26 Abr ¿Qué es CVE y por qué deberías preocuparte si desaparece?

En el mundo de la ciberseguridad, hay muchas siglas y términos que pueden sonar a jerga técnica y resultar confusos, pero algunos de ellos tienen un impacto directo en tu seguridad digital, incluso si no trabajas en nada relacionado con tecnología. Justamente la semana pasada ha estado sonado uno de los más importantes: CVE.

CVE significa Common Vulnerabilities and Exposures, o en español, Vulnerabilidades y Exposiciones Comunes, eso es básicamente un identificador único que se le da a una vulnerabilidad conocida, ya sea en un software o hardware. Podríamos referirnos a ello como si se tratara del «DNI» de cada uno de los fallos de seguridad.

Así, si se descubre un fallo que permite a un atacante acceder a tu router o espiar lo que haces desde una app determinada, se le asigna un “CVE”. De ese modo, todo el mundo (desde desarrolladores hasta empresas de antivirus y software, etc) pueden referirse exactamente a ese problema sin tener confusiones con otros.

Todo este sistema CVE es gestionado por MITRE Corporation, una organización sin ánimo de lucro que colabora con el gobierno de Estados Unidos, sobre todo en temas de defensa y ciberseguridad. MITRE actúa como coordinador central: recibe reportes de vulnerabilidades de investigadores, empresas y gobiernos, verifica la información comunicada, y asigna un número CVE para que “todos puedan hablar el mismo idioma”.

Aquí viene el problema que ha alertado a todos esta última semana: el sistema CVE está en riesgo por falta de financiación.

A pesar de ser una infraestructura crítica para la ciberseguridad global, el mantenimiento y expansión del sistema depende en gran parte de fondos del gobierno estadounidense. En los últimos años, MITRE ha advertido que el volumen de vulnerabilidades está creciendo exponencialmente, pero que el presupuesto no ha aumentado al mismo ritmo, por lo que esta situación ha provocado retrasos y dificultades para procesar todos los reportes a tiempo. De hecho, siempre hay multitud de vulnerabilidades pendientes de recibir su identificador oficial.

¿Y cuál sería el problema si el sistema CVE dejase de funcionar? Las vulnerabilidades seguirían siendo encontradas, aunque no les pongan identificador ¿no? Si el sistema CVE deja de funcionar las herramientas de seguridad tendrían dificultades para identificar amenazas, ya que dependen de los identificadores CVE para saber exactamente qué y donde buscar, todo esto dificultaría la cooperación y la respuesta rápida ante estas vulnerabilidades críticas.

Además, las bases de datos de exploits y parches se volverían un caos, al no tener un sistema común de referencia, por lo que también las empresas, organizaciones y gobiernos estarían más expuestos, al no poder priorizar los riesgos con claridad y eficacia.

En resumen, el CVE es como una columna vertebral silenciosa de la ciberseguridad moderna, y sin ella, todo se volvería menos ágil, menos transparente y mucho más vulnerable…

Sin embargo, y dado que, a pesar de que la financiación fue finalmente ampliada unos meses más, deseamos que logren encontrar una solución definitiva para que encuentre un apoyo económico estable y a largo plazo, que asegure este sistema y nos ayude a todos a seguir beneficiándonos del trabajo que realizan.

¿Conocíais esto sobre CVE? Esperamos que ahora esté un poco más clara la importancia del trabajo realizado por MITRE.