La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha extendido su acuerdo con Miter Corporation para garantizar la operación ininterrumpida de su programa de vulnerabilidad y exposición comunes (CVE), una piedra angular de la ciberseguridad global, a horas de perder fondos federales.
Fundado en 1999 y mantenido por Miter, el programa CVE proporciona el sistema más utilizado del mundo para catalogar y estandarizar los identificadores de vulnerabilidad de ciberseguridad disponibles públicamente.
Su identificador único, conocido como CVE ID, es esencial para los investigadores de seguridad, los proveedores y los equipos que rastrean, priorizan y reparan los defectos de seguridad.
La base de datos admite todo, desde escáneres de vulnerabilidad y sistemas de gestión de parches hasta operaciones de respuesta a incidentes y protección crítica de infraestructura.
Apagado debido a problemas de financiación
La crisis se desarrolló como Miter confirmó que el contrato con el Departamento de Seguridad Nacional de los Estados Unidos (DHS) para ejecutar el programa CVE expiró el 16 de abril de 2025 y que no se produciría renovación.
Esta revelación envió ondas de choque a través de la comunidad de seguridad cibernética, que se basa en CVE como un estándar de referencia global para la gestión de vulnerabilidades. Los expertos advirtieron que los cierres interrumpirían las bases de datos de vulnerabilidad en todo el país, desglosarían las advertencias de seguridad y obstaculizarían los esfuerzos de los proveedores de herramientas y los respondedores de incidentes en todo el mundo.
Después de esta crisis de vencimiento, “la Fundación CVE se ha lanzado oficialmente para proteger la continuidad, estabilidad e independencia a largo plazo del programa común de vulnerabilidad y exposición (CVE)”.
“Si se produce una ruptura de servicio, se esperan múltiples impactos en la CVE, incluidas las bases y avisos de datos de vulnerabilidades nacionales, proveedores de herramientas, operaciones de respuesta a incidentes y todo tipo de degradación crítica de la infraestructura.
CISA, la principal patrocinadora del programa CVE, respondió al aumento de la presión y el atractivo de la industria al ejecutar un “período opcional” en los contratos el martes por la noche, horas antes de que expirara el programa.
Un portavoz de la CISA dijo a Cyber Security News: “El programa CVE es invaluable para la comunidad cibernética y las prioridades de CISA. Anoche, CISA realizó un período opcional del contrato para evitar que vuelva a los servicios importantes de CVE.
Los detalles de la expansión, incluida su duración y perspectiva de financiamiento a largo plazo, siguen siendo desconocidas, pero se ha evitado la amenaza inmediata de las interrupciones del servicio.
La medida se produce en medio de esfuerzos de reducción de costos más amplios dentro del gobierno federal, con la terminación del contrato y las reducciones que ya ocurren en varios equipos de CISA.
Los debates reavivados de llamadas cercanas sobre la sostenibilidad y la neutralidad de vincular recursos de confianza globalmente como CVE con un solo patrocinador del gobierno.
Según los informes, algunos miembros del Comité CVE están considerando establecer una nueva institución independiente para garantizar la estabilidad y la equidad a largo plazo en el programa.
Por ahora, esta extensión significa que los expertos en seguridad, los proveedores y las agencias gubernamentales de todo el mundo pueden continuar dependiendo de los programas CVE para rastrear y responder a las vulnerabilidades coordinadas.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
