Labs 101
Labs 101

La ciberseguridad acaba de recibir un golpe brutal: ¿Se apaga la base de datos de vulnerabilidades CVE?


El pasado, 15 de abril, se filtró una carta en línea de MITER dirigida a los miembros de la junta del programa CVE (Common Vulnerabilities and Exposures). El mensaje es claro: el contrato que permite a MITER operar y modernizar la base de datos CVE, junto con otros programas críticos como CWE, expira el 16 de abril. Si no se renueva, el impacto sería catastrófico.

¿Qué está pasando?

MITER, la organización sin fines de lucro encargada de mantener esta herramienta esencial, advierte que sin financiamiento gubernamental, servicios clave para la ciberseguridad global colapsarían. La base de datos CVE no solo es un repositorio de vulnerabilidades conocidas, sino el lenguaje común que permite a investigadores, empresas y gobiernos identificar y mitigar riesgos. Su deterioro afectaría desde infraestructuras críticas hasta operaciones de respuesta a incidentes.

La filtración, difundida inicialmente por Tiberius, generó reacciones inmediatas. La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) confirmó la expiración del contrato y aseguró estar trabajando para mitigar el impacto, aunque sin detalles concretos. Mientras tanto, la comunidad reacciona con incredulidad.

Voces de alarma

Brian Martin, experto en vulnerabilidades, comparó la situación con "eliminar todos los diccionarios": perderíamos la capacidad de nombrar y comunicar amenazas.

Jen Easterly, directora de CISA, tildó el posible colapso de "grave riesgo para la seguridad nacional y la resiliencia operativa".

Forbes lo describe como un "incendio de cinco alarmas", destacando que no hay un plan de respaldo claro.

¿Qué sigue?

MITER asegura que los registros históricos de CVE permanecerán en GitHub, pero sin actualizaciones, la industria quedaría en un limbo. Las autoridades de numeración (CNAs) podrían seguir asignando identificadores, pero sin coordinación centralizada, el caos sería inevitable.

Reflexión final

El presentador del video, visiblemente frustrado, resume el sentir de muchos:

"Esto es como cortarle las piernas a la ciberseguridad"
. Sin un sistema unificado, la industria retrocedería a una era de descoordinación, donde cada actor nombraría vulnerabilidades de forma arbitraria (¿quizás como Pokémon?).

Aunque hay esperanza en que se logre una extensión o solución de último momento, la incertidumbre reina. Como dice el mensaje final: *"CVEs son el suelo que pisamos. ¿Podemos, por favor, mejorar las cosas en lugar de empeorarlas?"*.

Mientras tanto, el mundo observa… y cruza los dedos.

Nota: Este artículo se basa en la transcripción de un video de emergencia publicado el 15 de abril. Enlace al video original: https://www.youtube.com/watch/itbsfeqrRY4

Copyright © 2025 Labs 101

Blog de ciberseguridad, hacking ético y tecnología avanzada