El gobierno de Estados Unidos ha extendido temporalmente el contrato con MITRE para evitar interrupciones en el programa de vulnerabilidades CVE, mientras se prepara una transición hacia una nueva entidad sin fines de lucro. La fecha expiración del contrato era este miércoles 16 de abril.
En un giro clave para el ecosistema global de ciberseguridad, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) confirmó esta semana la extensión por 11 meses del contrato con la Corporación MITRE, garantizando así la continuidad del emblemático Programa de Vulnerabilidades y Exposiciones Comunes (CVE), una herramienta esencial utilizada en todo el mundo para identificar y clasificar vulnerabilidades de seguridad informática.
La noticia llega tras un día de intensa incertidumbre generado por una carta enviada por Yosry Barsoum, vicepresidente de MITRE, en la que advirtió sobre el inminente vencimiento del contrato vigente con el gobierno federal, lo cual pondría en riesgo la operación del programa CVE. “Si se produjera una interrupción del servicio, prevemos múltiples impactos en la lucha contra el extremismo violento, el deterioro de las bases de datos nacionales y las operaciones de respuesta a incidentes”, señaló Barsoum.
Ante la creciente alarma en la comunidad cibernética, CISA actuó el martes por la noche para ejecutar el período de opción del contrato actual, asegurando que “no habrá interrupciones en los servicios críticos de CVE”. En palabras de un portavoz de la agencia: “El Programa CVE es invaluable para la comunidad cibernética y una prioridad para CISA. Agradecemos la paciencia de nuestros socios y partes interesadas”.
El contrato, originalmente por un valor de $57,8 millones de dólares, tenía como fecha de vencimiento el miércoles 16 de abril, pero incluía una cláusula de prórroga hasta marzo de 2026. Por ahora, la extensión se limita a 11 meses, y no se han dado detalles sobre lo que sucederá más allá de ese plazo.
Mientras tanto, un grupo de miembros actuales y anteriores de la Junta Directiva del CVE anunció la creación de la Fundación CVE, una nueva organización sin fines de lucro que busca garantizar la independencia, sostenibilidad y estabilidad a largo plazo del programa. Esta fundación surge como respuesta a las crecientes preocupaciones sobre la excesiva dependencia del programa de una única fuente de financiación gubernamental.
“Desde su inicio, el Programa CVE ha operado bajo un contrato financiado por el gobierno de los Estados Unidos. Esta estructura, si bien ha fomentado su expansión, también ha generado inquietudes respecto a su neutralidad y continuidad en el tiempo”, explicó la nueva fundación en un comunicado.
La Fundación CVE se propone eliminar ese “único punto de falla en el ecosistema de gestión de vulnerabilidades” y transformar el programa en una iniciativa verdaderamente global, impulsada por la comunidad internacional.
Kent Landfield, miembro de la fundación y de la junta del programa CVE, lo resumió de forma contundente: “El CVE es demasiado importante como para ser vulnerable en sí mismo”.
La fundación planea publicar en los próximos días más detalles sobre su estructura y estrategia de transición, aunque no está claro cómo se coordinará este proceso con la gestión actual de MITRE ni qué papel jugará CISA una vez que finalice la extensión del contrato.
Este cambio de rumbo se produce en un contexto de ajustes en la agencia federal. CISA, socio principal de MITRE en el CVE, enfrenta presiones políticas y presupuestarias. En los últimos meses, varios contratos de la agencia han sido rescindidos o han expirado, y se anticipan recortes significativos en su plantilla. En enero, la secretaria de Seguridad Nacional, Kristi Noem, expresó su intención de hacer de CISA “una agencia más pequeña, eficaz y ágil”.
Si bien la reciente extensión del contrato es un respiro temporal y el nacimiento de la Fundación CVE genera expectativas sobre la continuidad e independencia del programa con posterioridad, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) tomó la decisión de lanzar una base de datos europea de vulnerabilidades (EUVD) la cual «adopta un enfoque de múltiples partes interesadas al recopilar información sobre vulnerabilidades disponible públicamente de múltiples fuentes».