Durante 25 años, la Corporación MITRE ha mantenido el programa Common Vulnerabilities and Exposures (CVE), una base de datos crítica que organiza las vulnerabilidades informáticas y sirve como piedra angular para los programas de defensa de ciberseguridad en todo el mundo. Sin embargo, el Departamento de Seguridad Nacional (DHS) ha decidido no renovar su contrato de financiación, lo que lleva al inminente fin del programa el 16 de abril y ha provocado una gran preocupación en la comunidad de ciberseguridad.
El programa Common Vulnerabilities and Exposures (CVE), una piedra angular de la defensa de la ciberseguridad durante 25 años, está programado para finalizar el 16 de abril de 2025, debido a que el Departamento de Seguridad Nacional (DHS) no renovará su contrato de financiación con MITRE. Esta decisión ha provocado una preocupación generalizada dentro de la comunidad de ciberseguridad, y los expertos la califican como un desarrollo potencialmente desastroso.
El programa CVE, mantenido por la organización sin fines de lucro de I+D MITRE, sirve como un repositorio central para identificar y catalogar las vulnerabilidades informáticas. Como Yosry Barsoum, vicepresidente y director del Centro para la Seguridad de la Patria en MITRE, declaró en una misiva a la junta de CVE, la financiación para que MITRE opere y modernice el programa CVE, junto con iniciativas relacionadas como el programa Common Weakness Enumeration (CWE), expirará en la fecha especificada.
Las implicaciones de esta terminación son de gran alcance, según numerosos expertos. Sasha Romanosky, investigadora principal de políticas en la Rand Corporation, describió el fin del programa CVE como “trágico”, un sentimiento que fue repetido por muchos. Destacó que la asignación y denominación de CVE son la base misma sobre la cual se construye el ecosistema de vulnerabilidades de software, lo que permite el seguimiento de las vulnerabilidades, la evaluación de su gravedad, la predicción de su explotación y la toma de decisiones informadas sobre parches.
Ben Edwards, científico investigador principal en Bitsight, expresó su decepción y tristeza, destacando el valor del recurso y la posibilidad de un camino difícil por delante si las operaciones se trasladan a otra entidad. Brian Martin, historiador de vulnerabilidades y ex miembro de la junta de CVE, escribió en LinkedIn que el fin de la financiación de MITRE causaría un efecto en cascada inmediato que impactaría la gestión de vulnerabilidades a nivel mundial.
El programa CVE es un pilar fundamental del ecosistema global de ciberseguridad, que sirve como el estándar de facto para identificar vulnerabilidades y guiar los programas de gestión de vulnerabilidades. Proporciona datos esenciales a los productos de los proveedores en varios dominios de seguridad, incluyendo la gestión de vulnerabilidades, la inteligencia de amenazas cibernéticas, la gestión de eventos e información de seguridad y la detección y respuesta de endpoints.
Aunque el Instituto Nacional de Estándares y Tecnología (NIST) enriquece los registros de CVE de MITRE a través de su Base de Datos Nacional de Vulnerabilidades (NVD), y CISA ha contribuido a través de su programa “vulnrichment”, MITRE sigue siendo la fuente principal para identificar fallos de seguridad. La dependencia del programa CVE de MITRE es tan significativa que se espera que su cese tenga un impacto amplio y perjudicial.
Se prevé que las consecuencias del fin del programa sean graves. Martin esbozó varios impactos clave, incluyendo la incapacidad de las Autoridades de Numeración CVE (CNA) para asignar IDs y enviar información para su publicación rápida. La Base de Datos Nacional de Vulnerabilidades (NVD) depende en gran medida de esta información, y ya está luchando con un retraso de más de 30.000 vulnerabilidades, con más de 80.000 vulnerabilidades “aplazadas”.
Además, las empresas que mantienen sus propias bases de datos de vulnerabilidades, que esencialmente dependen de los datos de CVE, necesitarán encontrar fuentes alternativas de inteligencia. Es probable que las bases de datos nacionales de vulnerabilidades en países como China y Rusia también se vean significativamente afectadas. Cientos, si no miles, de CERTs nacionales y regionales de todo el mundo perderán una fuente crucial de inteligencia de vulnerabilidades gratuita. Finalmente, cada empresa que dependa de CVE/NVD para la inteligencia de vulnerabilidades experimentará desafíos importantes en sus programas de gestión de vulnerabilidades.
La razón detrás de la decisión del DHS de finalizar el contrato no está clara. El artículo sugiere que los recortes presupuestarios, posiblemente influenciados por el enfoque de la administración Trump en el gasto público, particularmente en CISA, podrían ser un factor contribuyente. Sin embargo, fuentes indican que el costo de ejecutar el programa CVE es relativamente menor en comparación con otros gastos del gobierno federal.
A partir del 16 de abril, MITRE ya no agregará nuevos registros a la base de datos CVE. Sin embargo, los registros históricos de CVE permanecerán disponibles en GitHub. El futuro del programa depende de si surge una alternativa del sector privado para llenar el vacío.
Patrick Garrity, investigador de seguridad en Vulncheck, expresó su preocupación por el impacto potencial en los defensores y la comunidad de seguridad, dada la fragilidad del ecosistema de vulnerabilidades actual. VulnCheck ha reservado proactivamente 1.000 CVE para 2025 y continuará proporcionando asignaciones de CVE a la comunidad.
Un portavoz de CISA declaró que la agencia está trabajando para mitigar el impacto y mantener los servicios de CVE, reconociendo la dependencia de las partes interesadas globales en el programa. Esto sugiere un esfuerzo por encontrar una solución, pero los detalles de cualquier transición potencial siguen siendo inciertos.
El programa CVE, fundamental para la ciberseguridad durante 25 años, finaliza el 16 de abril debido a la decisión de financiamiento del DHS, generando gran preocupación entre expertos que advierten un impacto en cascada en la gestión de vulnerabilidades a nivel mundial. Aunque los registros históricos permanecerán accesibles, el cese inmediato de nuevas entradas de CVE y las posibles interrupciones en sistemas relacionados como el NVD plantean serias dudas sobre el futuro de la inteligencia de vulnerabilidades. CISA intenta mitigar el impacto, pero las implicaciones a largo plazo y la posibilidad de una alternativa del sector privado siguen siendo inciertas, lo que destaca un momento crítico para que la comunidad de ciberseguridad se una y garantice el seguimiento y la defensa continuos de las vulnerabilidades.
Leave a Reply