La agencia federal de ciberseguridad ha creado una nueva vía para que personas ajenas al gobierno de EE. UU. informen sobre vulnerabilidades a su catálogo de fallos que han sido explotados. ### Reporte Simplificado de Vulnerabilidades **CISA** anunció el jueves la creación de un formulario de nominación que, según dijeron, permite a "investigadores, proveedores y socios de la industria" reportar fallos que deben agregarse al catálogo de **Vulnerabilidades Explotadas Conocidas (KEV)**, una herramienta clave que se ha convertido en un recurso crítico para la comunidad de ciberseguridad. “Todos los días, **CISA** colabora con investigadores de seguridad y socios de la industria que identifican y reportan vulnerabilidades explotadas. Esta nueva capacidad de reporte mejora la habilidad de **CISA** para identificar, validar y compartir rápidamente información crítica sobre amenazas”, dijo Chris Butera, Director Ejecutivo Adjunto Interino de Ciberseguridad de **CISA**. “La detección temprana y la divulgación coordinada de vulnerabilidades se encuentran entre las herramientas más poderosas que tenemos para reducir el riesgo a escala. **CISA** alienta encarecidamente a los investigadores y organizaciones a compartir amenazas de vulnerabilidad y ayudarnos a asegurar los sistemas de los que los estadounidenses dependen todos los días”. Los expertos ahora pueden enviar vulnerabilidades a través de un [formulario de nominación](https://cisasurvey.gov1.qualtrics.com/jfe/form/SV_1Zwu52kgK2OYf3w) o por correo electrónico, y deben proporcionar información sobre el fallo, así como evidencia de su explotación. ### La Importancia del Catálogo KEV El catálogo, conocido coloquialmente como KEV, está destinado a proporcionar a los defensores de la ciberseguridad dentro del gobierno federal una lista autorizada de vulnerabilidades de software y hardware que deben ser parcheadas dentro de un marco de tiempo determinado, típicamente tres semanas. Ha permitido a los defensores centrarse en la remediación de vulnerabilidades que están siendo activamente explotadas por hackers y actores de estados-nación. La agencia dijo que reportar fallos a **CISA** es "esencial para la postura de ciberseguridad de la nación, ayudando a garantizar que las vulnerabilidades explotadas se descubran temprano, se comuniquen de manera responsable y se mitiguen rápidamente en las redes federales, privadas y de infraestructura crítica". Robert Costello, quien se desempeñó como director de información de **CISA** durante casi cinco años antes de irse en marzo, dijo que el nuevo formulario de envío es una forma para que la agencia operacionalice su asociación con la comunidad de investigación de ciberseguridad de una manera muy práctica. “La externalización de la inteligencia de explotación a través de un proceso de nominación estandarizado significa adiciones más rápidas al KEV y, en última instancia, acciones defensivas más rápidas en todo el ecosistema”, dijo. “Es el movimiento correcto en el momento adecuado, ya que la IA está acelerando tanto el descubrimiento como la explotación de vulnerabilidades a un ritmo que hace que la divulgación temprana y coordinada sea más crítica que nunca”. ### Impacto y Consideraciones Futuras A medida que el catálogo ha crecido [desde su debut en 2021](https://therecord.media/cisa-known-exploited-vulnerability-catalog-passes-1000), los defensores cibernéticos fuera del gobierno federal lo han adoptado como un punto de referencia para saber qué fallos están siendo atacados. Los expertos descubrieron que las organizaciones remedian las vulnerabilidades añadidas al KEV [3.5 veces más rápido que los fallos no KEV](https://therecord.media/kev-list-vulnerabilities-patched-significantly-faster). Se ha vuelto aún más crítico a medida que los defensores descubren cómo lidiar con un creciente diluvio de vulnerabilidades descubiertas por IA, muchas de las cuales son insignificantes y poco probables de ser explotadas. Mayuresh Dani de **Qualys** dijo que **CISA** previamente aceptaba envíos por correo electrónico, pero señaló que no había informes externos sobre cuántas vulnerabilidades se agregaron al KEV basándose en envíos a esta dirección de correo electrónico. El nuevo formulario obliga a los remitentes a agregar información crítica y detallada. “Esperamos que esta funcionalidad ahora proporcione visibilidad sobre lo que sucede exactamente después del envío”, dijo Dani a Recorded Future News. “Lo que se necesita ver es cómo esta información es verificada por **CISA** y qué salvaguardias contra reportes incorrectos y falsos implementa **CISA** para que solo las observaciones de explotación reales y validadas lleguen a la lista KEV”. Dani agregó que **CISA** puede estar tratando de ponerse al día porque existen alternativas comerciales al KEV y algunos ahora lo consideran un indicador rezagado de la explotación de vulnerabilidades. Si bien casi todos los fallos inicialmente añadidos al KEV recibieron un plazo de remediación de tres semanas, el número de vulnerabilidades con plazos de parcheo de [incluso 24 horas](https://therecord.media/cisa-orders-agencies-patch-citrix-bleed-2) ha aumentado en el último año. A principios de este mes, Reuters [informó](https://www.reuters.com/legal/litigation/us-officials-weigh-cutting-deadlines-fix-digital-flaws-amid-worries-over-ai-2026-05-01/) que el Director Interino de **CISA**, Nick Anderson, y el Director Nacional de Ciber de EE. UU., Sean Cairncross, plantearon la posibilidad de limitar el plazo del KEV para todos los fallos nuevos a solo tres días, debido a la preocupación de que los hackers ahora utilicen sistemas de IA potentes y emergentes para desarrollar exploits para vulnerabilidades en un tiempo más corto. Los expertos dijeron que el nuevo esfuerzo para coordinarse con el sector privado fue diseñado para acelerar los esfuerzos de defensa, la divulgación de vulnerabilidades y el seguimiento de la explotación. “Mejoras como esta pueden ayudar a fortalecer la calidad de la señal y la puntualidad del KEV, lo que en última instancia beneficia a los defensores que intentan priorizar el riesgo del mundo real sobre la gravedad teórica”, dijo Chris Doyle de **JupiterOne**.