Europa ha decidido mover ficha para reforzar una de las infraestructuras más críticas —y a la vez más invisibles— de la ciberseguridad global: el sistema de catalogación de vulnerabilidades Common Vulnerabilities and Exposures. Este mecanismo, clave para identificar, clasificar y comunicar fallos de seguridad, se ha situado en el centro del debate internacional ante las dudas sobre su sostenibilidad y su modelo de gobernanza.
Lo que durante décadas ha funcionado como un estándar de facto para la industria ahora enfrenta un desafío estructural: su fuerte dependencia de contratos del gobierno de Estados Unidos. Un episodio reciente relacionado con la financiación del programa encendió las alarmas en la comunidad de ciberseguridad y ha impulsado a Europa a explorar alternativas para garantizar su continuidad.
Un sistema clave para entender las vulnerabilidades
Desde su lanzamiento en 1999, el programa Common Vulnerabilities and Exposures ha servido como lenguaje común para describir fallos de seguridad. Cada vulnerabilidad recibe un identificador único —los conocidos códigos CVE— que permite a investigadores, empresas y administraciones hablar de un mismo problema sin ambigüedades.
Este sistema no solo facilita la coordinación técnica, sino que también es la base sobre la que operan herramientas de detección, bases de datos de amenazas y estrategias de mitigación en todo el mundo. Sin él, la gestión de vulnerabilidades sería fragmentada y mucho menos eficaz.
Sin embargo, su estabilidad ha quedado en entredicho tras un incidente ocurrido en 2025, cuando la organización responsable de su gestión, MITRE Corporation, advirtió de un posible corte abrupto de financiación federal. Aunque la situación se resolvió en cuestión de horas, el susto fue suficiente para evidenciar la fragilidad del modelo actual.
La Unión Europea quiere reforzar el sistema
Ante este escenario, la European Union Agency for Cybersecurity ha asumido un papel protagonista. Durante la conferencia RSAC celebrada en California, Hans de Vries, responsable de ciberseguridad operativa del organismo, dejó clara la intención de la UE: fortalecer el sistema sin reemplazarlo.
El objetivo no es crear una alternativa desde cero, sino construir sobre la base existente. En palabras del propio De Vries, se trata de preservar el trabajo realizado y asegurar que el mecanismo siga siendo operativo y fiable a largo plazo.
La clave está en diversificar el soporte y evitar la dependencia de un único contrato o país. Para los Estados miembros de la UE, garantizar la continuidad de este sistema es una cuestión estratégica, especialmente en un contexto donde las amenazas digitales no dejan de crecer.
Un debate que también sacude a Estados Unidos
Las preocupaciones sobre el futuro del programa no son exclusivas de Europa. En Estados Unidos, el debate ha llegado al Congreso, donde ya se están elaborando propuestas legislativas para formalizar la estructura del sistema y clarificar las responsabilidades de supervisión.
Uno de los puntos centrales es el papel de la Cybersecurity and Infrastructure Security Agency. Aunque esta agencia tiene autoridad para gestionar el programa, no existe un mandato explícito que la obligue a hacerlo, lo que genera incertidumbre sobre la rendición de cuentas.
Además, las propuestas buscan proteger la gobernanza del sistema frente a cambios políticos. La idea es evitar que ciclos electorales o decisiones administrativas afecten a un recurso que la industria considera crítico.
La presión de la inteligencia artificial y los ataques a velocidad de máquina
El debate sobre el futuro del sistema CVE no ocurre en el vacío. Está directamente relacionado con la evolución del panorama de amenazas, donde la inteligencia artificial está acelerando tanto la detección como la explotación de vulnerabilidades.
En este contexto, los expertos advierten de una limitación del modelo actual: la calidad y velocidad de los registros. Tradicionalmente, las vulnerabilidades se publican con información básica y se enriquecen posteriormente con datos como la gravedad o la facilidad de explotación.
Pero en un entorno donde los ataques pueden automatizarse y ejecutarse en cuestión de minutos, estos retrasos pueden dejar ventanas de exposición peligrosas. La industria empieza a demandar registros más completos desde el momento de su publicación, pensados no solo para humanos, sino también para sistemas automatizados.
