Europa ha oficializado el lanzamiento de la EUVD (European Vulnerability Database), una base de datos de vulnerabilidades diseñada para ofrecer información detallada, transparente y procesable sobre riesgos de ciberseguridad que afectan a productos y servicios digitales.

La noticia llega en un contexto especial: el futuro del Programa CVE, gestionado durante décadas por MITRE en Estados Unidos, atraviesa un periodo de revisión estructural y operativa que ha encendido las alarmas a nivel internacional.

La Directiva NIS2, publicada en diciembre de 2022, ya preveía la creación de una infraestructura europea capaz de mejorar la resiliencia digital del continente. Y hoy, con el lanzamiento oficial de la EUVD, esa visión se concreta: Europa quiere depender menos de estructuras externas para la gestión de ciberamenazas críticas.

Ad

Así es EUVD

Aunque las comparaciones con la National Vulnerability Database (NVD) de EE. UU. son inevitables, la EUVD de Europa que tiene registradas las vulnerabilidades de la Unión nace con características propias que podrían marcar un antes y un después en la coordinación continental de ciberseguridad. Según la Agencia de Ciberseguridad de la Unión Europea (ENISA), la base de datos ofrecerá:

  • Información consolidada sobre vulnerabilidades críticas.

  • Medidas de mitigación específicas.

  • Estado de explotación conocido.

  • Integración automática de datos provenientes de fuentes como CISA, proveedores y CSIRTs europeos.

  • Correlación con otras bases de datos a través del motor de búsqueda Vulnerability-Lookup.

La UE está ahora equipada con una herramienta esencial para mejorar la gestión de riesgos y garantizar la transparencia a todos los usuarios”, afirmó Juhan Lepassaar, director ejecutivo de ENISA. La plataforma ofrecerá tres puntos de vista principales: vulnerabilidades explotadas, críticas y aquellas coordinadas por CSIRT nacionales.

Un sistema que llega a tiempo… o justo a tiempo

Aunque la EUVD llevaba un tiempo en funcionamiento en modo de prueba, su lanzamiento oficial coincide con una situación crítica en el ámbito global: la renovación in extremis del contrato del programa CVE gestionado por MITRE. Tras una prórroga de 11 meses, el futuro del CVE parece más incierto que nunca. La reciente creación de la Fundación CVE, un intento por reformular el programa bajo un modelo sin fines de lucro, refleja el deseo de desvincularlo del control exclusivo del gobierno de EE. UU.

Desde Europa, ENISA ha mantenido conversaciones con MITRE y ha expresado su interés en coordinarse también con la Comisión Europea y los Estados miembros para reforzar su infraestructura de gestión de vulnerabilidades. No es un dato menor que ENISA sea una de las 453 Autoridades Numeradoras CVE (CNA), encargadas de asignar identificadores únicos (CVEs) y enriquecer los registros del catálogo global.

Uno de los aspectos más ambiciosos del ecosistema europeo es que, a partir de septiembre de 2026, será obligatorio que los fabricantes informen sobre vulnerabilidades explotadas a través de la Plataforma Única de Información (SRP), establecida en la Ley de Resiliencia Cibernética (CRA). Esta medida pretende cerrar una de las brechas más importantes del modelo actual: la dependencia de notificaciones voluntarias o la falta de información contextual en muchas entradas.

Los fallos del modelo CVE y la búsqueda de una solución

El programa Common Vulnerabilities and Exposures (CVE) lleva más de dos décadas funcionando como el estándar global para identificar y clasificar vulnerabilidades. Pero el aumento exponencial en el número de CVEs (más de 40.000 nuevos al año) y las críticas sobre la lentitud de actualización o la falta de contexto han puesto en entredicho la sostenibilidad del modelo actual.

Con la reciente creación de la Fundación CVE, se abre un nuevo capítulo. El objetivo es claro: pasar de un modelo financiado exclusivamente por el gobierno estadounidense a una estructura colaborativa, pública y sin fines de lucro, que garantice participación global, financiación plural e independencia estratégica.

La fundación ya ha iniciado contactos con CISA, que asegura estar comprometida con el programa, aunque abierta a una revisión estratégica profunda.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre