Un informe del inspector general del Departamento de Comercio publicado el jueves encontró que el Instituto Nacional de Estándares y Tecnología ha administrado mal una base de datos crítica de vulnerabilidades de ciberseguridad mediante una planificación deficiente, operaciones ineficientes, programas federales duplicados y falta de comunicación con los usuarios.

El Base de datos nacional de vulnerabilidadmantenido por NIST desde 2005, recopila información sobre fallas de seguridad informática y agrega detalles como clasificaciones de gravedad y productos afectados. Esta información ayuda a los profesionales de la ciberseguridad del gobierno y del sector privado a decidir qué problemas de seguridad solucionar primero. En febrero de 2024, el contrato de enriquecimiento de la base de datos caducó, lo que generó una acumulación de fallas de seguridad no procesadas que solo ha empeorado.

El informe identificó la falta de planificación estratégica como un problema central. Los líderes del NIST admitieron que no tenían un plan a largo plazo para eliminar el trabajo atrasado, incluso cuando pasó de alrededor de 13.000 fallas de seguridad sin procesar en junio de 2024 a más de 27.000 a fines de 2025.

El NIST prometió públicamente en mayo de 2024 que eliminaría el trabajo atrasado para septiembre de 2024, estableciendo el objetivo de procesar 6200 fallas de seguridad por mes, pero la agencia nunca había procesado más de 5000 por mes en el pasado.

El informe encontró importantes ineficiencias en la forma en que el NIST enriquece la información adjunta a las vulnerabilidades.

Los analistas dedican aproximadamente el 80% de su tiempo a dos tareas: calcular puntuaciones de gravedad e identificar qué productos se ven afectados. La oficina del inspector general probó las puntuaciones de gravedad del NIST y descubrió que coincidían con los evaluadores independientes sólo el 12% de las veces. Además, casi el 80% de las presentaciones de vulnerabilidades ya incluyen estas puntuaciones de las empresas responsables del software. Esto significa que el NIST está haciendo un trabajo que a menudo es innecesario e inconsistente. El inspector general propuso recortar el trabajo de cálculo de la puntuación de gravedad durante los próximos dos años, estimando que el NIST ahorraría 800.000 dólares que podría redirigir a otras áreas del programa.

Otro problema de eficiencia destacado es el proceso manual del programa para identificar los productos afectados. Crear estos identificadores de productos estandarizados lleva mucho tiempo y evita que los analistas eliminen el trabajo atrasado. El NIST está desarrollando herramientas para acelerar esto, pero sigue siendo una desaceleración importante.

El informe también encontró una duplicación importante entre dos programas de seguridad federales. Cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad lanzó su propia Programa de vulneración en mayo de 2024no hubo coordinación entre las agencias, lo que llevó a que los analistas del NIST a veces repitieran el trabajo que los analistas de CISA ya habían completado. Además, las dos agencias incluso contrataron al mismo contratista para partes del mismo trabajo. El inspector general encontró al menos 21.000 casos de trabajo duplicado entre mayo de 2024 y diciembre de 2025, desperdiciando aproximadamente 200.000 dólares en el proceso.

Las fallas de comunicación han empeorado los problemas. En abril de 2024, más de 50 profesionales de la ciberseguridad envió una carta abierta al Congreso quejándose de que el NIST no estaba siendo transparente sobre los problemas de la base de datos. Ni el NIST ni el Departamento de Comercio respondieron a la carta.

Los programas de bases de datos de vulnerabilidades administrados por el gobierno federal han sido un punto de discordia para la comunidad de ciberseguridad durante los últimos dos años. A principios de este año, NIST anunció que había reducido sus prioridades para NVD, centrándose únicamente en las vulnerabilidades en el catálogo KEV de CISA, el software utilizado por el gobierno federal y el software crítico identificado en Orden Ejecutiva 14028.

Un programa similar que sirve como catálogo de fallas de seguridad conocidas, la lista de Vulnerabilidades y Exposiciones Comunes (CVE), ha tenido problemas similares en los últimos años. Ese programa, dirigido por CISA, escapó por poco de una desaparición repentina cuando una extensión de contrato de último momento de 11 meses evitó su cierre en abril de 2025. Desde entonces, se han puesto en marcha varias bases de datos competidoras de organizaciones sin fines de lucro europeas y otras entidades privadas para coordinar mejor cómo se rastrean, divulgan y, en última instancia, reparan las vulnerabilidades.

El inspector general recomendó que el NIST cree un plan a largo plazo para la base de datos, establezca un plan para eliminar el trabajo atrasado con objetivos específicos, reduzca el trabajo innecesario de puntuación de gravedad, facilite que las empresas externas ayuden a identificar los productos afectados, comience inmediatamente a trabajar con CISA para dejar de duplicar el trabajo y desarrolle un plan para comunicarse mejor con los usuarios.

El NIST estuvo de acuerdo con las seis recomendaciones y dijo que está trabajando en ellas. La agencia debe presentar un plan que muestre cómo abordará estos problemas a finales de julio.

Puedes leer el informe completo aquí.