La National Vulnerability Database solo analizará vulnerabilidades críticas, de gobierno federal o en el catálogo KEV de CISA. El resto se marcará como 'No programado' sin puntuación CVSS oficial.
El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) anunció un cambio estructural en la operación de la National Vulnerability Database (NVD): dejará de enriquecer automáticamente todas las vulnerabilidades CVE para centrarse exclusivamente en aquellas con mayor impacto sistémico. La decisión responde a un incremento del 263% en los envíos de CVEs entre 2020 y 2025, una tendencia que continúa acelerándose con un aumento adicional del 33% durante el primer trimestre de 2026 respecto al mismo período del año anterior.
La NVD, según describe el propio proceso del programa CVE, funcionaba hasta ahora como el repositorio centralizado que enriquecía cada vulnerabilidad con puntuaciones de severidad CVSS, listas de productos afectados, clasificaciones de debilidad y enlaces a parches o investigaciones. Ese modelo de análisis comprehensivo colapsó bajo su propio peso, en 2025 el equipo de NIST enriqueció casi 42,000 CVEs, un récord histórico 45% superior a cualquier año anterior, pero incluso ese incremento de productividad resultó insuficiente para mantener el ritmo de las admisiones.
Bajo los nuevos criterios de priorización publicados por NIST, la base de datos enriquecerá únicamente tres categorías de vulnerabilidades, aquellas que aparezcan en el catálogo KEV (Known Exploited Vulnerabilities) de CISA, con meta de procesamiento en un día hábil, las que afecten software utilizado por el gobierno federal estadounidense y las correspondientes a software crítico según la definición de la Orden Ejecutiva 14028.
Todo CVE que no cumpla estos requisitos será publicado en la NVD pero marcado como "Prioridad más baja no programado para enriquecimiento inmediato", lo que significa que no recibirá puntuación CVSS oficial ni análisis detallado por parte del equipo de NIST.
Como señala The Hacker News, datos de VulnCheck indican que aproximadamente 10.000 vulnerabilidades de 2025 permanecen sin puntuación CVSS, y NIST solo ha enriquecido alrededor del 32% de los CVEs del año pasado.
Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, advirtió que "una porción significativa de vulnerabilidades ahora no tiene un camino claro hacia el enriquecimiento para organizaciones que dependen de NIST como su fuente autorizada".
David Lindner, CISO de Contrast Security, fue más directo: el anuncio marca el fin de una era donde los defensores podían apoyarse en una única base de datos gubernamental para evaluar riesgos.
La medida incluye cambios adicionales en la operación del NVD. NIST dejará de generar puntuaciones de severidad independientes cuando la CNA ya haya proporcionado una, eliminando duplicación de esfuerzos. Los CVEs modificados solo se reanalizarán si el cambio afecta materialmente los datos de enriquecimiento. Y todos los CVEs no enriquecidos con fecha de publicación anterior al 1 de marzo de 2026 pasaron automáticamente a la categoría "No programado", salvo aquellos ya presentes en el catálogo KEV. NIST ha actualizado el NVD Dashboard para reflejar en tiempo real el estado de cada vulnerabilidad.
Para organizaciones latinoamericanas, el mensaje es claro: la era de depender exclusivamente de una fuente gubernamental para inteligencia de vulnerabilidades ha terminado. Los equipos de seguridad deberán diversificar sus fuentes de información, priorizar activamente las vulnerabilidades basándose en explotabilidad real, no solo en severidad teórica y desarrollar capacidades internas de análisis o suscribirse a servicios comerciales de inteligencia de amenazas. El cambio operativo de NIST no es un retroceso, sino un reconocimiento realista de que el volumen de vulnerabilidades ha excedido la capacidad de cualquier organismo centralizado para procesarlas manualmente.
FUENTE ORIGINAL
NIST↗CURADO POR
Johan Ricardo