Búsqueda de Ciberamenazas

Evitar que los CVE estén controlados por un único país

Un intento fallido de quitarles la financiación pone de manifiesto la necesidad de encontrar una solución mejor
Escrito por
21 abril 2025
Security Operations Threat Research CVE featured MITRE

A veces no sabes cuánto vas a echar de menos algo hasta que (casi) lo pierdes. Este es sin duda el caso de la noticia del martes de que la empresa MITRE no había recibido la financiación necesaria para seguir operando el Programa de Vulnerabilidades y Exposiciones Comunes (CVE) más allá de abril.

Por suerte, la Agencia de Seguridad de Infraestructuras de Ciberseguridad (CISA) intervino y amplió el contrato para seguir funcionando durante 11 meses más, lo que le da tiempo a la comunidad para encontrar financiación alternativa y una forma de gobernanza que asegure su futuro. Esto es necesario; no solo es poco probable que volvamos al sistema de asignación CVE financiado por Estados Unidos y gestionado por MITRE que la industria ha conocido durante un cuarto de siglo, sino que es mejor seguir adelante.

¿Qué es el programa CVE?

Al igual que el popular programa de tácticas y técnicas de MITRE, ATT&CK, el programa CVE establece un lenguaje común para que la comunidad de seguridad se comunique de forma estandarizada sobre las vulnerabilidades, una lengua franca para los fallos. Esto garantiza que todas las partes sepan que están hablando del mismo fallo y aclara las vulnerabilidades similares cuando es necesario.

El seguimiento de las vulnerabilidades es de vital importancia para todo tipo de funciones relacionadas con la seguridad, como la gestión de la superficie de ataque, los sistemas de prevención de intrusiones y la creación de controles compensatorios y medidas de mitigación cuando no siempre es posible aplicar parches. Internamente, Sophos utiliza los CVE de diversas maneras, entre las que se incluyen:

  • Identificación y priorización de vulnerabilidades.

  • Creación de reglas de detección que se dirigen de manera eficiente a indicadores específicos de compromiso.

  • Priorizar las protecciones para los propios activos de Sophos, incluyendo la comprensión del impacto potencial y las consecuencias de la explotación de la vulnerabilidad y/o los parches necesarios para solucionarla

  • Guiar múltiples procesos de Sophos (incluida la respuesta a incidentes) para mantener los esfuerzos de contención y remediación funcionando en paralelo en los equipos de operaciones de seguridad y respuesta a incidentes

  • Facilitar la comunicación (incluido el martes de parches) con los proveedores y los clientes

¿Qué significan los números?

Los CVE son emitidos por las autoridades de numeración CVE (CNA). A menudo se trata de proveedores de software, incluido Sophos, que los emiten para identificar vulnerabilidades en sus propios productos y luego informan a MITRE a medida que se asigna cada número. Alternativamente, los CVE pueden ser asignados por los CERT (equipos de respuesta a emergencias informáticas, que suelen existir a nivel nacional) o por la CNA-LR, la CNA de último recurso, que en este momento es MITRE Corporation. El nombre «MITRE» no es acrónimo de nada, a pesar de que la empresa tiene su origen en el MIT.

Los CVE se pueden emitir para cualquier vulnerabilidad de software, incluso si el proveedor del software no participa en el programa CNA. Normalmente se anotan como CVE-AAAA-NNNNN, donde AAAA es el año y NNNNN es el número. No se emiten de forma estrictamente secuencial, por lo que el número es simplemente un identificador único, no un contador de vulnerabilidades encontradas. El sistema de numeración no es perfecto; a los emisores de CNA más grandes se les asignan bloques de números por comodidad, por lo que de vez en cuando habrá un «hueco» en los números entre bloques y, a veces, se asignarán dos CVE a vulnerabilidades que resultan ser la misma vulnerabilidad.

Los CVE en sí mismos no están exentos de controversia, ya que siempre hay debate sobre qué constituye una «vulnerabilidad de software» y, a menudo, puede ser difícil determinar si una vulnerabilidad determinada es explotable cuando un componente de software vulnerable se utiliza en un proyecto más grande. Este es un tema para una posible publicación futura, en la que podremos hablar de lo que sucede cuando un CVE se enreda en las listas de materiales de software (SBOM) y otros intentos bienintencionados de gobernanza.

¿Qué pasaría en un mundo sin CVE?

¿Alguna vez te ha parecido confuso que los mismos actores maliciosos conocidos como APT29 también sean conocidos como IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524 y Midnight Blizzard? Bienvenidos a un mundo en el que todos describimos las cosas como nos conviene, pero sin coordinarnos. Esto también se aplica a los nombres del malware, sobre todo en el pasado: basta con echar un vistazo a la lista de detecciones de Virus Total. No es nada bonito.

Contar con una autoridad centralizada que «nombre» y describa de forma única las vulnerabilidades, y que proporcione el resultado en un formato legible por máquinas, permite tanto a las personas como a las herramientas abordar los mismos problemas de raíz sin ambigüedades. Ha habido problemas continuos con la Base de Datos Nacional de Vulnerabilidades (NVD), gestionada por el Instituto Nacional de Ciencia y Tecnología (NIST), y cualquier nueva interrupción del sistema CVE podría dificultar aún más a los defensores la tarea de supervisar y proteger eficazmente los sistemas vulnerables.

Un futuro mejor

Ahora, con el drama de esta semana en torno a la financiación del programa CVE, que ha pasado de aquí para allá, hemos llegado a una encrucijada. Hay tres posibles caminos a seguir y aún no está claro cuál de ellos, si es que hay alguno, obtendrá el consenso.

Por supuesto, podríamos seguir como hasta ahora, al menos durante los próximos 11 meses (la duración de la asignación de fondos anunciada el miércoles). El gobierno de EE UU, de una forma u otra, ha financiado el funcionamiento del programa CVE durante 25 años. La industria podría respirar aliviada y dar por sentado que seguirá haciéndolo, pero esto parece poco probable y miope. Un sistema que es importante para todo el mundo no debería depender de un solo gobierno para su funcionamiento. El susto de esta semana con la financiación lo ha dejado claro.

Hay una alternativa. Los miembros veteranos de la junta directiva que participan activamente en el programa CVE han elaborado un plan para transferir su gobernanza a una fundación sin ánimo de lucro independiente del Gobierno de los Estados Unidos. La Fundación CVE tendría un carácter más internacional y contaría con financiación independiente para su funcionamiento. Probablemente sea el mejor enfoque, aunque es probable que muchos de los miembros de la junta directiva del CVE sigan estando centrados en los Estados Unidos. La diversidad de fuentes de financiación, combinada con una junta directiva con una mentalidad más global, probablemente daría lugar a un sistema más estable y fiable, aunque con más burocracia y con una combinación diferente de influencias públicas y privadas.

La tercera «bifurcación» fue propuesta por el CIRCL (Computer Incident Response Center Luxembourg), un CERT del tipo mencionado anteriormente. Conocido como GCVE, propone un sistema descentralizado para la emisión y la gobernanza del CVE. La propuesta tiene muchas ideas interesantes, incluida la compatibilidad con versiones anteriores, pero probablemente plantee otros retos. A veces se necesita un conjunto común de definiciones y una junta para hacerlas cumplir. Permitir directrices variables por cada CNA parece una receta para el desastre y la confusión. Dentro del sistema CVE actual, tenemos coherencia, que puede no ser siempre del agrado de todos, pero es un conjunto de reglas y sabemos cómo funcionan.

Conclusión

El programa CVE, como cualquier sistema creado por un comité, tiene fallos. Sin embargo, es el menos defectuoso que hemos podido crear y está dirigido por un grupo de expertos del sector que entienden realmente el problema y quieren ofrecer los mejores resultados posibles. Sería un momento terrible para tirar por la borda algo que funciona.

Todos deberíamos apoyar una versión más independiente financieramente y representativa a nivel internacional de lo que tenemos. La balcanización de este espacio, como han intentado Rusia y China, dará lugar a una comunidad menos informada y más inclinada hacia los actores maliciosos que hacia los defensores.

El programa CVE nos ha servido tan bien que la mayoría lo hemos dado por sentado y hemos asumido que siempre estará ahí. Los voluntarios de la Junta Directiva del CVE son figuras respetadas del sector y han perfeccionado y mejorado este sistema durante 25 años y sería un privilegio que siguiera prestando sus servicios y mejorando durante los próximos 25.

Agradecimientos

Darshan Raghwani ha contribuido a la elaboración de este artículo.

Acerca del autor

Chester Wisniewski is Director, Global Field CTO at next-generation security leader Sophos. With more than 25 years of security experience, his interest in security and privacy first peaked while learning to hack from bulletin board text files in the 1980s, and has since been a lifelong pursuit. 

Chester works with Sophos X-Ops researchers around the world to understand the latest trends, research and criminal behaviors. This perspective helps advance the industry's understanding of evolving threats, attacker behaviors and effective security defenses. Having worked in product management and sales engineering roles earlier in his career, this knowledge enables him to help organizations design enterprise-scale defense strategies and consult on security planning with some of the largest global brands.

Based in Vancouver, Chester regularly speaks at industry events, including RSA Conference, Virus Bulletin, Security BSides (Vancouver, London, Wales, Perth, Austin, Detroit, Los Angeles, Boston, and Calgary) and others. He’s widely recognized as one of the industry’s top security researchers and is regularly consulted by press, appearing on BBC News, ABC, NBC, Bloomberg, Washington Post, CBC, NPR, and more.

When not busy fighting cybercrime, Chester spends his free time cooking, cycling, and mentoring new entrants to the security field through his volunteer work with InfoSec BC. Chester is available on Mastodon (securitycafe.ca/@chetwisniewski).

For press inquiries, email chesterw [AT] sophos [.] com.

Leer artículos similares