agencias civiles federales para adelantarse a nuestros adversarios a medida que cambian las tácticas, las tecnologías y las vulnerabilidades».

DBO 26-04 establece cronogramas sobre la rapidez con la que las agencias deben solucionar una vulnerabilidad en función de cuántos de los cuatro criterios cumple. Si cumple con los cuatro, por ejemplo, las agencias deben arreglarlo en un plazo de tres días y realizar una evaluación. “triaje forense” para evaluar si sus sistemas estaban comprometidos.

En términos más generales, las agencias deben actualizar inmediatamente sus políticas de gestión de vulnerabilidades, incluido el establecimiento de un proceso para la corrección continua de vulnerabilidades conocidas y explotadas (KEV) en la lista de «parches obligatorios» de CISA. Dentro de los 60 días, las agencias deben actualizar sus procesos para remediar las vulnerabilidades comunes, y dentro de los 180 días, las agencias deben cumplir con los cronogramas de remediación de la orden.

La directiva está motivada en parte por cómo la inteligencia artificial está cambiando la ventana del descubrimiento de vulnerabilidades a la militarización, y CISA dijo que refleja las prioridades de una orden ejecutiva sobre IA que el presidente Donald Trump firmó la semana pasada.

Los BOD no son obligatorios para nadie fuera de las agencias federales, pero CISA alienta al sector privado a adoptarlos. Los funcionarios de CISA dijeron en un publicación de blog sobre la necesidad de “parchear de manera más inteligente, no más difícil” que “los defensores ya están luchando por mantenerse al día”.

«La inteligencia artificial está ayudando tanto a los investigadores como a los adversarios a identificar fallas en el software, aumentando enormemente el ritmo al que se descubren nuevas vulnerabilidades», escribieron Chris Butera, subdirector ejecutivo interino de ciberseguridad, y Jonathan Spring, asesor técnico senior. «Según el Informe de investigaciones de violaciones de datos de 2026 de Verizon, solo el 26% de las vulnerabilidades en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA fueron remediadas completamente por las organizaciones en 2025, una caída con respecto al 38% del año anterior. El tiempo medio para la resolución completa aumentó a 43 días».