La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha decidido extender de forma temporal el contrato con MITRE Corporation para la administración de los programas CVE (Common Vulnerabilities and Exposures) y CWE (Common Weakness Enumeration), instrumentos esenciales para la identificación global de vulnerabilidades y debilidades en materia de ciberseguridad. La decisión fue adoptada tras la alerta generada cuando MITRE advirtió públicamente que su contrato expiraba el miércoles 16 de abril de 2025.
Activos desde 1999 y 2006 respectivamente, los programas CVE y CWE funcionan como un nodo internacional de referencia para la difusión de información actualizada sobre fallas de seguridad en software y productos tecnológicos. Las entradas en la base de datos CVE constituyen habitualmente el punto de partida para la gestión de vulnerabilidades y la respuesta a incidentes, proporcionando datos clave sobre actualizaciones de seguridad, productos afectados, indicadores de compromiso y otra inteligencia técnica crítica.
El martes 15 de abril, MITRE encendió las alarmas al publicar una carta firmada por Yosry Barsoum, vicepresidente de la organización y director del Centro para la Protección del Territorio Nacional, en la que advertía que la falta de renovación contractual podía interrumpir su rol como autoridad emisora de identificadores CVE. La comunidad de ciberseguridad internacional reaccionó con inquietud ante la posibilidad de una disrupción en el sistema que funciona como estándar global.
En dicha comunicación, el directivo advertía: «Si se produjera una interrupción en el servicio, anticipamos múltiples impactos en CVE, incluyendo el deterioro de las bases de datos y avisos de vulnerabilidad nacionales, los proveedores de herramientas, las operaciones de respuesta a incidentes y todo tipo de infraestructura crítica».
En respuesta a la creciente presión, la CISA confirmó que el 16 de abril optó por una prórroga de 11 meses, que garantiza la continuidad operativa del programa mientras se avanza en la firma de un contrato a largo plazo.
Fuente: https://www.linkedin.com/posts/cisagov_activity-7318287623725215744-zYnJ</
Creación de la Fundación CVE
En paralelo a las negociaciones contractuales y como reacción a la incertidumbre por el futuro del programa, algunos miembros del programa CVE decidieron establecer formalmente la “CVE Foundation”, una entidad sin fines de lucro orientada a garantizar la viabilidad, estabilidad e independencia del sistema en el largo plazo.
«La creación de la Fundación CVE representa un paso fundamental para eliminar un único punto de falla en el ecosistema de gestión de vulnerabilidades y para asegurar que el Programa CVE siga siendo una iniciativa confiable a nivel global y basada en la comunidad», subraya la comunicación, al tiempo que llama a modernizar y asegurar la gobernanza del programa para evitar futuros episodios de incertidumbre.
Aunque la continuidad del programa ha sido asegurada por el momento, lo ocurrido evidenció la vulnerabilidad de una infraestructura crítica para la ciberseguridad global. El episodio plantea un desafío estructural: consolidar un modelo de gestión robusto, independiente y sostenible para uno de los pilares fundamentales del ciberespacio contemporáneo.
Fuente
Ciberprisma - alianza por la ciberseguridad 