**Nuevas reglas SBOM de CISA: avances clave, pero persisten lagunas críticas según expertos**

—

### Introducción

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha actualizado recientemente sus normativas sobre las Listas de Materiales de Software (SBOM, por sus siglas en inglés). Si bien estos cambios representan un progreso importante para la gestión de riesgos en la cadena de suministro de software, diversos expertos del sector subrayan que aún quedan aspectos fundamentales sin abordar. Este artículo analiza en profundidad las implicaciones técnicas, regulatorias y operativas de las nuevas reglas SBOM, con especial atención a su impacto en la defensa cibernética empresarial.

—

### Contexto del Incidente o Vulnerabilidad

Las SBOM se han convertido en un pilar esencial para la visibilidad y gestión de vulnerabilidades en entornos empresariales, especialmente tras incidentes como SolarWinds y Log4Shell, que pusieron de manifiesto las deficiencias en la trazabilidad y control de componentes de software de terceros. La actualización por parte de CISA responde a la Orden Ejecutiva 14028 sobre mejora de la ciberseguridad nacional, que exige a los proveedores federales detallar los componentes de software de sus productos, permitiendo así a los equipos de seguridad identificar y mitigar riesgos emergentes en la cadena de suministro.

—

### Detalles Técnicos

Las nuevas directrices SBOM de CISA promueven el uso de formatos estandarizados como SPDX, CycloneDX y SWID para la generación y consumo de SBOMs, facilitando la interoperabilidad y automatización en los flujos de trabajo de seguridad. Las actualizaciones exigen que las SBOM incluyan información detallada sobre versiones de componentes, dependencias directas y transitivas, licencias y metadatos de vulnerabilidades conocidas (CVE), así como hashes criptográficos para verificar la integridad.

Desde la perspectiva del marco MITRE ATT&CK, la mejora de las SBOM impacta especialmente en las técnicas de Initial Access (TA0001) y Defense Evasion (TA0005), ya que permite identificar software vulnerable susceptible de ser explotado mediante técnicas como Supply Chain Compromise (T1195). Sin embargo, los expertos advierten que las reglas actuales no abordan la actualización continua de las SBOM ni la vinculación dinámica con fuentes de amenazas e indicadores de compromiso (IoC).

Además, se ha detectado que la explotación de vulnerabilidades documentadas en SBOM puede facilitar la automatización de ataques mediante frameworks como Metasploit o Cobalt Strike cuando los atacantes detectan componentes desactualizados o mal gestionados. La falta de granularidad en algunas SBOM limita la capacidad de correlacionar CVE conocidos con activos específicos, lo que dificulta la priorización y respuesta ante incidentes.

—

### Impacto y Riesgos

El impacto de la actualización normativa es significativo pero desigual. Según estudios recientes, solo el 30% de las empresas Fortune 500 disponen de procesos maduros para la gestión de SBOM, y menos del 15% integran esos datos con herramientas de detección y respuesta (EDR/XDR) o plataformas SIEM. Esto deja importantes superficies de ataque expuestas, especialmente en sectores regulados como financiero, sanitario o infraestructuras críticas.

Las nuevas reglas abordan parcialmente el riesgo de Shadow IT y el uso de librerías Open Source no autorizadas, aunque no obligan a los proveedores a reportar vulnerabilidades zero-day o a mantener actualizadas las SBOM en tiempo real. El coste económico de una brecha de la cadena de suministro puede superar los 4 millones de euros, según el informe de IBM “Cost of a Data Breach 2023”, y la exposición a sanciones regulatorias bajo GDPR y la próxima Directiva NIS2 europea es cada vez mayor.

—

### Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a la cadena de suministro de software y cumplir con las nuevas exigencias de CISA, los profesionales del sector deben adoptar las siguientes medidas:

– Integrar SBOMs en pipelines CI/CD y procesos de DevSecOps para asegurar su generación y actualización automática.
– Validar la integridad de los componentes mediante hashes y verificar la correspondencia con versiones seguras.
– Correlacionar la información de SBOM con bases de datos de vulnerabilidades (NVD, CVE, GitHub Security Advisories).
– Adoptar herramientas de gestión de activos que permitan la trazabilidad y el mapeo de dependencias a nivel granular.
– Establecer procedimientos de respuesta rápida ante notificación de nuevas vulnerabilidades en componentes documentados en la SBOM.
– Formar a los equipos de desarrollo y operaciones en la importancia de la transparencia y actualización continua de las SBOM.

—

### Opinión de Expertos

Investigadores y responsables de seguridad, como Allan Friedman (CISA), reconocen el valor de la actualización, pero advierten de limitaciones: “La utilidad real de una SBOM depende de su precisión, frecuencia de actualización e integración con otras fuentes de inteligencia de amenazas”, señala. Otros analistas destacan que sin una obligación legal de mantener las SBOM actualizadas y de informar sobre vulnerabilidades zero-day, se corre el riesgo de que se conviertan en un mero requisito documental.

—

### Implicaciones para Empresas y Usuarios

Para las organizaciones, la adopción proactiva de las nuevas reglas SBOM puede traducirse en una mejora sustancial de la visibilidad sobre activos de software y dependencias, facilitando la detección de amenazas y el cumplimiento normativo (GDPR, NIS2). Sin embargo, las brechas en la actualización y contextualización de las SBOM pueden dejar a empresas y usuarios expuestos a ataques avanzados y a sanciones regulatorias por gestión deficiente de la cadena de suministro. Los CISOs y responsables de cumplimiento deben revisar sus políticas y procesos para garantizar la alineación con los nuevos requisitos y preparar auditorías y respuestas rápidas a incidentes derivados de terceros.

—

### Conclusiones

Las actualizaciones en las reglas SBOM de CISA suponen un avance relevante en la protección de la cadena de suministro de software, pero persisten importantes desafíos técnicos y operativos. La comunidad profesional reclama mayor rigor en la actualización dinámica de las SBOM, integración con inteligencia de amenazas y obligatoriedad regulatoria para reducir la ventana de exposición a ataques. El sector debe avanzar hacia una gestión automatizada y colaborativa de la seguridad de la cadena de suministro para anticipar y mitigar los riesgos emergentes en el panorama actual.

(Fuente: www.darkreading.com)