El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ha anunciado un cambio radical en su estrategia para gestionar las vulnerabilidades de seguridad. Ante el aumento exponencial de defectos reportados cada año, la agencia ha decidido priorizar su análisis en función de criterios más estrictos.
Desde el pasado miércoles, el NIST se centrará únicamente en las vulnerabilidades que cumplan al menos uno de estos tres requisitos:
- Aparecer en el catálogo de vulnerabilidades explotadas conocidas de la Agencia de Ciberseguridad e Infraestructura (CISA).
- Estar presentes en software utilizado por el gobierno federal.
- Ser clasificadas como software crítico según la Orden Ejecutiva 14028.
Esta decisión busca garantizar la sostenibilidad a largo plazo del Programa Nacional de Vulnerabilidades (NVD), que ha enfrentado graves problemas en los últimos años, como la pérdida de financiación en 2024 que paralizó temporalmente la actualización de metadatos clave para muchas vulnerabilidades.
A pesar de este ajuste, el NIST aún arrastra un importante retraso en la catalogación de miles de vulnerabilidades pendientes. En 2025, la agencia analizó cerca de 42.000 vulnerabilidades, mientras que las presentaciones de CVEs se dispararon un 263% desde 2020.
«No esperamos que esta tendencia disminuya en el futuro cercano. Durante los primeros tres meses de 2026, las presentaciones superan en casi un tercio a las del mismo período del año pasado», advirtió el NIST en un comunicado.
La medida también implica que las vulnerabilidades que no cumplan los nuevos criterios seguirán apareciendo en el NVD, pero sin datos enriquecidos automáticos. «Esto nos permitirá enfocarnos en las vulnerabilidades con mayor potencial de impacto generalizado», explicó la agencia.
«Las vulnerabilidades que no cumplan estos criterios pueden tener un impacto significativo en los sistemas afectados, pero generalmente no representan el mismo nivel de riesgo sistémico que las categorías priorizadas».
Expertos en ciberseguridad ven esta decisión como inevitable. «Era necesario tomar medidas. El NIST iba muy por detrás en la clasificación de CVEs y probablemente nunca habría alcanzado el ritmo», declaró Dustin Childs, responsable de concienciación sobre amenazas en la iniciativa Zero Day de Trend Micro.
«No sé si fue una tarea hercúlea o una labor interminable, pero, de cualquier modo, el sistema anterior estaba condenado al fracaso. Este cambio les permite priorizar su trabajo», añadió.
El nuevo enfoque del NIST tendrá un impacto significativo en la comunidad de investigación de vulnerabilidades, pero también aumentará la responsabilidad de empresas privadas y organizaciones en la defensa contra amenazas. Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, destacó que la priorización sigue siendo un problema crítico: «De las más de 40.000 vulnerabilidades publicadas el año pasado, solo el 1% —422 en total— fueron explotadas en la naturaleza».
Además, el NIST busca reducir esfuerzos redundantes en la gestión de vulnerabilidades, un problema que ha agravado la saturación de su base de datos.
Artículos relacionados
Cisco corrige grave vulnerabilidad zero-day explotada por grupo de amenazas persistente
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
La IA avanzada redefine la guerra: el Pentágono advierte sobre su impacto revolucionario
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
La identidad digital es clave: expertos advierten sobre su protección en la era de la IA
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn sufre ciberataque de grupo de ransomware Nitrogen: fábricas en Norteamérica afectadas
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
Una app de IA recopila 150.000 imágenes de heces humanas para vender su base de datos
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
Nuevos modelos de IA superan todos los récords en ciberseguridad autónoma
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
La Cámara de Representantes investiga el modelo de IA Mythos de Anthropic por sus riesgos cibernéticos
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
IA generativa: el nuevo frente de fraudes y suplantaciones de identidad en las empresas
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...