El National Institute of Standards and Technology (NIST) gestiona la base de datos National Vulnerability Database (NVD), una plataforma clave utilizada a nivel mundial para analizar y clasificar vulnerabilidades de software y hardware. Sin embargo, el crecimiento acelerado en el número de reportes ha generado una sobrecarga operativa que obliga a replantear su enfoque.
Cambio clave: priorización de vulnerabilidades
A partir del 15 de abril, el NIST dejará de asignar puntajes de severidad y análisis detallados a vulnerabilidades consideradas de baja prioridad.
Esto significa que:
- Solo se analizarán en profundidad las vulnerabilidades más críticas
- Las vulnerabilidades menores mantendrán únicamente la evaluación inicial realizada por la CVE Numbering Authority (CNA)
Nuevos criterios de evaluación
El NIST solo ampliará información de vulnerabilidades que cumplan con al menos uno de estos criterios:
- Estar incluidas en el catálogo Known Exploited Vulnerabilities Catalog (KEV) de Cybersecurity and Infrastructure Security Agency
- Afectar software utilizado por el gobierno federal de EE. UU.
- Estar relacionadas con software crítico según la Executive Order 14028
Motivo principal: crecimiento descontrolado
El cambio responde a un aumento significativo en la carga de trabajo:
- Incremento del 263% en reportes de vulnerabilidades
- Más de 42,000 CVE analizados en 2025
- Tendencia creciente durante 2026
Ante este volumen, el NIST reconoce que ya no puede procesar todos los casos con el mismo nivel de detalle.
¿Qué pasará con las vulnerabilidades no prioritarias?
Todas las vulnerabilidades seguirán siendo registradas en la NVD, pero:
- Se clasificarán como “Not Scheduled”
- No tendrán análisis completo ni enriquecimiento adicional
- Dependerán de la información proporcionada por la CNA
Impacto en la comunidad de ciberseguridad
La NVD es ampliamente utilizada por:
- Investigadores de seguridad
- Empresas tecnológicas
- Gobiernos
- Profesionales TI
La reducción en el análisis podría:
- Limitar la información disponible para gestión de riesgos
- Generar retrasos en la evaluación de ciertas amenazas
- Obligar a las organizaciones a realizar análisis propios
Riesgos y consideraciones
El propio NIST admite que este enfoque puede provocar que algunas vulnerabilidades importantes pasen desapercibidas.
Para mitigar esto:
- Se podrán solicitar revisiones mediante correo electrónico
- Se mantendrá la transparencia en el registro de CVE
Conclusión
El NIST está priorizando recursos para enfocarse en las amenazas con mayor impacto global, sacrificando el análisis detallado de vulnerabilidades menores.
Este cambio refleja un problema creciente en la ciberseguridad: el volumen de riesgos supera la capacidad de evaluación centralizada, lo que obliga a evolucionar hacia modelos más selectivos y colaborativos.
