"Con que funcione": China crea su propio CVE con erratas y gestionado por los servicios de inteligencia
Analizamos dónde se ocultan realmente los datos sobre los riesgos empresariales.
Los analistas de la empresa Bitsight analizaron cómo China está construyendo su propio sistema de registro de vulnerabilidades en medio de la turbulencia en torno a la infraestructura occidental CVE y NVD. El motivo fueron las fallas en el funcionamiento de la Base Nacional de Vulnerabilidades de Estados Unidos y la incertidumbre temporal sobre la financiación del programa CVE, lo que llevó al mercado a prestar más atención a fuentes alternativas de datos.
En el centro de atención estuvieron dos bases estatales: China National Vulnerability Database of Information Security, más conocida como CNNVD, y Chinese National Vulnerability Database, o CNVD. La primera está supervisada por una estructura vinculada al Ministerio de Seguridad del Estado de la República Popular China, la segunda la gestiona el equipo chino de respuesta a incidentes informáticos CNCERT. Las bases funcionan en paralelo, usan identificadores propios y se nutren de forma distinta.
El análisis mostró que la mayor parte de los registros en los catálogos chinos duplica datos de CVE. En ambas bases existen campos para indicar identificadores CVE, pero no sincronizan sus registros entre sí. Además, en los conjuntos se detectan errores tipográficos y discrepancias de formato, lo que indica un procesamiento manual de los datos y crea dificultades para la correlación automática. La agregación de datos de NVD y CVE sigue siendo la base de la mayoría de las herramientas comerciales de gestión de vulnerabilidades.
Llamó la atención la diferencia en el momento de la publicación. En la gran mayoría de los casos la información sobre fallos aparece en las bases chinas el mismo día o después que en CVE. Sin embargo, alrededor de 1400 registros se publicaron en CNNVD y CNVD antes de que los correspondientes CVE adquirieran estatus público. En promedio la brecha fue de unos tres meses. Esto coincide con antiguas preocupaciones sobre cómo China usa información sobre vulnerabilidades obtenida de socios extranjeros. Entre los ejemplos figuran fallos en productos de Siemens, Kubernetes, SAP y complementos de WordPress, donde las descripciones chinas coincidían esencialmente con lo que luego apareció en el catálogo internacional.
Los autores del estudio también encontraron registros sin vínculo a CVE. Parte de ellos probablemente no se emparejaron con identificadores internacionales debido a imprecisiones. En otros casos puede tratarse de problemas en productos con poca presencia en los mercados occidentales. Tras la entrada en vigor en julio de 2021 del reglamento sobre gestión de vulnerabilidades, el ritmo de publicación de esos registros cambió. CNVD empezó a divulgar fallos sin identificadores internacionales con mucha menos frecuencia, mientras que CNNVD redujo esas publicaciones aún antes, aunque en 2025 volvió a aumentar la actividad.
Un análisis separado de la distribución de criticidad mostró que, cuando publicaban antes, las bases chinas con mayor frecuencia clasificaban las vulnerabilidades como de baja gravedad o de gravedad indeterminada. Esto apunta indirectamente a una dependencia de las evaluaciones occidentales y de metodologías como CVSS, ya que su propia escala no siempre se completaba por completo.
En general, los catálogos chinos históricamente siguieron a CVE y en gran medida replicaron su estructura, pero las nuevas normas regulatorias reforzaron el control estatal sobre la divulgación de información. A pesar de los problemas del ecosistema occidental, son los mecanismos estandarizados, incluidas CVE y NVD, los que siguen más maduros en cuanto a legibilidad por máquina y unificación. No obstante, el análisis de las bases chinas muestra que parte de los datos sobre riesgos puede surgir fuera de los canales habituales, por lo que el panorama global de vulnerabilidades es más amplio de lo que suele suponerse.