AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**La gestión deficiente del CVE por MITRE: décadas de fallos y millones de dólares desaprovechados**

admin

### Introducción

La base de datos Common Vulnerabilities and Exposures (CVE) constituye el pilar fundamental de la identificación y seguimiento de vulnerabilidades a nivel global. Desde su creación en 1999, bajo la gestión de MITRE Corporation y con fondos del gobierno de Estados Unidos, el CVE se ha convertido en un recurso imprescindible para equipos de seguridad, desarrolladores de software y organismos reguladores como el NIST. Sin embargo, recientes investigaciones y testimonios de la industria han revelado deficiencias estructurales y de gestión por parte de MITRE, provocando retrasos, inconsistencias y un uso ineficiente de los recursos económicos asignados. Este artículo analiza en profundidad los problemas históricos y actuales de la gestión del CVE, con especial atención a sus consecuencias técnicas, económicas y regulatorias.

### Contexto del Incidente o Vulnerabilidad

El sistema CVE fue concebido para proporcionar identificadores únicos y estandarizados a las vulnerabilidades de seguridad publicadas, facilitando la comunicación y la gestión de riesgos en el sector. MITRE ha coordinado el programa desde su inicio, con la colaboración de CNAs (CVE Numbering Authorities) y bajo la financiación multimillonaria de la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) estadounidense.

No obstante, la acumulación de vulnerabilidades no registradas, la lentitud en la asignación de identificadores y la falta de transparencia en los procesos internos han puesto en entredicho la eficacia de MITRE. De hecho, a fecha de 2023, se estima que únicamente entre el 70% y el 80% de las vulnerabilidades conocidas están correctamente identificadas en el CVE, dejando miles de fallos sin catalogar, muchos de ellos críticos y con exploits activos.

### Detalles Técnicos

La principal función del CVE es generar identificadores estandarizados (por ejemplo, CVE-2024-12345) para vulnerabilidades de software y hardware. Estos identificadores son la base para la correlación de amenazas en herramientas SIEM, análisis de amenazas (CTI), frameworks como MITRE ATT&CK, y plataformas de gestión de parches.

Los problemas detectados afectan a varios niveles técnicos:

– **Asignación de CVEs:** Se han reportado retrasos de semanas o incluso meses para la publicación de nuevos CVE. En 2022, grupos de respuesta como CERT/CC documentaron vulnerabilidades críticas (exploits zero-day) sin CVE asignado durante periodos prolongados, dificultando la respuesta coordinada.
– **Inconsistencias en los atributos:** Descripciones incompletas, categorización errónea (p. ej., errores en CWE) y ausencia de enlaces a PoC o exploits conocidos. Esto limita el uso efectivo de la base de datos para el análisis de TTPs (MITRE ATT&CK) y la generación de alertas automatizadas.
– **Problemas de integración:** Muchos actores del sector, incluidos desarrolladores de herramientas como Metasploit y Cobalt Strike, han reportado dificultades para automatizar la correlación entre CVE y los IoCs (Indicators of Compromise) debido a la falta de normalización y actualización.
– **Fugas y duplicidades:** La proliferación de “CVE reservados” que nunca llegan a publicarse, o la asignación doble de identificadores para la misma vulnerabilidad, generan confusión y riesgos operativos.

### Impacto y Riesgos

La ineficacia en la gestión del CVE afecta a toda la cadena de valor de la ciberseguridad:

– **Desincronización en la industria:** Herramientas de escaneo, SIEM y EDR dependen de la actualización rápida y precisa de los CVE para identificar amenazas. El desfase en la asignación puede retrasar la detección y mitigación de vulnerabilidades críticas.
– **Riesgo de cumplimiento regulatorio:** Legislaciones como GDPR y la inminente NIS2 exigen una gestión proactiva y transparente de vulnerabilidades. La falta de CVE actualizados puede implicar incumplimientos legales, sanciones económicas y daños reputacionales.
– **Costes económicos:** Se estima que los retrasos y errores en la gestión de CVE han supuesto la pérdida de millones de dólares en horas de trabajo adicionales y en la gestión de incidentes evitables.

### Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad y los responsables de cumplimiento, se recomienda:

– **No depender exclusivamente del CVE:** Complementar el análisis de vulnerabilidades con fuentes alternativas (GitHub, NVD, advisories de fabricantes, threat intelligence feeds).
– **Automatización flexible:** Configurar herramientas de gestión de parches y escaneo para identificar amenazas incluso sin CVE asignado, utilizando hashes, IoCs y patrones de comportamiento.
– **Participación activa:** Las empresas pueden solicitar el estatus de CNA para agilizar la asignación de CVEs relevantes a su software o servicios.
– **Monitorización regular:** Revisar el backlog de “CVE reservados” y monitorizar fuentes independientes para vulnerabilidades emergentes.

### Opinión de Expertos

Varios analistas SOC y CISOs han manifestado preocupación por la fiabilidad del CVE. Según Katie Moussouris, exdirectiva de Microsoft y fundadora de Luta Security, “la falta de transparencia y la lentitud de MITRE ponen en riesgo la seguridad global, especialmente en sectores críticos”.

Por su parte, el investigador Will Dormann (CERT/CC) ha señalado que “la comunidad debería presionar por una reforma profunda, con métricas de rendimiento públicas y mecanismos de auditoría externa”.

### Implicaciones para Empresas y Usuarios

Para las empresas, la ineficacia del CVE supone riesgos operativos y legales significativos. Un 90% de las empresas del Fortune 500 dependen de la base de datos CVE para la gestión de vulnerabilidades, lo que implica que cualquier disfunción tiene un efecto dominó en toda la cadena de suministro. La entrada en vigor de la directiva NIS2 en la UE agrava la situación, ya que exige reportes detallados y trazabilidad de incidentes, algo imposible sin una base de datos de vulnerabilidades fiable.

### Conclusiones

La gestión deficiente del CVE por parte de MITRE ha demostrado ser un riesgo sistémico para la ciberseguridad global. Ante la proliferación de vulnerabilidades, la sofisticación de los ataques (RCE, LPE, supply chain) y la presión regulatoria, es imprescindible avanzar hacia un modelo más transparente, eficiente y colaborativo. Los profesionales del sector deben diversificar sus fuentes de información y exigir reformas a los organismos responsables para garantizar la resiliencia y el cumplimiento normativo.

(Fuente: www.darkreading.com)