NIST limita la mejora de CVE tras un aumento del 263% en envíos

-

El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la gestión de vulnerabilidades cibernéticas. A partir del 15 de abril de 2026, solo se enriquecerán las CVE que cumplan ciertos criterios debido a un aumento significativo en las presentaciones.

El Instituto Nacional de Estándares y Tecnología (NIST) ha implementado cambios en la forma en que maneja las vulnerabilidades y exposiciones cibernéticas (CVE) en su Base de Datos Nacional de Vulnerabilidades (NVD). Esta decisión se debe a un aumento del 263% en las presentaciones de CVE entre 2020 y 2025, lo que ha llevado a NIST a establecer criterios de priorización para el enriquecimiento de estas vulnerabilidades. Según NIST, las CVE que no cumplan con estos criterios seguirán listadas en la NVD, pero no serán enriquecidas automáticamente por la agencia. La nueva política entró en vigor el 15 de abril de 2026 y busca centrarse en las CVE con el mayor potencial de impacto generalizado.

Los criterios de priorización establecidos por NIST indican que cualquier presentación de CVE que no cumpla con los umbrales definidos será marcada como "No Programada". NIST ha señalado que, aunque estas CVE pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellas en las categorías priorizadas. En los primeros tres meses de 2026, las presentaciones de CVE han aumentado casi un tercio en comparación con el año anterior, y NIST está trabajando más rápido que nunca para enriquecer estas presentaciones.

En cuanto a las versiones afectadas, NIST ha enriquecido cerca de 42,000 CVE en 2025, lo que representa un aumento del 45% en comparación con cualquier año anterior. Sin embargo, se estima que todavía hay aproximadamente 10,000 vulnerabilidades de 2025 sin una puntuación CVSS. NIST ha enriquecido alrededor de 14,000 vulnerabilidades 'CVE-2025', lo que representa aproximadamente el 32% de la población de CVE de 2025.

La explotación activa de estas vulnerabilidades ha sido objeto de atención, ya que se ha observado un aumento en la presentación de CVE. Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, comentó que el anuncio de NIST no es una sorpresa, dado que ya habían indicado su intención de adoptar un modelo de priorización basado en riesgos. Sin embargo, esto deja a muchas organizaciones sin un camino claro para el enriquecimiento de las vulnerabilidades, especialmente aquellas que dependen de NIST como su fuente principal de datos.

En cuanto a las recomendaciones, se sugiere que los administradores de sistemas se enfoquen en la lista de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) y en métricas de explotabilidad. Aunque esta transición puede interrumpir los flujos de trabajo de auditoría tradicionales, se considera que madurará la industria al exigir que se priorice la exposición real sobre la gravedad teórica. Los administradores deben adaptarse a esta nueva realidad para gestionar mejor los riesgos de seguridad.

En un contexto más amplio, la decisión de NIST marca el fin de una era en la que los defensores podían confiar en una única base de datos gestionada por el gobierno para evaluar los riesgos de seguridad. Esto obliga a las organizaciones a adoptar un enfoque proactivo hacia la gestión de riesgos impulsado por la inteligencia de amenazas.

Fuente:
https://thehackernews.com/2026/04/nist-limits-cve-enrichment-after-263.html

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Análisis de impacto: El Modelo Mythos y el Panorama de la Ciberseguridad

-
El 7 de abril de 2026, Anthropic anunció Claude Mythos Preview , su modelo de mayor capacidad hasta la fecha. Paralelamente, el análisis Eye on the Market de J.P. Morgan (Cembalest, 13 de abril) ofrece una lectura técnico-financiera sobre sus implicaciones. Este artículo sintetiza ambas fuentes con énfasis en los vectores de amenaza más relevantes para infraestructuras críticas y entornos empresariales. Evolución del Rendimiento Mythos supera a sus predecesores en el Epoch Capabilities Index —un índice compuesto por 40 benchmarks independientes— con una aceleración sin precedente en el histórico de la plataforma. Resulta especialmente notable que supere a versiones lanzadas hace apenas dos meses, señalando una compresión del ciclo de mejora. 73% Tasa de éxito en CTFs de nivel experto (AISI) 24/32 Pasos promedio completados en ataque corporativo simulado +1000 Zero-days identificados en semanas de us...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más