Financiación del Gobierno de EE.UU. para el Programa de Ciberseguridad CVE a Punto de Expirar

El programa de Vulnerabilidades y Exposiciones Comunes (CVE) enfrenta un futuro incierto ya que el gobierno de los Estados Unidos no ha renovado su contrato para apoyar la iniciativa a través de la organización sin fines de lucro MITRE, y este expira hoy, 16 de abril. Ahora, los expertos en ciberseguridad advierten sobre posibles consecuencias de seguridad global.

El programa CVE, lanzado en 1999, ha sido diseñado para desarrollar un sistema de identificación y ayudar a los ingenieros y organizaciones a identificar, aplicar parches y mitigar vulnerabilidades a nivel mundial. Considerando un código que comienza con las letras “CVE” seguido del año y un número único, como CVE-2024-50050 encontrado en el Marco de IA de Meta o la vulnerabilidad de día cero de Chrome CVE-2025-2783 detectada hace unas semanas, el programa organiza y mantiene el control de las vulnerabilidades globales.

La Corporación MITRE ha estado manteniendo y operando el sistema CVE desde su fundación y ha recibido consistentemente apoyo financiero del Departamento de Seguridad Nacional (DHS) y la Agencia de Seguridad Cibernética e Infraestructura (CISA) durante los últimos 25 años.

Se ha filtrado y compartido públicamente una carta interna enviada por Yosry Barsoum, vicepresidente y director del Centro para la Seguridad de la Patria (CHS) en MITRE, a los miembros del consejo del CVE en Bluesky.

“Queremos hacerles conscientes de un importante problema potencial con el continuo apoyo de MITRE a CVE”, declara el documento. “El miércoles 16 de abril de 2025, la actual vía de contratación para que MITRE desarrolle, opere y modernice CVE y varios otros programas relacionados, como CWE, expirará”.

The Verge ha confirmado la información revelada en la plataforma de redes sociales y se ha puesto en contacto con Barsoum, quien aseguró que el gobierno está haciendo esfuerzos para seguir apoyando a MITRE, y que, mientras tanto, el programa de Enumeración de Debilidades Comunes (CWE), que se centra en las vulnerabilidades de software y hardware, también se verá afectado.

La investigadora de ciberseguridad Lukasz Olejnik compartió sus preocupaciones sobre X. “La administración de Trump efectivamente (al menos temporalmente) debilitará el sistema global de ciberseguridad”, escribió en una publicación. “La consecuencia será una descoordinación entre los proveedores, analistas y sistemas de defensa: nadie estará seguro de estar refiriéndose a la misma vulnerabilidad. Caos total y un debilitamiento repentino de la ciberseguridad en general”.

Al recortar lo que equivale a costos de centavos, la administración de Trump efectivamente (al menos temporalmente) debilitará el sistema global de ciberseguridad — CVE. ¿Qué es CVE? Es un sistema global para identificar y rastrear vulnerabilidades que ha servido como un lenguaje común para… pic.twitter.com/WBCdLz0DdT

— Lukasz Olejnik (@lukOlejnik) 15 de abril de 2025

Otros expertos y organizaciones, incluyendo a MITRE, esperan encontrar otras fuentes de financiamiento y alternativas para que el programa CVE pueda continuar con su servicio y operaciones de manera regular.