{"id":570,"date":"2026-04-15T22:28:09","date_gmt":"2026-04-15T22:28:09","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/15\/nist-reduce-el-alcance-del-analisis-cve-para-mantenerse-al-dia-con-la-creciente-ola-de-vulnerabilidades\/"},"modified":"2026-04-15T22:28:09","modified_gmt":"2026-04-15T22:28:09","slug":"nist-reduce-el-alcance-del-analisis-cve-para-mantenerse-al-dia-con-la-creciente-ola-de-vulnerabilidades","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/15\/nist-reduce-el-alcance-del-analisis-cve-para-mantenerse-al-dia-con-la-creciente-ola-de-vulnerabilidades\/","title":{"rendered":"NIST reduce el alcance del an\u00e1lisis CVE para mantenerse al d\u00eda con la creciente ola de vulnerabilidades"},"content":{"rendered":"
\n

La agencia federal encargada de analizar las vulnerabilidades de seguridad est\u00e1 abrumada mientras ella y otras autoridades luchan por seguir el ritmo de una avalancha de defectos que crece cada a\u00f1o. El Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda anunci\u00f3 el mi\u00e9rcoles que ha capitulado ante ese diluvio y redujo las prioridades<\/a> para su Base de Datos Nacional de Vulnerabilidad.<\/p>\n

NIST dijo que solo dar\u00e1 prioridad al an\u00e1lisis de CVE que aparecen en la Agencia de Seguridad de Infraestructura y Ciberseguridad. cat\u00e1logo de vulnerabilidades explotadas conocidas<\/a>software utilizado en el gobierno federal y software cr\u00edtico definido en Orden Ejecutiva 14028<\/a>.<\/p>\n

El objetivo de la agencia federal con el cambio es lograr la sostenibilidad a largo plazo y estabilizar el programa NVD, que ha enfrentado desaf\u00edos anteriores, en particular una falta de financiamiento a principios de 2024 que oblig\u00f3 al NIST a dejar de proporcionar metadatos clave para muchas vulnerabilidades en la base de datos temporalmente.<\/p>\n

La agencia a\u00fan no ha eliminado una acumulaci\u00f3n de CVE no enriquecidos que se acumularon durante esa pausa y crecieron desde entonces. <\/p>\n

El NIST dijo que analiz\u00f3 casi 42.000 vulnerabilidades el a\u00f1o pasado, y agreg\u00f3 que los env\u00edos de CVE aumentaron un 263% entre 2020 y 2025. \u00abNo esperamos que esta tendencia disminuya pronto. Los env\u00edos durante los primeros tres meses de 2026 son casi un tercio m\u00e1s altos que en el mismo per\u00edodo del a\u00f1o pasado\u00bb, dijo la agencia en una publicaci\u00f3n de blog anunciando el cambio. <\/p>\n

De hecho, las vulnerabilidades est\u00e1n aumentando en todos los \u00e1mbitos. Por ejemplo, Microsoft abord\u00f3 165 vulnerabilidades el martes, su segundo mayor lote mensual de defectos registrado.<\/p>\n

El NIST dijo que los CVE que no se ajusten a sus criterios m\u00e1s estrictos seguir\u00e1n figurando en el NVD, pero no se enriquecer\u00e1n autom\u00e1ticamente con detalles adicionales. <\/p>\n

\u00abEsto nos permitir\u00e1 centrarnos en los CVE con mayor potencial de impacto generalizado\u00bb, dijo la agencia. \u00abSi bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sist\u00e9mico que aquellos en las categor\u00edas priorizadas\u00bb.<\/p>\n

Los investigadores y cazadores de amenazas que analizan vulnerabilidades para las autoridades de numeraci\u00f3n CVE (CNA) y los proveedores que publican sus propias evaluaciones ven el nuevo enfoque del NIST como inevitable.<\/p>\n

\u00abTen\u00edan que hacer algo. El NIST estaba lamentablemente atrasado en la clasificaci\u00f3n de CVE y probablemente nunca se habr\u00eda puesto al d\u00eda\u00bb, dijo a CyberScoop Dustin Childs, jefe de concientizaci\u00f3n sobre amenazas en la Iniciativa D\u00eda Cero de Trend Micro.<\/p>\n

\u00abNo estoy seguro de si fue una tarea herc\u00falea o s\u00edsifo, pero de cualquier manera, estaban destinados al fracaso seg\u00fan su sistema anterior. Este cambio les permite priorizar su trabajo\u00bb, a\u00f1adi\u00f3.<\/p>\n

El nuevo enfoque del NIST afectar\u00e1 a la comunidad de investigaci\u00f3n de vulnerabilidad en general, pero tambi\u00e9n pondr\u00e1 a m\u00e1s empresas y organizaciones privadas en condiciones de ganar m\u00e1s autoridad a medida que los defensores busquen m\u00e1s fuentes alternativas.<\/p>\n

Caitlin Condon, vicepresidenta de investigaci\u00f3n de seguridad de VulnCheck, dijo anteriormente a CyberScoop que la priorizaci\u00f3n sigue siendo un problema, ya que demasiados defensores prestan atenci\u00f3n a vulnerabilidades que no merecen su tiempo. <\/p>\n

De las m\u00e1s de 40.000 vulnerabilidades recientemente publicadas que VulnCheck catalog\u00f3 el a\u00f1o pasado, s\u00f3lo el 1% de esos defectos, s\u00f3lo 422, fueron explotados en estado salvaje. <\/p>\n

El NIST tambi\u00e9n est\u00e1 tratando de reducir otros esfuerzos enga\u00f1osos con su nuevo enfoque, apoy\u00e1ndose a\u00fan m\u00e1s en las CNA. Los CVE que se presenten con una clasificaci\u00f3n de gravedad ya no recibir\u00e1n una puntuaci\u00f3n CVSS separada del NIST, dijo la agencia. <\/p>\n

Si bien la agencia sigue siendo la autoridad m\u00e1xima que proporciona un cat\u00e1logo de evaluaciones de vulnerabilidad respaldado por el gobierno, reconoci\u00f3 que estos cambios afectar\u00e1n a sus usuarios.<\/p>\n

\u00abEste enfoque basado en el riesgo es necesario para gestionar el aumento actual de presentaciones de CVE mientras trabajamos para alinear nuestros esfuerzos con las necesidades de la comunidad NVD\u00bb, dijo la agencia. \u00abAl hacer evolucionar el NVD para hacer frente a los desaf\u00edos actuales, podemos garantizar que la base de datos siga siendo una fuente de informaci\u00f3n confiable, sostenible y disponible p\u00fablicamente sobre las vulnerabilidades de ciberseguridad\u00bb.<\/p>\n