## NIST Anuncia Cambios en el Sistema de Seguimiento de Vulnerabilidades **NIST** ha anunciado cambios significativos en la forma en que rastrea las vulnerabilidades de ciberseguridad, reconociendo que el número de presentaciones de errores está creciendo a un ritmo insostenible. Este cambio afectará cómo se categorizan y enriquecen las vulnerabilidades dentro de la **NVD**, ampliamente utilizada. La agencia ahora centrará sus recursos en vulnerabilidades que cumplan criterios específicos, marcando un alejamiento de su misión anterior de categorizar cada **CVE** (Common Vulnerabilities and Exposures). Esta decisión se produce mientras la agencia lucha por mantenerse al día con el creciente volumen de presentaciones. Según un comunicado emitido por **NIST**, las presentaciones en los primeros tres meses de 2026 son casi un tercio más altas que en el mismo período del año pasado, a pesar de un aumento del 45% en el enriquecimiento de CVE en 2025. ## Criterios de Priorización Bajo la nueva política, **NIST** solo enriquecerá los registros **CVE** que cumplan ciertos umbrales. Específicamente, se priorizará el enriquecimiento para: * **CVE**s listados en el Catálogo de Vulnerabilidades Explotadas Conocidas de la **Agencia de Ciberseguridad e Infraestructura (CISA)**. * **CVE**s que afectan a productos utilizados por el gobierno federal. * **CVE**s que impactan software considerado "crítico". **NIST** tiene como objetivo enriquecer las vulnerabilidades en el catálogo de **CISA** dentro de un día después de la notificación. Los **CVE**s que no cumplan estos criterios seguirán siendo listados pero no recibirán análisis adicional ni puntuación de severidad por parte de **NIST**. ## El Problema del Rezago **NIST** ha reconocido un rezago existente de **CVE**s que no ha podido procesar debido a limitaciones de recursos. Estas entradas rezagadas, anteriores al 1 de marzo de 2026, se moverán a una categoría de "No Programado" y solo se priorizarán si cumplen los nuevos criterios. **NIST** también dependerá más de las puntuaciones de severidad proporcionadas por los remitentes, en lugar de generar sus propias puntuaciones para todos los **CVE**s. Si bien reconoce que los cambios "pueden no capturar todos los **CVE** potencialmente de alto impacto", **NIST** sostiene que este enfoque basado en el riesgo es necesario para garantizar que la base de datos siga siendo sostenible y confiable. ## Reacción de la Industria Expertos como Trey Ford de **Bugcrowd** sugieren que los cambios de **NIST** reflejan una comprensión más amplia dentro de la comunidad de investigación: centralizar la clasificación de vulnerabilidades a esta escala es insostenible. Ford enfatizó que la explotabilidad en el mundo real, determinada por investigadores humanos, es el verdadero motor de la prioridad de remediación. <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">Aprenda más.</a> [](https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad)