El apoyo financiero para el sistema que rastrea vulnerabilidades de ciberseguridad públicamente divulgadas expirará el 16 de abril. Este programa, conocido como Common Vulnerabilities and Exposures (CVE), es utilizado por grandes empresas como Microsoft, Google, Apple, Intel y AMD para identificar y seguir las vulnerabilidades de ciberseguridad. Permite a los ingenieros evaluar la gravedad de un exploit y priorizar la aplicación de parches u otras mitigaciones.
MITRE, la organización financiada por el gobierno federal detrás del programa, confirmó a The Verge que su contrato para «desarrollar, operar y modernizar» el CVE expirará el 16 de abril. Desde su lanzamiento en 1999, el programa CVE alberga una base de datos donde las organizaciones participantes pueden asignar identificadores (IDs) a las vulnerabilidades de ciberseguridad conocidas. Estos identificadores se componen de las letras «CVE», seguidas de un año y un número, como CVE-2022-27254, permitiendo a los profesionales de seguridad monitorear detalles sobre las vulnerabilidades que pueden afectar los dispositivos de uso diario y los sistemas que contienen información crítica.
Lukasz Olejnik, investigador en seguridad y privacidad, mencionó en una publicación que la falta de apoyo al CVE podría «deteriorar» los sistemas de ciberseguridad a nivel mundial. «La consecuencia será una ruptura en la coordinación entre proveedores, analistas y sistemas de defensa; nadie estará seguro de que se refieren a la misma vulnerabilidad», escribió Olejnik. «Sería un caos total y un debilitamiento repentino de la ciberseguridad en general».
Yosry Barsoum, vicepresidente de MITRE y director del Centro para Asegurar la Patria, aseguró en un comunicado que el gobierno continúa haciendo esfuerzos considerables para respaldar el papel de MITRE en el programa y que MITRE sigue comprometido con el CVE como un recurso global. También destacó que este cambio afectará al programa Common Weakness Enumeration, que cataloga debilidades de hardware y software.
La noticia fue inicialmente divulgada en una carta filtrada a miembros de la junta del CVE publicada en plataformas sociales. MITRE recibe financiación del Departamento de Seguridad Nacional de EE. UU. y de la Agencia de Seguridad de Infraestructura (CISA) para «operar y evolucionar el Programa CVE como una entidad independiente y objetiva».
, es utilizado por grandes empresas como Microsoft, Google, Apple, Intel y AMD para identificar y seguir las vulnerabilidades de ciberseguridad.){kind=link}