### NIST Actualiza Operaciones de NVD **NIST** ha anunciado que solo enriquecerá los CVEs listados en su **NVD** que cumplan ciertas condiciones debido a una explosión en los envíos. Según su anuncio, los CVEs que no cumplan estos criterios seguirán listados pero no serán enriquecidos automáticamente por **NIST**. Esta decisión se deriva de un aumento del 263% en los envíos de CVEs entre 2020 y 2025. ### Criterios de Priorización Los criterios de priorización, efectivos a partir del 15 de abril de 2026, incluyen: * CVEs que aparezcan en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la **Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA)**. * CVEs para software utilizado dentro del gobierno federal. * CVEs para software crítico según lo definido por la Orden Ejecutiva 14028, que abarca software con privilegios elevados, acceso privilegiado a recursos de red o computación, control sobre datos o tecnología operativa, y operación fuera de los límites de confianza normales. Los envíos de CVEs que no cumplan estos umbrales se marcarán como "No Programado", permitiendo a **NIST** centrarse en vulnerabilidades de alto impacto. ### Impacto de los Cambios **NIST** declaró que los envíos de CVEs en los primeros tres meses de 2026 son casi un tercio más altos que el año pasado, a pesar de que ya se enriquecieron casi 42,000 CVEs en 2025, un aumento del 45% respecto a años anteriores. Los usuarios pueden solicitar el enriquecimiento de CVEs de alto impacto categorizados como no programados enviando un correo electrónico a "nvd@nist[.]gov". ### Cambios Adicionales en las Operaciones de NVD Otros cambios incluyen: * **NIST** ya no proporcionará rutinariamente puntuaciones de severidad separadas si la Autoridad de Numeración de CVE ya lo ha hecho. * Los CVEs modificados solo se reanalizarán si impactan materialmente los datos de enriquecimiento. Las solicitudes de reanálisis se pueden enviar por correo electrónico. * Los CVEs no enriquecidos en el backlog con una fecha de publicación anterior al 1 de marzo de 2026 se moverán a la categoría "No Programado", excluyendo aquellos en el catálogo KEV. * **NIST** ha actualizado las etiquetas y descripciones del estado de los CVEs, junto con el **Panel de Control de NVD**, para reflejar con precisión los estados y estadísticas de los CVEs en tiempo real. ### Reacción de la Industria **Caitlin Condon**, vicepresidenta de investigación de seguridad en **VulnCheck**, señaló que **NIST** está estableciendo expectativas en medio del aumento de números de vulnerabilidades. Sin embargo, una porción significativa de vulnerabilidades puede carecer de una ruta de enriquecimiento clara para organizaciones que dependen únicamente de los datos de **NIST**. Los datos de **VulnCheck** indican que aproximadamente 10,000 vulnerabilidades de 2025 carecen de una puntuación CVSS, mientras que **NIST** ha enriquecido alrededor de 14,000 vulnerabilidades 'CVE-2025', lo que representa aproximadamente el 32% de la población de CVEs de 2025. **David Lindner**, director de seguridad de la información de **Contrast Security**, sugiere que la decisión de **NIST** marca el fin de depender de una única base de datos gubernamental para la evaluación de riesgos de seguridad. Las organizaciones ahora deben adoptar un enfoque proactivo impulsado por inteligencia de amenazas. Lindner aconseja centrarse en la lista **CISA KEV** y las métricas de explotabilidad, priorizando la exposición real sobre la severidad teórica para una mayor resiliencia nacional.