El Instituto Nacional de Estándares y Tecnología está cambiando la forma en que analiza las vulnerabilidades recientemente reveladas mientras enfrenta una enorme acumulación de fallas digitales.
Debido a “un aumento en [cybersecurity vulnerabilities and exposures] presentaciones”, NIST dijo el miércolesla agencia solo realizará análisis detallados de CVE que cumplan con ciertos criterios, incluida la publicación en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad, la presencia en software utilizado en el gobierno federal o la presencia en «software crítico» (como se define en una orden ejecutiva de la administración Biden).
El NIST continuará enumerando todas las vulnerabilidades reveladas en su Base de datos nacional de vulnerabilidades (NVD), pero las fallas que no cumplan con ninguno de esos criterios no recibirán «enriquecimiento», el término que usa la agencia para un análisis detallado.
El NIST también dejará de proporcionar sus propios puntajes de gravedad de vulnerabilidad para CVE que ya recibieron puntajes de sus organizaciones remitentes. Además, el NIST solo reevaluará los CVE que se modifiquen después del enriquecimiento si determina que la nueva información «impacta materialmente» su análisis original.
El auge de las herramientas de detección de vulnerabilidades impulsadas por IA ha creado una oleada de fallas recientemente reveladas. que ha abrumado defensores digitales y mantenedores de catálogos de vulnerabilidades. En los últimos años, NIST ha tenido problemas para mantenerse al día con el volumen, creando un gran atraso que llevó a la agencia a comenzar a repensar su enfoque.
El nuevo sistema de clasificación “nos permitirá centrarnos en los CVE con mayor potencial de impacto generalizado”, dijo el NIST el miércoles. «Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas».
El NIST dijo que enriqueció “casi 42.000 CVE” en 2025, pero con las tasas de divulgación disparándose (el número de fallas recientemente reportadas aumentó un 263% entre 2020 y 2025, según la agencia), el plan de enriquecimiento original de la agencia ya no era sostenible.
Además de permitir que el NIST se centre en las vulnerabilidades más graves, el nuevo sistema permitirá a la agencia «estabilizar la situación». [NVD] programa mientras desarrollamos los sistemas automatizados y las mejoras en el flujo de trabajo necesarios para la sostenibilidad a largo plazo”, según el comunicado.
El NIST también dijo que dejaría de trabajar en el trabajo pendiente de CVE existente por ahora. «Consideraremos enriquecer esas vulnerabilidades anteriores, aplicando los nuevos criterios de priorización anteriores, según lo permitan los recursos», dijo la agencia.
Fuente