CVE se cierra: el mundo se queda sin un mapa de vulnerabilidades

A finales de esta semana podría cesar una de las iniciativas más importantes en el ámbito de la ciberseguridad: el programa Common Vulnerabilities and Exposures (CVE), que lleva más de dos décadas catalogando vulnerabilidades públicamente conocidas. Según la corporación MITRE, el gobierno federal de EE. UU. ha decidido no renovar el contrato que permitía a la organización gestionar el programa.

Según MITRE, la financiación para el desarrollo, soporte y modernización del programa CVE, así como de iniciativas relacionadas como Common Weakness Enumeration (CWE), finalizará el 16 de abril. Esto implica no solo la suspensión de actualizaciones, sino también la posterior desconexión del sitio web oficial. El acceso a los datos históricos se mantendrá en GitHub, pero no se agregarán nuevos registros de vulnerabilidades.

Desde su lanzamiento en 1999, el programa CVE se ha convertido en una piedra angular del sistema de ciberseguridad mundial. Sus datos son utilizados por empresas de soluciones de seguridad, entidades gubernamentales e infraestructuras críticas para detectar y analizar amenazas. Durante todo este tiempo, MITRE ha coordinado el proyecto con financiación del Centro Nacional de Ciberseguridad (NCSD), que forma parte de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Representantes de MITRE subrayaron que, a pesar de la finalización del contrato, la organización sigue comprometida con la continuidad del programa y está en conversaciones con el Departamento de Seguridad Nacional de EE. UU. sobre posibles formas de preservarlo. Al mismo tiempo, CISA confirmó oficialmente que el contrato efectivamente expira y aseguró que se están tomando medidas urgentes para minimizar las consecuencias.

Las razones por las que no se renovó el acuerdo siguen sin aclararse: los representantes de CISA se negaron a comentar los motivos y tampoco revelaron si se planea transferir la iniciativa a otro contratista. En una carta enviada a los miembros del consejo del programa, el director del Centro de Seguridad Nacional de MITRE, Yosry Barsoum, advirtió sobre posibles consecuencias graves: desde la degradación de las bases de datos nacionales de vulnerabilidades hasta la disminución de la eficacia de las herramientas de detección de amenazas y respuesta a incidentes.

La situación genera preocupación entre los expertos del sector. Se señala que la suspensión repentina de CVE podría convertirse rápidamente en un problema de seguridad nacional. El programa es la base de muchos procesos de gestión de vulnerabilidades y protección de sistemas críticos.

Como respuesta, la empresa de ciberseguridad VulnCheck, que actúa como autoridad de numeración CVE, anunció que reservará anticipadamente 1000 identificadores CVE para 2025 con el fin de ayudar a cubrir el vacío resultante. Un representante de Securonix señaló que el proyecto CWE es vital para la clasificación y priorización de vulnerabilidades en software. La paralización del programa afectará a las prácticas seguras de codificación y evaluación de riesgos.

En este contexto, se ha sabido que CISA ha estado finalizando varios contratos recientemente, incluyendo el financiamiento de estructuras clave como MS-ISAC y Election ISAC, que prestan apoyo en ciberseguridad a miles de organizaciones en todo el país. Esto apunta a cambios más amplios en las prioridades de la política cibernética de EE. UU., que aún no han sido explicados.

MITRE es considerada una de las organizaciones más prestigiosas en el campo de la ciberseguridad, apoyando una amplia gama de programas en defensa, salud, aviación y otras áreas. La posible pérdida de su papel en el CVE no es simplemente una transición administrativa, sino un riesgo para toda la ecosistema de seguimiento de vulnerabilidades.