El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en su Base de datos nacional de vulnerabilidades (NVD), afirmando que solo enriquecerá aquellas que cumplan ciertas condiciones debido a una explosión en las presentaciones de CVE.

«Los CVE que no cumplan esos criterios seguirán figurando en el NVD, pero no se incluirán automáticamente enriquecido por NIST,» él dicho. «Este cambio está impulsado por un aumento en las presentaciones de CVE, que aumentaron un 263 % entre 2020 y 2025. No esperamos que esta tendencia disminuya pronto».

Los criterios de priorización descritos por el NIST, que entraron en vigor el 15 de abril de 2026, son los siguientes:

• CVE que aparecen en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
• CVE para software utilizado dentro del gobierno federal.
• CVE para software crítico según lo define la Orden Ejecutiva 14028: esto incluye software que está diseñado para ejecutarse con privilegios elevados o privilegios administrados, tiene acceso privilegiado a redes o recursos informáticos, controla el acceso a datos o tecnología operativa y opera fuera de los límites de confianza normales con acceso elevado.

Cualquier envío de CVE que no cumpla con estos umbrales se marcará como «No programado». La idea, dijo el NIST, es centrarse en CVE que tengan el máximo potencial de impacto generalizado.

«Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas», añadió.

El NIST dijo que las presentaciones de CVE durante los primeros tres meses de 2026 son casi un tercio más altas que el año pasado, y está trabajando más rápido que nunca para enriquecer las presentaciones. También dijo que enriqueció casi 42.000 CVE en 2025, un 45% más que cualquier año anterior.

En los casos en los que un CVE de alto impacto se haya clasificado como no programado, los usuarios tienen la opción de solicitar enriquecimiento enviando un correo electrónico a «nvd@nist[.]gov.»Se espera que el NIST revise esas solicitudes y programe el enriquecimiento de los CVE según corresponda.

También se han instituido cambios para varios otros aspectos de las operaciones de NVD. Estos incluyen –

• El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad separada para un CVE cuando la Autoridad de Numeración de CVE ya haya proporcionado una puntuación de gravedad.
• Un CVE modificado se volverá a analizar sólo si «afecta materialmente» los datos de enriquecimiento. Los usuarios pueden solicitar que se vuelvan a analizar CVE específicos enviando un correo electrónico a la misma dirección indicada anteriormente.
• Todos los CVE no enriquecidos actualmente en cartera con una fecha de publicación de NVD anterior al 1 de marzo de 2026 se trasladarán a la categoría «No programado». Esto no se aplica a los CVE que ya están en el catálogo de KEV.
• NIST ha actualizado el Etiquetas y descripciones de estado CVEasí como el Panel de control NVDpara reflejar con precisión el estado de todos los CVE y otras estadísticas en tiempo real.

«El anuncio del NIST no es una gran sorpresa, dado que previamente han telegrafiado su intención de pasar a un modelo de priorización ‘basado en riesgos’ para el enriquecimiento de CVE», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado compartido con The Hacker News.

«En el lado positivo, el NIST está estableciendo clara y públicamente expectativas para la comunidad en medio de un aumento enorme y creciente de nuevas vulnerabilidades. Por otro lado, una parte significativa de las vulnerabilidades ahora parece no tener un camino claro hacia el enriquecimiento para las organizaciones que dependen del NIST como su fuente autorizada (o única) de datos de enriquecimiento CVE».

Los datos de la empresa de ciberseguridad muestran que todavía quedan aproximadamente 10.000 vulnerabilidades a partir de 2025 sin puntuación CVSS. Se estima que el NIST ha enriquecido 14.000 vulnerabilidades ‘CVE-2025’, lo que representa aproximadamente el 32 % de la población CVE de 2025.

«Este anuncio subraya lo que ya sabemos: ya no vivimos en un mundo donde el enriquecimiento manual de nuevas vulnerabilidades es una estrategia factible o efectiva», dijo Condon.

«Incluso sin que el descubrimiento de vulnerabilidades impulsado por IA acelere el volumen de CVE y los desafíos de validación, el clima de amenazas actual exige inequívocamente enfoques distribuidos y a velocidad de máquina para la identificación y el enriquecimiento de vulnerabilidades, junto con una perspectiva genuinamente global sobre el riesgo que reconozca la naturaleza interconectada e interdependiente del ecosistema de software mundial y los atacantes que lo atacan. Después de todo, lo que no priorizamos para nosotros mismos, los adversarios lo priorizarán para nosotros».

David Lindner, director de seguridad de la información de Contrast Security, dijo que la decisión del NIST de priorizar solo las vulnerabilidades de alto impacto marca el final de una era en la que los defensores podrían aprovechar una única base de datos administrada por el gobierno para evaluar los riesgos de seguridad, lo que obligaría a las organizaciones a adoptar un enfoque proactivo para la gestión de riesgos impulsado por la inteligencia de amenazas.

«Los defensores modernos deben ir más allá del ruido del volumen total de CVE y, en cambio, centrar sus recursos limitados en la lista CISA KEV y las métricas de explotabilidad», dijo Lindner.

«Si bien esta transición puede alterar los flujos de trabajo de auditoría heredados, en última instancia hace que la industria madure al exigir que prioricemos la exposición real sobre la gravedad teórica. Depender de un subconjunto curado de datos procesables es mucho más efectivo para la resiliencia nacional que mantener un archivo completo pero inmanejable de cada error menor».

OX Seguridad recientemente analizó 216 millones de hallazgos de seguridad en 250 organizaciones durante un período de 90 días. La conclusión principal: si bien el volumen de alertas brutas creció un 52 % año tras año, el riesgo crítico priorizado creció casi un 400 %.

El aumento del desarrollo asistido por IA está creando una «brecha de velocidad» en la que la densidad de vulnerabilidades de alto impacto aumenta más rápido que los flujos de trabajo de remediación. La proporción de hallazgos críticos y alertas sin procesar casi se triplicó, pasando del 0,035% al ​​0,092%.

Hallazgos clave del análisis de 2026:

• CVSS versus contexto empresarial: Las puntuaciones de gravedad técnica ya no son el principal factor de riesgo. Los factores de elevación más comunes fueron Alta prioridad empresarial (27,76%) y Procesamiento de IIP (22,08%). En ambientes modernos, dónde una persona vulnerable vive ahora es más importante que qué la vulnerabilidad es.
• La huella digital de la IA: Observamos una correlación directa entre la adopción de herramientas de codificación de IA y la cuadruplicación de hallazgos críticos (con un promedio de 795 por organización, frente a 202). El aumento de la velocidad del código está generando fallas más complejas y dependientes del contexto que evitan el linting básico y los escáneres heredados.
• Variación del sector: Los perfiles de riesgo no son uniformes. Seguro Las empresas mostraron la mayor densidad de hallazgos críticos (1,76%), mientras que las Automotor El sector generó el mayor volumen bruto de alertas, probablemente debido a la escala masiva de expansión de la base de código en vehículos definidos por software.

Este es el segundo año que OX realiza este análisis para comparar el estado de la seguridad de las aplicaciones.

Informe completo, que incluye metodología y puntos de referencia específicos de la industria. está disponible aquí.