NIST marca como diferidos todos los CVEs publicados antes de 2018
El Instituto Nacional de Estándares y Tecnología (NIST) anunció el 2 de abril de 2025 una medida significativa en la gestión de vulnerabilidades: todos los Common Vulnerabilities and Exposures (CVEs) con fecha de publicación anterior al 1 de enero de 2018 serán marcados como “diferidos” (deferred) en la National Vulnerability Database (NVD). Esta decisión busca optimizar la gestión de vulnerabilidades y priorizar recursos en amenazas más recientes.
Contexto técnico de la decisión
Los CVEs son identificadores únicos asignados a vulnerabilidades de seguridad conocidas. La NVD, mantenida por el NIST, es una base de datos pública que proporciona detalles técnicos, puntuaciones CVSS y referencias para cada CVE. El marcado como “diferido” indica que estas vulnerabilidades no recibirán actualizaciones adicionales en la NVD, aunque seguirán siendo accesibles para consulta histórica.
Las razones técnicas detrás de esta medida incluyen:
- Reducción de ruido en la gestión de vulnerabilidades, enfocándose en amenazas activas.
- Optimización de recursos para análisis de CVEs más recientes con mayor probabilidad de explotación.
- Alineación con ciclos de vida de productos tecnológicos, donde muchos sistemas afectados por CVEs antiguos ya no están en uso.
Implicaciones para la ciberseguridad
Esta política afectará principalmente a:
- Equipos de seguridad que dependen de feeds automatizados de la NVD para monitoreo de vulnerabilidades.
- Herramientas de escaneo de vulnerabilidades que usan la NVD como fuente primaria.
- Programas de gestión de parches en organizaciones con sistemas heredados.
Los profesionales deberán considerar:
- Implementar fuentes alternativas para vulnerabilidades históricas críticas.
- Revisar políticas de retiro de sistemas obsoletos que puedan contener estas vulnerabilidades.
- Actualizar workflows de gestión de vulnerabilidades para filtrar CVEs diferidos cuando sea apropiado.
Recomendaciones técnicas
Para adaptarse a este cambio, se sugieren las siguientes acciones técnicas:
- Integrar múltiples fuentes de inteligencia de amenazas además de la NVD.
- Priorizar la evaluación de riesgos basada en contexto específico en lugar de depender exclusivamente de CVSS.
- Mantener inventarios actualizados de activos tecnológicos para identificar sistemas potencialmente afectados.
- Considerar implementar soluciones de compensación para sistemas heredados que no puedan ser actualizados.
Esta medida del NIST refleja una tendencia en la industria hacia enfoques más pragmáticos en la gestión de vulnerabilidades, equilibrando cobertura completa con eficiencia operativa. Las organizaciones deberán ajustar sus procesos para mantener posturas de seguridad efectivas en este nuevo contexto.
