La **BOD 26-04 de CISA** reemplaza las directivas anteriores, **BOD 19-02** y **BOD 22-01**, lo que indica una urgencia mayor en el abordaje de las vulnerabilidades de ciberseguridad en los sistemas federales. La directiva introduce un enfoque escalonado para la remediación, priorizando según cuatro consideraciones clave: * Si el activo está expuesto públicamente en línea. * Presencia de la vulnerabilidad en el catálogo de **Vulnerabilidades Explotadas Conocidas (KEV) de CISA**. * Si la explotación puede automatizarse para ataques a gran escala. * Si la explotación otorga a los atacantes control parcial o total de un sistema. Dependiendo de estos factores, las agencias enfrentarán plazos estrictos. Las vulnerabilidades más críticas, aquellas expuestas públicamente, presentes en el catálogo **KEV** y que permiten control automatizado y total del sistema, deben ser remediadas en un plazo de tres días. Situaciones menos urgentes, donde la explotación automatizada no es posible o solo proporciona control parcial, tendrán un plazo de dos semanas.  *Plazos de remediación de vulnerabilidades Fuente: CISA* ### Alcance e Implementación La **BOD 26-04** se dirige específicamente a las agencias del Poder Ejecutivo Civil Federal (FCEB) de EE. UU. y sus sistemas de información. Esto abarca varios departamentos gubernamentales, pero excluye ciertos sistemas militares, empresas privadas, sistemas de la Comunidad de Inteligencia y contratistas. A pesar de su enfoque directo, se anticipa que la directiva sentará un precedente e influirá en la industria de ciberseguridad en general, proporcionando una señal clara para las prioridades de parcheo en todos los sectores. El mandato se extiende a todos los sistemas federales locales (on-premise), sistemas alojados por terceros, y entornos en la nube tanto FedRAMP como no FedRAMP. Las agencias ahora deben actualizar sus políticas de gestión de vulnerabilidades para alinearse con la **BOD 26-04**, mejorar los inventarios de activos y automatizar la notificación del estado **KEV**. Dentro de 60 días, los procesos de gestión de vulnerabilidades deben actualizarse para aprovechar los datos de **CVE** y **KEV** para las decisiones de remediación. En un plazo de 180 días, todas las agencias deben cumplir plenamente con los nuevos plazos de remediación e implementar monitoreo continuo y reportes detallados de metadatos de activos.