Una evaluación de la Oficina del Inspector General del Departamento de Comercio de los Estados Unidos concluyó que la gestión de la National Vulnerability Database (NVD) por parte de NIST presenta deficiencias estratégicas, operativas y de coordinación que provocaron un creciente retraso en el procesamiento de vulnerabilidades y una pérdida de confianza entre los usuarios.
La Oficina del Inspector General (OIG) del Departamento de Comercio de Estados Unidos publicó el pasado 26 de mayo una evaluación sobre la gestión de la National Vulnerability Database (NVD), en la que concluyó que el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), no ha logrado establecer procesos sostenibles para administrar el creciente volumen de vulnerabilidades reportadas. El informe señala que la acumulación de vulnerabilidades pendientes de análisis pasó de aproximadamente 13 mil casos durante 2024 a más de 27 mil al cierre de 2025, afectando la utilidad de una de las principales fuentes de información utilizadas por organizaciones públicas y privadas para priorizar la corrección de fallas de seguridad.
Según la evaluación, uno de los principales factores que originaron la crisis fue la ausencia de una planificación estratégica de largo plazo. Los investigadores determinaron que NIST carecía de un plan formal para eliminar el retraso acumulado, pese a que el volumen de vulnerabilidades continuó creciendo. Además, la entidad se comprometió públicamente en 2024 a procesar cerca de 6.200 vulnerabilidades por mes, una cifra superior a su capacidad histórica de procesamiento, que nunca había superado las 5.000 vulnerabilidades mensuales.
El informe también identificó ineficiencias en el proceso de enriquecimiento de información de las vulnerabilidades. Los auditores observaron que gran parte del tiempo de los analistas se destina a calcular puntajes de severidad y determinar los productos afectados. Sin embargo, cerca del 80% de las vulnerabilidades ya incluyen puntajes proporcionados por las organizaciones que las reportan. Además, una prueba realizada por el equipo auditor encontró que las evaluaciones de severidad de NIST coincidían con las de evaluadores independientes en solo un 12% de los casos analizados.
Otra de las conclusiones relevantes apunta a la falta de coordinación con la Agencia de Ciberseguridad de los Estados Unidos (CISA). El informe documentó al menos 21 mil casos de trabajo duplicado entre la NVD y el programa Vulnrichment de CISA entre mayo de 2024 y diciembre de 2025. Esta situación generó costos estimados en aproximadamente 200 mil dólares y llegó incluso a involucrar a un mismo contratista realizando tareas similares para ambas iniciativas. Según el inspector general, el NIST ahorrará aproximadamente 800 mil dólares en los próximos dos años si dedica a mejorar su eficiencia al asignar puntuaciones de gravedad y etiquetar los productos afectados.
La OIG concluyó que “la gestión de NIST sobre la NVD no ha sido suficiente para resolver el retraso acumulado ni para mantenerse al ritmo del creciente volumen de vulnerabilidades reportadas”. Y agrega que “a pesar de reconocer a la NVD como una infraestructura crítica de ciberseguridad, NIST no ha adoptado una estrategia que garantice su sostenibilidad a largo plazo. Los procesos de enriquecimiento insostenibles, la falta de coordinación con CISA y la deficiente comunicación con las partes interesadas han debilitado la utilidad de la NVD y la confianza pública en ella”. Por último, advierte que “sin cambios significativos en su gestión, la NVD no será un componente confiable de la infraestructura de ciberseguridad de la nación”.
El documento también advierte que la acumulación de vulnerabilidades sin procesar comenzó en febrero de 2024 y continuó creciendo, socavando la utilidad de la NVD y la confianza pública.
Como respuesta, NIST aceptó las seis recomendaciones emitidas por la OIG, entre ellas desarrollar un plan estratégico, establecer metas concretas para reducir el atraso, mejorar la coordinación con CISA y fortalecer las comunicaciones con la comunidad de usuarios. El organismo deberá presentar un plan formal de acción antes de finales de julio de 2026.