El vicepresidente de MITRE, Yosry Barsoum, advirtió que el financiamiento del gobierno de EE. UU. para los programas CVE (Common Vulnerabilities and Exposures) y CWE (Common Weakness Enumeration) expira hoy, lo que podría generar una disrupción masiva en la industria global de la ciberseguridad.
¿Qué es CVE y por qué importa?
El programa CVE, considerado crítico, es mantenido por MITRE con fondos de la División Nacional de Ciberseguridad del Departamento de Seguridad Nacional (DHS) de EE. UU.
Es fundamental porque:
- Establece un estándar común para nombrar y rastrear vulnerabilidades.
- Es usado por sistemas de gestión de vulnerabilidades, herramientas de seguridad y bases de datos globales.
- Facilita la coordinación y comunicación entre expertos de seguridad en todo el mundo.
MITRE actúa como editor principal y autoridad central (CNA) que asigna identificadores CVE a nuevas vulnerabilidades.
Riesgos ante una interrupción del servicio
En una carta enviada a la junta del CVE, Barsoum advirtió:
“Si se produce una interrupción del servicio, esperamos múltiples impactos negativos en CVE, incluidas las bases de datos nacionales de vulnerabilidades, alertas, herramientas de ciberseguridad, operaciones de respuesta a incidentes y sectores de infraestructura crítica.”
Alarma en la comunidad de ciberseguridad
Desde que la carta fue publicada en línea, expertos y líderes del sector han expresado gran preocupación.
Jean Easterly, exdirectora de CISA, alertó que la pérdida del sistema CVE sería como “quitar los catálogos de tarjetas de todas las bibliotecas del mundo”, dejando a los defensores sin guía y a los atacantes con ventaja.
Casey Ellis, fundador de Bugcrowd, añadió que una interrupción abrupta podría escalar a un problema de seguridad nacional.
¿Qué dicen las autoridades? ️
“Aunque el contrato con MITRE expira el 16 de abril, estamos trabajando urgentemente para mitigar el impacto y mantener los servicios del CVE que necesitan los actores globales.”
Esto ocurre mientras NIST lucha por ponerse al día con el enorme retraso de CVEs pendientes de análisis y enriquecimiento en su base de datos nacional de vulnerabilidades (NVD).