A partir de marzo de 2025, el Instituto Nacional de Estándares y Tecnología (NIST) continúa lidiando con el creciente volumen de vulnerabilidades y exposiciones comunes (CVE) en la Base de Datos Nacional de Vulnerabilidades (NVD).
A pesar de las iniciativas previas para abordar el retraso, las actualizaciones recientes indican que la capacidad de análisis de vulnerabilidades se ha visto aún más comprometida.
Según la actualización del NIST del 19 de marzo, la agencia mantiene un ritmo de procesamiento de CVE entrantes similar al previo a la ralentización registrada en la primavera de 2024.
Sin embargo, dado el aumento del 32% en las presentaciones de CVE durante 2024, la capacidad de procesamiento actual resulta insuficiente para gestionar el flujo de información.
De manera preocupante, el retraso supera las estimaciones iniciales, que preveían hasta 30.000 vulnerabilidades sin analizar a principios de 2025.
Anticipamos que la tasa de presentaciones seguirá aumentando en 2025”, reconoció la agencia en su actualización.
«El hecho de que las vulnerabilidades estén aumentando significa que el NVD es más importante que nunca para proteger la infraestructura de nuestra nación. Sin embargo, también apunta a crecientes desafíos por delante».
El retraso actual plantea riesgos importantes para las organizaciones de todo el país que dependen del análisis CVE oportuno para la gestión de vulnerabilidades.
Sin un enriquecimiento adecuado de los datos de vulnerabilidad, incluidos los identificadores de enumeración de plataforma común (CPE), las puntuaciones del sistema de puntuación de vulnerabilidad común (CVSS) y las clasificaciones de enumeración de debilidades comunes (CWE), los equipos de seguridad carecen de la información crítica necesaria para la priorización.
«El proceso de enriquecimiento es esencial para que las organizaciones comprendan qué vulnerabilidades representan la amenaza más inmediata», explicó la analista de ciberseguridad Dra. Lauren Chen.
«Cuando las vulnerabilidades explotadas conocidas (KEV) no se analizan, se crean puntos ciegos peligrosos en las posturas defensivas».
Para abordar estos desafíos, el NIST ha intensificado sus esfuerzos para integrar capacidades de aprendizaje automático en su flujo de trabajo de análisis de vulnerabilidades.
Según la actualización de la agencia, «para abordar estos desafíos, estamos trabajando para aumentar la eficiencia mejorando nuestros procesos internos y estamos explorando el uso del aprendizaje automático para automatizar ciertas tareas de procesamiento».
Investigaciones anteriores han demostrado el potencial de los enfoques automatizados, y un estudio logró una medida F de 0,86 cuando se utiliza el reconocimiento de entidades nombradas (NER) para hacer coincidir automáticamente los resúmenes CVE con los CPE correspondientes. Esta automatización podría acelerar significativamente el proceso de enriquecimiento.
La crisis de los retrasos se intensificó después de que CISA suspendiera aproximadamente $3,7 millones en apoyo financiero interinstitucional anual para el programa NVD a finales de 2023.
Si bien el NIST redirigió los fondos existentes y contrató a la empresa de ciberseguridad Analygence para brindar soporte de análisis adicional, estas medidas han demostrado ser insuficientes frente a la creciente tasa de descubrimiento de vulnerabilidades.
A medida que el retraso continúa creciendo hasta 2025, el NIST enfrenta una mayor presión para implementar métodos de procesamiento más eficientes y al mismo tiempo mantener la precisión y confiabilidad que hacen del NVD un recurso esencial para la infraestructura nacional de ciberseguridad.
