{"id":1149,"date":"2026-06-10T16:53:11","date_gmt":"2026-06-10T16:53:11","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/10\/la-directiva-cisa-ordena-a-las-agencias-priorizar-el-parche-de-vulnerabilidad-de-una-nueva-manera\/"},"modified":"2026-06-10T16:53:11","modified_gmt":"2026-06-10T16:53:11","slug":"la-directiva-cisa-ordena-a-las-agencias-priorizar-el-parche-de-vulnerabilidad-de-una-nueva-manera","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/10\/la-directiva-cisa-ordena-a-las-agencias-priorizar-el-parche-de-vulnerabilidad-de-una-nueva-manera\/","title":{"rendered":"La directiva CISA ordena a las agencias priorizar el parche de vulnerabilidad de una nueva manera"},"content":{"rendered":"
\n

La Agencia de Seguridad de Infraestructura y Ciberseguridad orden\u00f3 el mi\u00e9rcoles a las agencias federales que prioricen las vulnerabilidades bas\u00e1ndose en cuatro criterios, como parte de la iniciativa para \u201cparchear de manera m\u00e1s inteligente, no m\u00e1s dif\u00edcil\u201d.<\/p>\n

Las agencias federales deber\u00edan enfatizar los parches para las vulnerabilidades que afectan un activo expuesto p\u00fablicamente, permitir que un atacante automatice completamente la explotaci\u00f3n, darles a los atacantes la capacidad de tomar el control de un sistema o relacionarse con evidencia de explotaci\u00f3n activa en el mundo real, declar\u00f3 CISA.<\/p>\n

El director interino de CISA, Nick Andersen, anticip\u00f3 el martes la directiva operativa vinculante (BOD), enmarc\u00e1ndola como un replanteamiento de la gesti\u00f3n de vulnerabilidades de manera m\u00e1s amplia.<\/p>\n

\u00abEsta Directiva proporciona definiciones, cronogramas y criterios claros que mejoran la transparencia, la previsibilidad y la planificaci\u00f3n de recursos de las agencias para ejecutar una remediaci\u00f3n de vulnerabilidades m\u00e1s efectiva\u00bb, dijo Andersen en un comunicado. \u00abCISA lidera y colabora con agencias civiles federales para adelantarse a nuestros adversarios a medida que cambian las t\u00e1cticas, las tecnolog\u00edas y las vulnerabilidades\u00bb.<\/p>\n

DBO 26-04<\/a> establece cronogramas sobre la rapidez con la que las agencias deben solucionar una vulnerabilidad en funci\u00f3n de cu\u00e1ntos de los cuatro criterios cumple. Si cumple con los cuatro, por ejemplo, las agencias deben arreglarlo en un plazo de tres d\u00edas y realizar una evaluaci\u00f3n. \u201ctriaje forense\u201d<\/a> para evaluar si sus sistemas estaban comprometidos. <\/p>\n

En t\u00e9rminos m\u00e1s generales, las agencias deben actualizar inmediatamente sus pol\u00edticas de gesti\u00f3n de vulnerabilidades, incluido el establecimiento de un proceso para la correcci\u00f3n continua de vulnerabilidades conocidas y explotadas (KEV) en la lista de \u00abparches obligatorios\u00bb de CISA. Dentro de los 60 d\u00edas, las agencias deben actualizar sus procesos para remediar las vulnerabilidades comunes, y dentro de los 180 d\u00edas, las agencias deben cumplir con los cronogramas de remediaci\u00f3n de la orden.<\/p>\n

La directiva est\u00e1 motivada en parte por c\u00f3mo la inteligencia artificial est\u00e1 cambiando la ventana del descubrimiento de vulnerabilidades a la militarizaci\u00f3n, y CISA dijo que refleja las prioridades de una orden ejecutiva sobre IA que el presidente Donald Trump firm\u00f3 la semana pasada.<\/p>\n

Los BOD no son obligatorios para nadie fuera de las agencias federales, pero CISA alienta al sector privado a adoptarlos. Los funcionarios de CISA dijeron en un publicaci\u00f3n de blog<\/a> sobre la necesidad de \u201cparchear de manera m\u00e1s inteligente, no m\u00e1s dif\u00edcil\u201d que \u201clos defensores ya est\u00e1n luchando por mantenerse al d\u00eda\u201d.<\/p>\n

\u00abLa inteligencia artificial est\u00e1 ayudando tanto a los investigadores como a los adversarios a identificar fallas en el software, aumentando enormemente el ritmo al que se descubren nuevas vulnerabilidades\u00bb, escribieron Chris Butera, subdirector ejecutivo interino de ciberseguridad, y Jonathan Spring, asesor t\u00e9cnico senior. \u00abSeg\u00fan el Informe de investigaciones de violaciones de datos de 2026 de Verizon, solo el 26% de las vulnerabilidades en el cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV) de CISA fueron remediadas completamente por las organizaciones en 2025, una ca\u00edda con respecto al 38% del a\u00f1o anterior. El tiempo medio para la resoluci\u00f3n completa aument\u00f3 a 43 d\u00edas\u00bb.<\/p>\n