La agencia federal encargada de analizar las vulnerabilidades de seguridad está abrumada mientras ella y otras autoridades luchan por seguir el ritmo de una avalancha de defectos que crece cada año. El Instituto Nacional de Estándares y Tecnología anunció el miércoles que ha capitulado ante ese diluvio y redujo las prioridades para su Base de Datos Nacional de Vulnerabilidad.

NIST dijo que solo dará prioridad al análisis de CVE que aparecen en la Agencia de Seguridad de Infraestructura y Ciberseguridad. catálogo de vulnerabilidades explotadas conocidassoftware utilizado en el gobierno federal y software crítico definido en Orden Ejecutiva 14028.

El objetivo de la agencia federal con el cambio es lograr la sostenibilidad a largo plazo y estabilizar el programa NVD, que ha enfrentado desafíos anteriores, en particular una falta de financiamiento a principios de 2024 que obligó al NIST a dejar de proporcionar metadatos clave para muchas vulnerabilidades en la base de datos temporalmente.

La agencia aún no ha eliminado una acumulación de CVE no enriquecidos que se acumularon durante esa pausa y crecieron desde entonces.

El NIST dijo que analizó casi 42.000 vulnerabilidades el año pasado, y agregó que los envíos de CVE aumentaron un 263% entre 2020 y 2025. «No esperamos que esta tendencia disminuya pronto. Los envíos durante los primeros tres meses de 2026 son casi un tercio más altos que en el mismo período del año pasado», dijo la agencia en una publicación de blog anunciando el cambio.

De hecho, las vulnerabilidades están aumentando en todos los ámbitos. Por ejemplo, Microsoft abordó 165 vulnerabilidades el martes, su segundo mayor lote mensual de defectos registrado.

El NIST dijo que los CVE que no se ajusten a sus criterios más estrictos seguirán figurando en el NVD, pero no se enriquecerán automáticamente con detalles adicionales.

«Esto nos permitirá centrarnos en los CVE con mayor potencial de impacto generalizado», dijo la agencia. «Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas».

Los investigadores y cazadores de amenazas que analizan vulnerabilidades para las autoridades de numeración CVE (CNA) y los proveedores que publican sus propias evaluaciones ven el nuevo enfoque del NIST como inevitable.

«Tenían que hacer algo. El NIST estaba lamentablemente atrasado en la clasificación de CVE y probablemente nunca se habría puesto al día», dijo a CyberScoop Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro.

«No estoy seguro de si fue una tarea hercúlea o sísifo, pero de cualquier manera, estaban destinados al fracaso según su sistema anterior. Este cambio les permite priorizar su trabajo», añadió.

El nuevo enfoque del NIST afectará a la comunidad de investigación de vulnerabilidad en general, pero también pondrá a más empresas y organizaciones privadas en condiciones de ganar más autoridad a medida que los defensores busquen más fuentes alternativas.

Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, dijo anteriormente a CyberScoop que la priorización sigue siendo un problema, ya que demasiados defensores prestan atención a vulnerabilidades que no merecen su tiempo.

De las más de 40.000 vulnerabilidades recientemente publicadas que VulnCheck catalogó el año pasado, sólo el 1% de esos defectos, sólo 422, fueron explotados en estado salvaje.

El NIST también está tratando de reducir otros esfuerzos engañosos con su nuevo enfoque, apoyándose aún más en las CNA. Los CVE que se presenten con una clasificación de gravedad ya no recibirán una puntuación CVSS separada del NIST, dijo la agencia.

Si bien la agencia sigue siendo la autoridad máxima que proporciona un catálogo de evaluaciones de vulnerabilidad respaldado por el gobierno, reconoció que estos cambios afectarán a sus usuarios.

«Este enfoque basado en el riesgo es necesario para gestionar el aumento actual de presentaciones de CVE mientras trabajamos para alinear nuestros esfuerzos con las necesidades de la comunidad NVD», dijo la agencia. «Al hacer evolucionar el NVD para hacer frente a los desafíos actuales, podemos garantizar que la base de datos siga siendo una fuente de información confiable, sostenible y disponible públicamente sobre las vulnerabilidades de ciberseguridad».

Cuando Google anunció el mes pasado que estaba adelantando su propio cronograma interno para migrar a formas de cifrado resistentes a los cuánticos, inició una conversación más amplia en las comunidades de ciberseguridad y criptografía: ¿qué estaba empujando a una de las empresas tecnológicas más grandes del mundo a acelerar significativamente la adopción de protecciones poscuánticas para sus sistemas, dispositivos y datos?

En las semanas posteriores, nuevas investigaciones han dado peso a esas afirmaciones. Una investigación conjunta papel del Instituto de Tecnología de California, su startup tecnológica Oratomic y la Universidad de California concluyeron que los avances tecnológicos en matrices de átomos neutros indican que una computadora cuántica capaz de romper el cifrado clásico puede requerir tan solo 10.000 bits cuánticos (o qubits), no millones como se pensaba anteriormente.

Qian Xu, investigador de CalTech y coautor del artículo, dijo que los hallazgos son significativos e indican que una computadora de este tipo podría estar operativa a finales de la década.

«Durante décadas, el recuento de qubits ha sido visto como el principal obstáculo para la computación cuántica tolerante a fallos», dijo Xu en un comunicado. «Espero que nuestro trabajo ayude a cambiar esa perspectiva».

de google División de IA cuántica publicó su propio artículo de investigación casi al mismo tiempo, esbozando un disminución de veinte veces en la cantidad de qubits físicos que se cree que son necesarios para romper algunas de las formas más populares de algoritmos de cifrado de curva elíptica de 256 bits que se utilizan actualmente para proteger las criptomonedas.

“Observamos que si bien soluciones viables como [post-quantum cryptography] existen, tomará tiempo implementarlos, lo que genera una urgencia cada vez mayor para actuar”, escribieron Ryan Babbush, director de investigación y Hartmut Neven, vicepresidente de ingeniería de Google.

La decisión de Google de acelerar su cambio hacia el cifrado poscuántico refleja un consenso cada vez mayor. Durante el año pasado, CyberScoop escuchó preocupaciones similares de funcionarios gubernamentales y tecnológicos, generalmente centradas en dos amenazas relacionadas con la cuántica que enfrentan los gobiernos y las empresas en la actualidad.

Una es la capacidad de naciones extranjeras y ciberdelincuentes de recopilar datos confidenciales y cifrados hoy con la esperanza de descifrarlos más adelante con una computadora cuántica. Esta técnica de “cosechar ahora, descifrar después” es una de las principales razones por las que los defensores impulsan una adopción más rápida del cifrado poscuántico.

El segundo surge de una serie de avances notables en la computación cuántica ocurridos en los últimos dos años, muchos de ellos liderados por investigadores en China.

Andrew McLaughlin, director de operaciones de Sandbox AQ, una empresa de computación en la nube que se centra en la aplicación de tecnologías de inteligencia artificial y computación cuántica, dijo que las preocupaciones se pueden resumir en “hardware, matemáticas y China”.

Los avances en áreas como las matrices de átomos neutros han proporcionado a los científicos hardware más potente, mientras que avances en matemáticas como el del artículo de investigación de Google han encontrado formas de utilizar ese hardware de manera más eficiente.

Pero también señaló lo que describió como avances emocionantes (y preocupantes) en el campo por parte de algunos de los mayores rivales internacionales de Estados Unidos.

Beijing tiene invirtió mucho en computación cuántica, brindando a científicos de primer nivel como Pan Jianwei, profesor de la Universidad de Ciencia y Tecnología de China, los recursos y el apoyo para empujar los límites del desarrollo tecnológico y posicionar a China como líder mundial en ciencia cuántica.

A finales del año pasado, los medios estatales chinos reportado que Huanyuan 1, una computadora cuántica de 100 qubits desarrollada por investigadores de la Universidad de Wuhan en un programa de subvenciones del gobierno chino, había sido aprobada para uso comercial. Los informes afirman que ya se han procesado pedidos por valor de más de 40 millones de yuanes (o 5,6 millones de dólares) en ventas, incluso a las filiales de la empresa de telecomunicaciones nacional China Mobile y al gobierno de Pakistán.

Los expertos dicen que las computadoras cuánticas representan una amenaza potencialmente excepcional para las criptomonedas basadas en blockchain.

Nathaniel Szerezla, director de crecimiento de Naoris Protocol, una empresa que desarrolla cifrado resistente a los cuánticos para la infraestructura blockchain, dijo que el documento de Oratomic y Caltech ha «cambiado el cronograma» para la planificación en torno al cifrado cuántico, particularmente para las plataformas de criptomonedas y blockchain.

La suposición subyacente era que una computadora cuántica «tolerante a fallas» (es decir, una capaz de amenazar el cifrado clásico) requeriría millones de qubits, pero el artículo sugiere que en realidad sólo necesitaría tan solo 10.000 qubits.

«En última instancia, hemos pasado de planificar una amenaza durante dos décadas a una que se superpone con sistemas que se están implementando y financiando activamente», dijo Szerezla.

Para los activos digitales como las criptomonedas, las implicaciones son “inmediatas” porque el cifrado de clave privada que sustenta miles de millones de dólares en la cadena de bloques nunca fue diseñado para resistir ataques de una computadora cuántica.

«Migrar una cadena de bloques en vivo a estándares poscuánticos es un problema completamente diferente de actualizar un sistema centralizado», continuó Szerezla. «Se trata de libros de contabilidad inmutables, miles de millones de dólares en liquidez bloqueada y una gobernanza descentralizada que no puede exigir una actualización coordinada».

No todo el mundo cree que estemos al borde de un apocalipsis de la piratería cuántica.

En BlueSky Matthew Green, profesor de informática y experto en criptografía de la Universidad Johns Hopkins, llamado Los artículos de Google y Oratomic son un buen análisis “precautorio” del desafío a largo plazo del cifrado cuántico.

Sin embargo, expresó escepticismo en cuanto a que la computación cuántica tuviera suficientes “aplicaciones inmediatas y lucrativas” para impulsar el campo más allá de su etapa de investigación fundamental hacia aplicaciones más prácticas. También cuestionó si algunos de los algoritmos más nuevos resistentes a los cuánticos examinados por el NIST realmente resistirían a una computadora cuántica real. Fueron diseñados para proteger contra una amenaza que todavía es en gran medida teórica, y varios de los algoritmos poscuánticos inicialmente evaluados por el NIST resultaron contener vulnerabilidades que podrían ser explotadas por computadoras clásicas.

Eso, si es que realmente se llega en la próxima década. Green dijo esta semana que no está convencido de que los hacks cuánticos sean algo de qué preocuparse durante su vida, aunque reconoció que la predicción podría «perseguirlo» algún día.

Sin embargo, «apostaría enormes cantidades de dinero contra una computadora cuántica relevante para 2029 o incluso 2035», escribió.