{"id":591,"date":"2026-04-17T09:06:40","date_gmt":"2026-04-17T09:06:40","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/17\/el-nist-limita-el-enriquecimiento-de-cve-despues-de-un-aumento-del-263-en-las-presentaciones-de-vulnerabilidades-cyberdefensa-mx\/"},"modified":"2026-04-17T09:06:40","modified_gmt":"2026-04-17T09:06:40","slug":"el-nist-limita-el-enriquecimiento-de-cve-despues-de-un-aumento-del-263-en-las-presentaciones-de-vulnerabilidades-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/17\/el-nist-limita-el-enriquecimiento-de-cve-despues-de-un-aumento-del-263-en-las-presentaciones-de-vulnerabilidades-cyberdefensa-mx\/","title":{"rendered":"El NIST limita el enriquecimiento de CVE despu\u00e9s de un aumento del 263 % en las presentaciones de vulnerabilidades \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>El Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) ha anunciado cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en su Base de datos nacional de vulnerabilidades (NVD), afirmando que solo enriquecer\u00e1 aquellas que cumplan ciertas condiciones debido a una explosi\u00f3n en las presentaciones de CVE.<\/p>\n<p>\u00abLos CVE que no cumplan esos criterios seguir\u00e1n figurando en el NVD, pero no se incluir\u00e1n autom\u00e1ticamente <a href=\"https:\/\/nvd.nist.gov\/general\/cve-process\">enriquecido por NIST<\/a>,\u00bb \u00e9l <a href=\"https:\/\/www.nist.gov\/news-events\/news\/2026\/04\/nist-updates-nvd-operations-address-record-cve-growth\">dicho<\/a>. \u00abEste cambio est\u00e1 impulsado por un aumento en las presentaciones de CVE, que aumentaron un 263 % entre 2020 y 2025. No esperamos que esta tendencia disminuya pronto\u00bb.<\/p>\n<p>Los criterios de priorizaci\u00f3n descritos por el NIST, que entraron en vigor el 15 de abril de 2026, son los siguientes:<\/p>\n<ul>\n<li>CVE que aparecen en el cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).<\/li>\n<li>CVE para software utilizado dentro del gobierno federal.<\/li>\n<li>CVE para <a href=\"https:\/\/www.nist.gov\/system\/files\/documents\/2026\/04\/15\/EO%2014028%20Critical%20FINAL.pdf\">software cr\u00edtico<\/a> seg\u00fan lo define la Orden Ejecutiva 14028: esto incluye software que est\u00e1 dise\u00f1ado para ejecutarse con privilegios elevados o privilegios administrados, tiene acceso privilegiado a redes o recursos inform\u00e1ticos, controla el acceso a datos o tecnolog\u00eda operativa y opera fuera de los l\u00edmites de confianza normales con acceso elevado. <\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-agentic-guide-d-3\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgKLSgj9Smgyqpn4Kj-zAzWxJG1LUku8TpOERMxD6_hmMZQtXRFYXU-NA2ocnjrRafjkLtrxujKRuBstSZ4Il5z6hOu4oa7UM1FjkNoRQqrF5MWlShygYIqpnMGxHX2RHEBh9Y40x-p4PKn3cSlaWTEwKiVBDSoJgLPzR09dmp8HBffLlIqro73HVD30D00\/s728-e100\/nudge-d-3.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Cualquier env\u00edo de CVE que no cumpla con estos umbrales se marcar\u00e1 como \u00abNo programado\u00bb. La idea, dijo el NIST, es centrarse en CVE que tengan el m\u00e1ximo potencial de impacto generalizado.<\/p>\n<p>\u00abSi bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sist\u00e9mico que aquellos en las categor\u00edas priorizadas\u00bb, a\u00f1adi\u00f3.<\/p>\n<p>El NIST dijo que las presentaciones de CVE durante los primeros tres meses de 2026 son casi un tercio m\u00e1s altas que el a\u00f1o pasado, y est\u00e1 trabajando m\u00e1s r\u00e1pido que nunca para enriquecer las presentaciones. Tambi\u00e9n dijo que enriqueci\u00f3 casi 42.000 CVE en 2025, un 45% m\u00e1s que cualquier a\u00f1o anterior.<\/p>\n<p>En los casos en los que un CVE de alto impacto se haya clasificado como no programado, los usuarios tienen la opci\u00f3n de solicitar enriquecimiento enviando un correo electr\u00f3nico a \u00abnvd@nist[.]gov.\u00bbSe espera que el NIST revise esas solicitudes y programe el enriquecimiento de los CVE seg\u00fan corresponda.<\/p>\n<p>Tambi\u00e9n se han instituido cambios para varios otros aspectos de las operaciones de NVD. Estos incluyen \u2013<\/p>\n<ul>\n<li>El NIST ya no proporcionar\u00e1 de forma rutinaria una puntuaci\u00f3n de gravedad separada para un CVE cuando la Autoridad de Numeraci\u00f3n de CVE ya haya proporcionado una puntuaci\u00f3n de gravedad.<\/li>\n<li>Un CVE modificado se volver\u00e1 a analizar s\u00f3lo si \u00abafecta materialmente\u00bb los datos de enriquecimiento. Los usuarios pueden solicitar que se vuelvan a analizar CVE espec\u00edficos enviando un correo electr\u00f3nico a la misma direcci\u00f3n indicada anteriormente.<\/li>\n<li>Todos los CVE no enriquecidos actualmente en cartera con una fecha de publicaci\u00f3n de NVD anterior al 1 de marzo de 2026 se trasladar\u00e1n a la categor\u00eda \u00abNo programado\u00bb. Esto no se aplica a los CVE que ya est\u00e1n en el cat\u00e1logo de KEV.<\/li>\n<li>NIST ha actualizado el <a href=\"https:\/\/nvd.nist.gov\/vuln\/vulnerability-status\">Etiquetas y descripciones de estado CVE<\/a>as\u00ed como el <a href=\"https:\/\/nvd.nist.gov\/general\/nvd-dashboard\">Panel de control NVD<\/a>para reflejar con precisi\u00f3n el estado de todos los CVE y otras estad\u00edsticas en tiempo real.<\/li>\n<\/ul>\n<p>\u00abEl anuncio del NIST no es una gran sorpresa, dado que previamente han telegrafiado su intenci\u00f3n de pasar a un modelo de priorizaci\u00f3n &#8216;basado en riesgos&#8217; para el enriquecimiento de CVE\u00bb, dijo Caitlin Condon, vicepresidenta de investigaci\u00f3n de seguridad de VulnCheck, en un comunicado compartido con The Hacker News.<\/p>\n<p>\u00abEn el lado positivo, el NIST est\u00e1 estableciendo clara y p\u00fablicamente expectativas para la comunidad en medio de un aumento enorme y creciente de nuevas vulnerabilidades. Por otro lado, una parte significativa de las vulnerabilidades ahora parece no tener un camino claro hacia el enriquecimiento para las organizaciones que dependen del NIST como su fuente autorizada (o \u00fanica) de datos de enriquecimiento CVE\u00bb.<\/p>\n<p>Los datos de la empresa de ciberseguridad muestran que todav\u00eda quedan aproximadamente 10.000 vulnerabilidades a partir de 2025 sin puntuaci\u00f3n CVSS. Se estima que el NIST ha enriquecido 14.000 vulnerabilidades &#8216;CVE-2025&#8217;, lo que representa aproximadamente el 32 % de la poblaci\u00f3n CVE de 2025.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEste anuncio subraya lo que ya sabemos: ya no vivimos en un mundo donde el enriquecimiento manual de nuevas vulnerabilidades es una estrategia factible o efectiva\u00bb, dijo Condon.<\/p>\n<p>\u00abIncluso sin que el descubrimiento de vulnerabilidades impulsado por IA acelere el volumen de CVE y los desaf\u00edos de validaci\u00f3n, el clima de amenazas actual exige inequ\u00edvocamente enfoques distribuidos y a velocidad de m\u00e1quina para la identificaci\u00f3n y el enriquecimiento de vulnerabilidades, junto con una perspectiva genuinamente global sobre el riesgo que reconozca la naturaleza interconectada e interdependiente del ecosistema de software mundial y los atacantes que lo atacan. Despu\u00e9s de todo, lo que no priorizamos para nosotros mismos, los adversarios lo priorizar\u00e1n para nosotros\u00bb.<\/p>\n<p>David Lindner, director de seguridad de la informaci\u00f3n de Contrast Security, dijo que la decisi\u00f3n del NIST de priorizar solo las vulnerabilidades de alto impacto marca el final de una era en la que los defensores podr\u00edan aprovechar una \u00fanica base de datos administrada por el gobierno para evaluar los riesgos de seguridad, lo que obligar\u00eda a las organizaciones a adoptar un enfoque proactivo para la gesti\u00f3n de riesgos impulsado por la inteligencia de amenazas.<\/p>\n<p>\u00abLos defensores modernos deben ir m\u00e1s all\u00e1 del ruido del volumen total de CVE y, en cambio, centrar sus recursos limitados en la lista CISA KEV y las m\u00e9tricas de explotabilidad\u00bb, dijo Lindner.<\/p>\n<p>\u00abSi bien esta transici\u00f3n puede alterar los flujos de trabajo de auditor\u00eda heredados, en \u00faltima instancia hace que la industria madure al exigir que prioricemos la exposici\u00f3n real sobre la gravedad te\u00f3rica. Depender de un subconjunto curado de datos procesables es mucho m\u00e1s efectivo para la resiliencia nacional que mantener un archivo completo pero inmanejable de cada error menor\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>El Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) ha anunciado cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en su Base de datos nacional de vulnerabilidades (NVD), afirmando que solo enriquecer\u00e1 aquellas que cumplan ciertas condiciones debido a una explosi\u00f3n en las presentaciones de CVE. \u00abLos CVE que [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":589,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1788,1851,24,70,261,1900,95,1899,1849,1901,342],"class_list":["post-591","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-aumento","tag-cve","tag-cyberdefensa-mx","tag-del","tag-despues","tag-enriquecimiento","tag-las","tag-limita","tag-nist","tag-presentaciones","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=591"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/591\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/589"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}