Es posible que las siglas CVE no les resulten familiares. Corresponden a «Common Vulnerabilities and Exposures» (Vulnerabilidades y Exposiciones Comunes). Se trata de un sistema estandarizado que identifica, define y cataloga públicamente las vulnerabilidades de ciberseguridad divulgadas por medio de la asignación de identificadores únicos (ID) que eliminan ambigüedades y facilitan una respuesta coordinada.
El concepto original de lo que se convertiría en la Lista CVE fue presentado por David E. Mann y Steve C. Coley en el 2º Taller sobre Investigación con Bases de Datos de Vulnerabilidades de Seguridad que se celebró el 21 y 22 de enero de 1999 en la Universidad de Purdue en West Lafayette (Indiana). El CVE se desarrolla en el paper titulado Towards a Common Enumeration of Vulnerabilities.
Inicialmente, el programa CVE funcionaba bajo un modelo centralizado, en el que MITRE Corporation asignaba todos los identificadores CVE para los distintos productos de software, tras la revisión de una Comisión Editorial o Junta integrada por representantes de proveedores de herramientas, del ámbito académico y de la industria de la seguridad.
Con el aumento del uso de software y la rápida proliferación de vulnerabilidades, el esquema original comenzó a mostrar dificultades para atender la creciente demanda, al no ser escalable.
En 2016, la Junta de CVE impulsó la federación de la gobernanza y las operaciones del programa. Un pilar fundamental de esta nueva estrategia es el reconocimiento de que ninguna organización puede gestionar por sí sola toda la carga de trabajo relacionada con la asignación, la publicación de registros y la gobernanza.
Las nuevas reglas exigen a las Entidades de Notificación de Denuncias (CNA) publicar sus propios registros CVE dentro de su ámbito de aplicación. Actualmente, el programa cuenta con más de 400 CNA con presencia en 40 países. En 2024 se introdujo un nuevo proveedor de datos CVE: el Publicador Autorizado de Datos (ADP) gestionado, actualmente, por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA).
El uso de CVE por parte de las agencias estadounidenses fue recomendado por el Instituto Nacional de Estándares y Tecnología (NIST) en la Publicación especial (SP) 800-51 del NIST, Uso del esquema de nombres de vulnerabilidades CVE que se publicó inicialmente en 2002 y se actualizó en 2011. En junio de 2004, la Agencia de Sistemas de Información de Defensa de los Estados Unidos (DISA) emitió una orden de trabajo para aplicaciones de aseguramiento de la información que requiere el uso de productos que utilicen identificadores CVE.
En 2011, el Grupo de Relator sobre Ciberseguridad de la Unión Internacional de Telecomunicaciones (UIT) adoptó el programa CVE como parte de sus nuevas Técnicas de intercambio mundial de información sobre ciberseguridad (X.CYBEX) al emitir la Recomendación UIT-T X.1520 Vulnerabilidades y exposiciones comunes (CVE).
En 2025, Gobiernos de todo el mundo siguen recurriendo al programa CVE para la identificación de vulnerabilidades. La Directiva NIS 2 de la Unión Europea instruye a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) a colaborar con el programa CVE.
El objetivo es que, en los próximos años, el programa CVE amplíe su alcance a sectores estratégicos para la economía global, como el automotriz, la inteligencia artificial y el aprendizaje automático, los servicios financieros y FinTech, la infraestructura crítica y la energía, el IoT y los dispositivos inteligentes, los proveedores de telecomunicaciones y de servicios de internet, la tecnología sanitaria y farmacéutica, las plataformas nativas de la nube y SaaS, así como el comercio electrónico y la venta minorista
Conclusión
Iniciativas a escala global, como el programa CVE que fomenta la estandarización, la colaboración y el conocimiento compartido sobre las vulnerabilidades y amenazas comunes a las que nos enfrentamos diariamente fortalecen nuestra capacidad de defensa frente a los ciberatacantes.
Para evitar que el programa CVE dependa exclusivamente de los fondos estatales de Estados Unidos, la Junta de CVE respalda la transición de un modelo de financiación único a otro diversificado y más estable. Esta transición se advierte necesaria ante los recortes presupuestarios impulsados por la administración Trump que han puesto en riesgo la continuidad del programa.
No se pierda nuestro podcast sobre el artículo
