El programa de rastreo de vulnerabilidades CVE, en peligro tras perder fondos del Gobierno de EEUU

El programa CVE (Common Vulnerabilities and Exposures) es un sistema utilizado por grandes empresas como Microsoft, Google, Apple, Intel y AMD para identificar y rastrear las vulnerabilidades de ciberseguridad divulgadas públicamente.

Ayuda a los ingenieros a identificar la gravedad de una vulnerabilidad y a priorizar la aplicación de parches u otras medidas de mitigación y su futuro está en peligro tras perder fondos del Gobierno de Estados Unidos.

Según publica The Verge, el contrato de MITRE (la organización financiada con fondos federales de EEUU que está detrás del programa) para "desarrollar, operar y modernizar" CVE expira este 16 de abril.

El programa, lanzado en 1999, cuenta con el apoyo del Departamento de Seguridad Nacional y de la Agencia de Ciberseguridad y de Infraestructura de Seguridad de Estados Unidos, y su mantenimiento esta en manos de MITRE.

Aunque MITRE es su principal proveedor, en él colaboran organizaciones de todo el mundo, generalmente firmas de software, de equipos de respuesta ante emergencias informáticas y empresas de ciberseguridad. Entre ellos se encuentran Microsoft, Google e Intel, entre otros muchos.

Todas estas organizaciones identifican vulnerabilidades, que analizan para determinar su gravedad y publican en el listado tras asignarles un CVE-ID, es decir, un identificador que consiste en las siglas CVE y un número, que se refiere al año y a la vulnerabilidad.

Fin de la llegada de fondos federales

El programa, sin embargo, inicia una etapa de incertidumbre tras finalizar el contrato que provee de fondos federales, como ha informado el vicepresidente y director del Centro de Seguridad Nacional, Yorsy Barsoum, a los miembros del consejo directivo.

La carta enviada por Barsoum avisa "un posible problema importante con respecto al apoyo continuo de MITRE a CVE", debido a la expiración del contrato (que por el momento no ha sido renovado).

"Si se produjera una interrupción en el servicio, anticipamos múltiples impactos en CVE, incluyendo el deterioro de las bases de datos y avisos de vulnerabilidad nacionales, los proveedores de herramientas, las operaciones de respuesta a incidentes y todo tipo de infraestructura crítica", advierte el directivo.

Barsoum también asegura que "el Gobierno continúa realizando esfuerzos considerables para que MITRE continúe con el papel de apoyo al programa" y que "MITRE continúa comprometido con CVE como un recurso global".

El investigador y experto en privacidad y ciberseguridad Lukasz Olejnik advierte de que los recortes de la Administración Trump "paralizarán (al menos temporalmente) el sistema mundial de ciberseguridad".

En un mensaje publicado en la red social X en el que incluye la carta de Barsoum, Olejnik añade que el fin del programa CVE supondría "una ruptura de la coordinación entre proveedores, analistas y sistemas de defensa: nadie estará seguro de que se refieren a la misma vulnerabilidad. Un caos total y un debilitamiento repentino de la ciberseguridad en todos los ámbitos".