El Instituto Nacional de Estándares y Tecnología (NIST) ajustó sus operaciones en la National Vulnerability Database (NVD) para priorizar vulnerabilidades activamente explotadas y software crítico, en respuesta al crecimiento sostenido de registros CVE y retrasos en el enriquecimiento de datos.
El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos anunció cambios en la operación de la National Vulnerability Database (Base de datos nacional de vulnerabilidades, NVD) para hacer frente al incremento sostenido en el volumen de vulnerabilidades reportadas. La entidad confirmó que priorizará el enriquecimiento de ciertos registros CVE, en particular aquellos vinculados a vulnerabilidades activamente explotadas y software crítico.
Según informó el organismo en su sitio web, la decisión responde a un crecimiento “récord” en la cantidad de identificadores CVE, lo que ha generado retrasos en los procesos de análisis y enriquecimiento de datos dentro de la NVD. En su comunicación oficial, NIST indicó que está “ajustando las operaciones de NVD para abordar el crecimiento récord de CVE”, lo que implica un cambio en la forma en que se procesan y completan los registros.
Como parte de este ajuste, el organismo concentrará sus esfuerzos en vulnerabilidades incluidas en el catálogo de Known Exploited Vulnerabilities (Vulnerabilidades conocidas que han sido explotadas, KEV) de la Agencia de Ciberseguridad de los Estados Unidos (CISA), así como en aquellas que afectan software considerado crítico. De acuerdo con la información publicada, esta priorización busca asegurar que los datos más relevantes para la seguridad activa estén disponibles con mayor rapidez.
En esa línea, el NIST señaló que “NVD dará prioridad al enriquecimiento de los CVE en el catálogo KEV de CISA y otros softwares críticos”, estableciendo un criterio explícito para la asignación de recursos dentro del proceso de análisis. Este cambio implica que otros registros podrían experimentar demoras más prolongadas en su enriquecimiento o actualización.
Si bien el NVD seguirá incluyendo todas las vulnerabilidades notificadas, el enriquecimiento —análisis y detalles adicionales— no será proporcionado para aquellas que sean de baja prioridad. En esos casos, solo tendrán la clasificación otorgada por el Autoridad de Numeración (CNA).
Distintos reportes coinciden en que el volumen de nuevas vulnerabilidades ha superado la capacidad operativa tradicional del sistema, con alza de 236% de recepción de informes y un registro de 42 mil CVE el año pasado. Este crecimiento de CVE’s ha generado una acumulación de entradas pendientes, lo que impacta la disponibilidad de metadatos clave utilizados por organizaciones para la gestión de riesgos.
Asimismo, se informó que el enfoque también considera vulnerabilidades publicadas antes de marzo de 2026 que aún no han sido completamente enriquecidas. Sobre este punto, se indicó que el organismo continuará trabajando en estos registros, aunque bajo el nuevo esquema de priorización.
Para el NIST el catálogo KEV de CISA es particularmente importante, dado que reúne vulnerabilidades que han sido explotadas y que requieren mitigación de forma prioritaria. Este listado es empleado por agencias federales en ese país, así como por organizaciones dentro y fuera de los estados Unidos como guía para la gestión de parches y riesgos.
La NVD, mantenida por NIST, es una de las principales fuentes de información estructurada sobre vulnerabilidades a nivel global. Sus datos incluyen métricas como CVSS, vectores de ataque y referencias técnicas, que son ampliamente utilizadas en herramientas de ciberseguridad y procesos de gestión de vulnerabilidades.
Con estos cambios, NIST formaliza una reasignación de esfuerzos frente a un escenario de alta demanda, manteniendo el foco en vulnerabilidades con impacto comprobado y relevancia operativa inmediata.