Una de las piezas clave del ecosistema global de ciberseguridad está en peligro. El próximo 16 de abril de 2025, el gobierno de Estados Unidos dejará de financiar el programa CVE (Common Vulnerabilities and Exposures), gestionado durante más de dos décadas por la organización sin ánimo de lucro MITRE.
Este hecho sin precedentes podría tener consecuencias serias para la gestión de vulnerabilidades, tanto en el sector público como en el privado, afectando a herramientas de seguridad, bases de datos nacionales, respuestas a incidentes y operaciones en infraestructuras críticas.
🧩 ¿Qué es el programa CVE y por qué es tan importante?
Desde 1999, CVE proporciona un sistema estándar para identificar, definir y catalogar vulnerabilidades de seguridad públicas, a través de códigos únicos conocidos como CVE IDs. Estos códigos son utilizados globalmente para coordinar respuestas a vulnerabilidades, priorizar parches, y asegurar que todos hablan el mismo idioma en términos de ciberseguridad.
El programa ha sido financiado históricamente por el Departamento de Seguridad Nacional (DHS) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), pero ahora esa financiación está a punto de terminar.
⚠️ ¿Qué pasa si el programa CVE se interrumpe?
En una carta enviada a la junta del programa CVE, Yosry Barsoum, vicepresidente de MITRE, advirtió:
“Si se produce una interrupción del servicio, esperamos múltiples impactos negativos: desde el deterioro de las bases de datos nacionales de vulnerabilidades y avisos, hasta afectaciones a proveedores de herramientas de seguridad, operaciones de respuesta a incidentes e infraestructuras críticas.”
Además, el parón también afectaría al proyecto CWE (Common Weakness Enumeration), fundamental para clasificar y priorizar debilidades en el software.
🛠️ La comunidad reacciona: VulnCheck reserva 1.000 CVEs para 2025
La empresa de ciberseguridad VulnCheck, que actúa como Autoridad de Numeración de CVEs (CNA), ya ha reaccionado al posible vacío reservando 1.000 CVEs para el año 2025, como medida preventiva para mantener cierta continuidad.
🗣️ Expertos advierten: esto no es solo una lista de referencia
Según Jason Soroko, Senior Fellow en Sectigo:
“Esta interrupción afectaría a proveedores de herramientas, operaciones de respuesta y a las infraestructuras críticas en general. El compromiso de MITRE es claro, pero las consecuencias son reales si no se mantiene el soporte.”
Por su parte, Tim Peck, investigador en Securonix, lo resume así:
“Un fallo en el programa impediría a las organizaciones obtener o publicar nuevos CVEs, causando retrasos en la divulgación de vulnerabilidades. Además, frenar el proyecto CWE afectaría directamente a las prácticas de desarrollo seguro y evaluación de riesgos.”
🧭 ¿Qué está haciendo MITRE?
Aunque la financiación expira el 16 de abril, MITRE asegura que sigue comprometida con el programa CVE como recurso global y que el gobierno está trabajando para encontrar soluciones de apoyo. Pero, hasta ahora, no hay garantías oficiales de continuidad operativa más allá de esa fecha.