La agencia de ciberseguridad de Estados Unidos publicó un documento estratégico en el que reafirma su apoyo al programa de vulnerabilidades, al tiempo que plantea una modernización y nuevas formas de financiamiento.
El 10 de septiembre, la Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) presentó el documento “CVE Quality for a Cyber Secure Future”, en el que traza el futuro del programa Common Vulnerabilities and Exposures (CVE). La propuesta busca consolidar lo que denomina la “era de la calidad”, después de varios años dedicados a la expansión de la red de organizaciones autorizadas para asignar identificadores de vulnerabilidades.
“El programa CVE debe mantenerse público y neutral frente a proveedores. Privatizarlo diluiría su valor como bien común”, sostuvo la agencia, que además reconoció la necesidad de asumir un liderazgo más activo y destinar más recursos.
Uno de los aspectos clave del documento es la búsqueda de financiamiento diversificado. “Muchos en la comunidad han solicitado que CISA considere fuentes de financiamiento alternativas”, indicó el texto, al tiempo que confirmó que se están evaluando diferentes mecanismos. La publicación coincide con la decisión de abril pasado, cuando debió extender por 11 meses el contrato con MITRE ante una posible falta de financiamiento, lo que aseguró la continuidad del programa hasta marzo de 2026.
La visión estratégica también pone énfasis en la necesidad de una participación multisectorial más amplia. Según CISA, el consejo asesor del CVE debe reflejar de manera integral al ecosistema, integrando gobiernos, academia, organizaciones internacionales, la comunidad de código abierto, proveedores de herramientas de seguridad, consumidores de datos y actores de la industria de tecnología operacional.
En esta línea, CISA recordó que en mayo de 2024 lanzó el programa Vulnrichment, que ayuda a suplir deficiencias del National Vulnerability Database (NVD), afectado por problemas de personal y financiamiento en el último año y medio. Además, en julio de 2025 se crearon nuevos espacios de colaboración, como el CVE Consumer Working Group y el CVE Researcher Working Group.
Los planes de modernización del CVE también abarcan a las CNAs (CVE Numbering Authorities), a las CNAs of Last Resort -responsables de asignar CVE cuando ninguna otra autoridad tiene competencia- y a los Authorized Data Publishers (ADPs), que pueden enriquecer registros con datos adicionales. Las metas incluyen acelerar la automatización, ampliar el soporte de API, mejorar la calidad de los registros con estándares mínimos y aumentar la transparencia y retroalimentación de la comunidad.
CISA también plantea un énfasis diferente entre la etapa anterior de “crecimiento” y la actual, que pone acento en la “calidad”. En la primera, el foco estuvo en aumentar el número de CNAs hasta superar las 460, generando un crecimiento exponencial de reportes. En la segunda, el desafío es garantizar confianza, calidad de los datos y capacidad de respuesta.