Lo más difícil está por venir, pero las lecciones del pasado ya se han convertido en la base.
En 2024, el programa Common Vulnerabilities and Exposures (CVE) celebró su 25º aniversario. Desde su fundación en 1999, se ha transformado de un proyecto de investigación ordinario en un estándar global para la identificación de vulnerabilidades. Hoy en día, más de 400 organizaciones de 40 países participan en el programa, y su misión sigue siendo la misma: identificar, definir y catalogar vulnerabilidades en ciberseguridad.
El programa CVE ha experimentado una expansión significativa. Si en 2016 el número de socios con derecho a asignar identificadores CVE (CNA) era de solo 24, en 2024 ya superan los 400. Esto ha permitido reducir los retrasos y mejorar la calidad de las publicaciones de vulnerabilidades, garantizando una alineación más precisa con las amenazas actuales.
Un área clave de desarrollo ha sido la colaboración con la comunidad abierta. El programa busca superar dificultades pasadas, como la respuesta lenta y la acumulación de tareas pendientes. La participación de organizaciones como Apache y la Python Software Foundation ha fortalecido los vínculos con los desarrolladores y facilitado una gestión más transparente de las vulnerabilidades.
La incorporación de nuevas tecnologías, incluida la automatización, ha acelerado el procesamiento de datos. En 2018, CVE introdujo el formato JSON 4.0 para el almacenamiento estructurado de información, y en 2022 lo reemplazó con una versión más versátil: el CVE Record Format. Esto simplificó el trabajo con vulnerabilidades y aceleró las publicaciones.
El programa también se adapta a los desafíos relacionados con el desarrollo de la inteligencia artificial. Las nuevas vulnerabilidades que surgen debido a la IA requieren un enfoque único para su identificación y mitigación. CVE está analizando activamente cómo los cambios en la IA afectan la seguridad y desarrolla medidas correspondientes.
Un ejemplo del éxito de CVE es su integración con la directiva NIS 2 en Europa. Esto destaca la importancia del programa a nivel de legislación internacional y refuerza su impacto en la ciberseguridad a escala global. La colaboración con gobiernos y el sector privado ayuda a establecer nuevos estándares y promover la transparencia en la gestión de vulnerabilidades.
CVE sigue ampliando su red de socios, incorporando organizaciones de nuevos sectores, desde la salud hasta las telecomunicaciones. El programa busca fortalecer la colaboración con proveedores de servicios en la nube, lo cual es especialmente relevante dado el crecimiento de las soluciones SaaS.
Celebrando 25 años de actividad, CVE no se detiene en sus logros. Se avecinan nuevos desafíos y oportunidades que permitirán al programa consolidar aún más su posición en la gestión de vulnerabilidades y continuar su labor en beneficio de la comunidad global de ciberseguridad.