La Unión Europea ha dado un gran salto a su estrategia de seguridad digital con el lanzamiento oficial de la Base de datos de vulnerabilidad europea (EUVD), desarrollado y mantenido por la Agencia de Ciberseguridad de la Unión Europea (ENISA).
Anunciado el 13 de mayo de 2025, EUVD está actualmente operativo y proporciona un repositorio centralizado, confiable y práctico de vulnerabilidades de seguridad cibernética que afectan los productos y servicios de tecnología de comunicaciones (TIC) en toda la UE.
Nuevos pilares para la resiliencia cibernética europea
Mandado por la Directiva NIS2, EUVD está diseñado para agregar e interconectar información de vulnerabilidad disponible públicamente de una amplia gama de fuentes, incluidos el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRTS), los investigadores de amenazas de la industria, los proveedores de las TIC y las bases de datos establecidas como las vulnerabilidades comunes de MITER y los programas de exposición (CVE).
Este enfoque holístico permite un mejor análisis, correlación y gestión de vulnerabilidad, lo que hace que el EUVD sea un recurso confiable y transparente para las partes interesadas del sector público y privado.
Henna Wilkunen, vicepresidente de la Comisión Europea de Soberanía, Seguridad y Democracia, dio la bienvenida al lanzamiento como “un paso clave para fortalecer la seguridad y la resistencia de Europa,” destacando los estándares de elevación del EUVD para la ciberseguridad y las partes interesadas para proteger a las partes interesadas de manera más eficiente y autónoma.
Características clave y accesibilidad
EUVD ofrece tres vistas de tablero diferentes.
Vulnerabilidades críticas: destacando problemas con consecuencias graves. Vulnerabilidades explotadas: centrarse en las personas que actualmente se someten a ataques activos. Vulnerabilidades coordinadas de la UE: una introducción a los casos administrados por CSIRT europeos.
Cada entrada proporciona información detallada, incluida una descripción de la vulnerabilidad, el producto o servicio afectado, la gravedad, cómo explotar y las medidas o parches de mitigación disponibles.
La base de datos está disponible públicamente y brinda servicios a proveedores, usuarios de sistemas de redes y de información, autoridades nacionales, empresas privadas e investigadores por igual.
El lanzamiento llega en un momento crucial después de la reciente incertidumbre de financiación que rodea el programa MITER CVE con sede en Estados Unidos.
Los expertos ven EUVD como un movimiento estratégico para reducir la dependencia de una sola fuente de vulnerabilidad no europea y garantizar la continuidad y la resiliencia en la gestión global de vulnerabilidad.
Aunque EUVD no está destinado a reemplazar los programas CVE, ENISA trabaja en estrecha colaboración con MITER para garantizar la interoperabilidad y la complementariedad, como el mapeo de identificadores EUVD a las ID de CVE existentes.
Apoyo al ecosistema de ciberseguridad de la UE
Según el informe, el nuevo papel de ENISA como la Agencia de Numeración de CVE (CNA) a partir de enero de 2024 en adelante permite la divulgación de registro y respaldo de vulnerabilidades descubiertas o informadas por las CSIRT de la UE.
EUVD también aprovecha el Marco de Asesoría de Seguridad Común (CSAF) para habilitar los consultas legibles por máquina y la gestión de vulnerabilidad simplificada.
En 2025, ENISA planea desarrollar aún más EUVD, mejorar sus servicios y recopilar comentarios para garantizar que siga siendo una herramienta importante en el marco de seguridad cibernética de la UE.
Se espera que la base de datos respalde el cumplimiento tanto con la directiva NIS2 como la futura resiliencia cibernética, mejorando la soberanía tecnológica y la seguridad digital de la UE.
Con el lanzamiento de EUVD, Europa ahora tiene recursos robustos e independientes para fortalecer su postura de ciberseguridad, mejorar la conciencia situacional y limitar la exposición a amenazas digitales en evolución.
Cómo los equipos de SOC pueden ahorrar tiempo y esfuerzo.
