El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha anunciado un cambio estructural en la forma de gestionar la National Vulnerability Database (NVD). A partir de abril de 2026, el análisis detallado y el llamado “enriquecimiento” de las vulnerabilidades se aplicará solo a CVE priorizadas, mientras que el resto de registros permanecerán en la base con información mínima y el estado Not Scheduled.
Por qué NIST modifica la gestión de la National Vulnerability Database
El detonante de esta reforma es el crecimiento exponencial del volumen de vulnerabilidades registradas en el sistema CVE. Según datos de NIST, entre 2020 y 2025 el número de nuevas entradas aumentó un 263%, y solo en el primer trimestre de 2026 el flujo de reportes creció alrededor de un tercio adicional frente al mismo periodo del año anterior.
Aunque NIST amplió sus procesos de análisis, la capacidad ya ha alcanzado su límite. En 2025, el instituto logró enriquecer casi 42 000 CVE, un 45% más que en cualquier año previo. Sin embargo, con el ritmo actual, la revisión manual de cada vulnerabilidad es insostenible, incluso para un organismo de referencia como NIST.
En el contexto de la NVD, el “enriquecimiento” consiste en añadir información crítica para la gestión de vulnerabilidades: puntuaciones de gravedad como CVSS, productos y versiones impactadas, descripciones ampliadas, enlaces externos y otra metainformación que permite a los equipos de seguridad priorizar parches y mitigaciones.
Nueva estrategia de priorización de CVE en NVD a partir de 2026
El nuevo modelo establece que NIST solo enriquecerá las CVE consideradas prioritarias, según un conjunto de criterios publicados en su documentación oficial. En términos generales, la prioridad se centrará en vulnerabilidades con alto impacto potencial, gran superficie de exposición o relevancia para infraestructuras críticas y ecosistemas ampliamente desplegados.
Las CVE que no cumplan estos criterios se etiquetarán con el estado “Not Scheduled”. En la práctica, esto significa que en la NVD solo aparecerán los datos básicos procedentes del registro CVE, sin evaluación CVSS, sin inventario detallado de productos afectados ni contexto ampliado elaborado por NIST.
Otro cambio clave es que NIST deja de recalcular la severidad cuando ya exista una puntuación CVSS asignada por una CNA (CVE Numbering Authority), es decir, la organización que emite el identificador de la vulnerabilidad, normalmente el propio proveedor del producto o un centro acreditado.
Además, todas las CVE pendientes de análisis con fecha de publicación anterior al 1 de marzo de 2026 pasarán igualmente a estado Not Scheduled, salvo aquellas incluidas en el catálogo KEV (Known Exploited Vulnerabilities). NIST solo revisará de nuevo registros ya enriquecidos cuando existan cambios sustanciales en la información. Cualquier parte interesada podrá solicitar el enriquecimiento de una CVE concreta mediante correo a [email protected].
Impacto para las empresas: más carga de análisis y necesidad de nuevas fuentes
La proliferación de registros CVE marcados como Not Scheduled implica que una parte relevante de las vulnerabilidades no contará con analítica centralizada de NIST. Las organizaciones que basaban sus procesos casi exclusivamente en la NVD se enfrentarán a una mayor incertidumbre y a una carga operativa adicional al priorizar parches y respuestas.
Sin descripciones detalladas, identificación de productos afectados ni una puntuación de gravedad normalizada, muchos equipos de seguridad deberán asumir internamente el análisis de riesgo o recurrir a fuentes alternativas: servicios comerciales de threat intelligence, avisos de proveedores, comunidades sectoriales o iniciativas colaborativas.
Reacciones del sector de ciberseguridad y cambio de paradigma
La industria ha recibido el anuncio con preocupación, pero sin sorpresa. Expertos señalan que la decisión dificultará la labor de quienes estructuraron su gestión de vulnerabilidades alrededor de una única referencia: la NVD. Datos de empresas de análisis indican que en 2025 unas 10 000 vulnerabilidades aún carecían de puntuación CVSS y que solo alrededor del 32% de las CVE etiquetadas como “CVE-2025” habían sido enriquecidas.
Responsables de seguridad como el CISO de Contrast Security describen esta situación como “el fin de la era en la que los defensores podían confiar en una única base para evaluar el riesgo”. El consenso emergente apunta a desplazar el foco hacia el catálogo KEV y hacia métricas de explotabilidad real, para centrar recursos en las vulnerabilidades que ya se observan activamente en campañas de ataque, por encima de la mera severidad teórica.
Cómo adaptar los programas de gestión de vulnerabilidades al nuevo NVD
Combinar la NVD con múltiples fuentes de información
Las organizaciones deberían rediseñar su arquitectura de gestión de vulnerabilidades para no depender exclusivamente de la NVD. Es recomendable integrar el catálogo KEV, boletines de seguridad de fabricantes, centros sectoriales de intercambio de información (ISAC), bases de datos comunitarias y feeds comerciales de threat intelligence que incluyan contexto de explotación en el mundo real.
Priorizar según explotabilidad y contexto de negocio
La evaluación del riesgo debe ir más allá del score CVSS e incorporar factores como la existencia de exploits públicos, la exposición del sistema a Internet, la presencia de controles compensatorios y la criticidad de los procesos de negocio afectados. Este enfoque permite seguir priorizando eficazmente incluso cuando parte de las CVE aparecen en la NVD con estado Not Scheduled y sin analítica completa.
Automatización, inventario de activos y correlación con CVE
En un entorno con un número creciente de vulnerabilidades poco documentadas, resulta esencial disponer de un inventario de activos actualizado y herramientas automatizadas para mapear CVE concretas a sistemas específicos. Plataformas de gestión de activos, escáneres de vulnerabilidades y soluciones de riesgo basado en activos ayudan a reducir ruido y a centrar la respuesta en aquello que realmente afecta a la infraestructura de la organización.
El giro de NIST hacia una priorización selectiva en la NVD refleja la madurez —y la saturación— del ecosistema global de vulnerabilidades. Para las empresas, es una llamada a reforzar sus capacidades: diversificar fuentes de información, fortalecer la analítica interna, automatizar la correlación entre CVE y activos y basar la priorización en amenazas reales y en el impacto sobre el negocio. Cuanto antes se ajusten los procesos a este nuevo escenario, más resiliente será la organización frente a un panorama de ciberamenazas en constante expansión.
