El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha anunciado un cambio estructural en la forma de tratar las vulnerabilidades en la National Vulnerability Database (NVD). A partir de ahora, el enriquecimiento completo de las entradas CVE —asignación de puntuaciones CVSS, categorización y análisis adicional— se realizará solo para un subconjunto priorizado de vulnerabilidades, mientras que el resto seguirá publicándose, pero sin ese procesamiento detallado automático.
Por qué NIST modifica el tratamiento de CVE en la National Vulnerability Database
El detonante principal es el crecimiento exponencial del volumen de vulnerabilidades. Según datos del propio NIST, el número de CVE recibidas se ha incrementado alrededor de un 263% entre 2020 y 2025, una tendencia que continúa al alza. Solo en 2025, la NVD llegó a enriquecer cerca de 42 000 registros CVE, lo que supone aproximadamente un 45% más que cualquier año anterior.
Lejos de estabilizarse, la carga sigue aumentando: en el primer trimestre de 2026 se registró casi un tercio más de nuevas vulnerabilidades que en el mismo periodo del año anterior. En este contexto, el modelo de “enriquecerlo todo” ha dejado de ser técnicamente escalable incluso para una entidad con los recursos del NIST.
Nuevo enfoque de priorización de CVE y significado de “Not Scheduled”
Criterios de selección de vulnerabilidades prioritarias
Desde el 15 de abril de 2026, la NVD aplica un enfoque de gestión de vulnerabilidades basado en riesgo y en impacto sistémico. NIST concentra sus esfuerzos de análisis en aquellas CVE que, potencialmente, pueden generar consecuencias de gran alcance para el ecosistema digital. De forma resumida, se priorizan las vulnerabilidades que:
- pueden originar incidentes a gran escala o formar parte de complejas cadenas de ataque;
- afectan a software, plataformas o servicios ampliamente utilizados a nivel global;
- representan un riesgo significativo para la ciberseguridad nacional e internacional.
Las CVE que no cumplen estos umbrales pasan a estar marcadas en la NVD como “Not Scheduled”, es decir, no están planificadas para enriquecimiento. Permanecen visibles en la base de datos, pero sin garantía de disponer de puntuación CVSS ni de metadatos avanzados generados por NIST. El propio instituto subraya que muchas de estas vulnerabilidades pueden ser críticas en entornos concretos, aunque no alcancen el mismo nivel de riesgo sistémico.
Solicitud manual de enriquecimiento para CVE críticas
Para organizaciones que se vean afectadas por una vulnerabilidad marcada como “Not Scheduled” pero que consideren de alta criticidad, NIST ha habilitado un canal de solicitud manual. Es posible enviar una petición específica al correo nvd@nist[.]gov, detallando la CVE y justificando su relevancia. Estas solicitudes se evaluarán caso por caso, y las vulnerabilidades seleccionadas se incorporarán a la cola de enriquecimiento.
Impacto en la gestión de vulnerabilidades y en los equipos de auditoría
Límites del modelo anterior y necesidad de automatización
Datos de la empresa especializada VulnCheck apuntan a que, al cierre de 2025, en torno a 10 000 vulnerabilidades seguían sin puntuación CVSS. Se estima que NIST logró enriquecer aproximadamente 14 000 CVE publicadas en 2025, cerca del 32% del total de ese año. Esta brecha pone de manifiesto que el enriquecimiento manual y centralizado de todas las vulnerabilidades nuevas ya no es sostenible.
El panorama actual, marcado por un volumen masivo de CVE y por técnicas de explotación cada vez más automatizadas, exige enfoques igualmente automatizados y distribuídos. No solo para la detección de vulnerabilidades, sino también para su evaluación, correlación con amenazas reales y priorización según el riesgo. Tecnologías como el procesamiento masivo de datos, el análisis basado en comportamiento de explotación y el uso de modelos de riesgo dinámicos se vuelven imprescindibles.
Buenas prácticas: de depender de la NVD a una gestión basada en inteligencia
Durante años, muchas organizaciones han utilizado la NVD como su principal “fuente única de verdad” sobre vulnerabilidades. El nuevo modelo de NIST marca el fin de esa etapa: ya no es realista esperar un catálogo estatal completamente enriquecido de todas las CVE. A partir de ahora, los programas de gestión de vulnerabilidades basada en riesgo deberán apoyarse en múltiples fuentes y capas de contexto, entre ellas:
- Dar prioridad al listado CISA Known Exploited Vulnerabilities (KEV), que recoge vulnerabilidades realmente explotadas en el mundo real, más allá de su puntuación teórica.
- Complementar CVSS con métricas de explotabilidad, presencia de exploits públicos, telemetría de ataques y exposición de los activos internos afectados.
- Combinar datos de NVD, proveedores de seguridad, plataformas de threat intelligence, ISAC sectoriales y otras fuentes especializadas.
- Adoptar herramientas y procesos que permitan una priorización dinámica, alineada con el contexto del negocio y la criticidad de los sistemas.
En este nuevo escenario, las organizaciones que revisen sus procesos de gestión de vulnerabilidades, incorporen mayor automatización y adopten un enfoque claramente orientado al riesgo y a la explotación real estarán mejor posicionadas para reducir su superficie de ataque. Invertir en capacidades propias de threat intelligence, correlación de datos y respuesta ágil ya no es opcional: se ha convertido en un factor clave para adelantarse a unos adversarios que, desde hace tiempo, operan a velocidad de máquina.
