**NIST** anunció esta semana que reducirá sus esfuerzos de análisis de vulnerabilidades debido a un aumento abrumador en las presentaciones de Common Vulnerabilities and Exposures (CVE). A partir del 15 de abril, la **Base de Datos Nacional de Vulnerabilidades (NVD)** solo proporcionará análisis detallados, incluidas las clasificaciones de gravedad, para las vulnerabilidades que cumplan criterios específicos. ### Criterios de Priorización **NIST** centrará ahora sus recursos en las vulnerabilidades que: * Estén listadas en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de **CISA**. * Afecten al software del gobierno federal de EE. UU. * Involucren software crítico según lo definido por la Orden Ejecutiva 14028. ### El Aumento de Envíos **NIST** atribuye este cambio a un aumento drástico en las presentaciones de CVE. La agencia reporta un aumento del 263% en las presentaciones, una tendencia que se espera que continúe. En 2025, **NIST** enriqueció aproximadamente 42,000 CVE, pero la agencia afirma que ya no puede mantener este nivel de análisis para todas las presentaciones. ### Impacto en la NVD La **NVD** continuará listando todas las vulnerabilidades enviadas. Sin embargo, aquellas que no cumplan los criterios de priorización solo tendrán una clasificación de gravedad asignada por la Autoridad Numeradora de CVE (CNA) que evaluó y envió inicialmente la vulnerabilidad. Las CNA incluyen proveedores y organizaciones como **The MITRE Corporation**. ### Por Qué Esto Importa La **NVD de NIST** es un recurso crítico para investigadores de seguridad, profesionales de TI y organizaciones en todo el mundo. Proporciona información detallada sobre vulnerabilidades, incluidas puntuaciones de gravedad, productos afectados y enlaces a avisos y parches. Esta información es esencial para una gestión de riesgos y remediación de vulnerabilidades efectivas. ### Estado de "No Programado" Las vulnerabilidades que no cumplan los nuevos criterios se clasificarán como "No Programado". **NIST** enfatiza que esto no significa que estas vulnerabilidades no sean importantes, sino que no presentan el mismo nivel de riesgo sistémico que las de las categorías priorizadas. "Todas las CVE enviadas seguirán siendo añadidas a la NVD. Sin embargo, aquellas que no cumplan los criterios anteriores se clasificarán como 'No Programado', [explica NIST](https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth)." ### Solicitudes de Enriquecimiento Reconociendo que algunas vulnerabilidades de alto impacto podrían pasar desapercibidas en el proceso de priorización, **NIST** está aceptando solicitudes de enriquecimiento para CVE de menor prioridad por correo electrónico a ‘[email protected].’ ### Un Cambio de Enfoque Si bien se han observado retrasos en el enriquecimiento desde 2024, este anuncio formaliza el cambio de enfoque de **NIST** hacia las vulnerabilidades más críticas y de mayor impacto generalizado.