La Fundación CVE mira hacia un lanzamiento a finales de año tras el rescate de última hora del programa MITRE

En marzo, la organización sin fines de lucro MITRE celebró un hito significativo: el 25 aniversario del programa de Exposición y Vulnerabilidad Común (CVE). Este programa ha sido fundamental para la gestión de vulnerabilidades en el ámbito de la ciberseguridad, brindando identificadores únicos para las vulnerabilidades de software. Sin embargo, a mediados de abril, el pánico se apoderó de la comunidad de ciberseguridad cuando un contrato vital entre el programa CVE y la Agencia de Seguridad Cibernética e Infraestructura (CISA) estuvo al borde de la extinción. Después de una intervención de última hora, CISA concedió una extensión de 11 meses, pero la inquietud quedó marcada. ¿Qué viene a continuación para la Fundación CVE y cómo afectará el futuro de la ciberseguridad?

Un rescate de última hora

La tensión comenzó cuando un memo filtrado alertó sobre la falta de renovación del contrato entre CISA y MITRE, dejando al programa CVE en un limbo que podría haber llevado a su colapso. Este suceso, descrito por expertos como un "sentido de apocalipsis", desató una ola de reacciones en la industria. “No fue solo un susto; fue una llamada de atención”, afirmó Peter Allor, experto en vulnerabilidades.

El impacto de la incertidumbre

La incertidumbre sobre la financiación del programa CVE llevó a la comunidad a cuestionarse el futuro de un mecanismo que ha sido fundamental para el rastreo de vulnerabilidades. La necesidad de diversificar el modelo de financiación se hizo evidente, ya que depender de un solo financiador, especialmente del gobierno, representa un riesgo significativo para la seguridad digital.

El cambio hacia un modelo de financiación privado

La falta de seguridad en la financiación pública ha hecho que distintas organizaciones comiencen a considerar alternativas. La aparición de modelos como el Sistema Global de Asignación de CVE (GCVE) y la base de datos de vulnerabilidades de la Unión Europea (EUVD) señalan un giro hacia el sector privado. “Debemos movernos hacia un modelo que permita una mayor participación de entidades privadas y gobiernos múltiples”, enfatizó Jay Jacobs, uno de los fundadores de Empirical Security.

Nuevos actores en el panorama de la ciberseguridad

Diferentes iniciativas comenzaron a tomar forma después del susto de la falta de financiación. La EUVD y el GCVE están diseñados para proveer un enfoque descentralizado y colaborativo. Con la creación de la CVE Foundation, se busca establecer un sistema más resiliente que dependa de múltiples fuentes de financiación.

La necesidad de un enfoque colaborativo

Con la situación del CVE expuesta, muchos en la comunidad de ciberseguridad se dieron cuenta de que era el momento de actuar y fortalecer el marco de trabajo existente. “Hay un gran interés en crear algo mejor, más sostenible”, afirmó Ben Edwards, científico principal en Bitsight. La formación de la Fundación CVE puede ser clave para establecer una estructura más robusta.

La importancia de la colaboración pública y privada

Unir a la comunidad bajo una sola bandera se presenta como un temor, pero también como una oportunidad. La experiencia de CISA y MITRE con el contratista era una lección de lo que podría pasar si los actores clave no trabajan juntos. “Las vulnerabilidades de software son responsabilidad de todos”, aseguró Allor. Esto incluye a los productores de software, los gobiernos y el sector privado, todos deben tener voz en el proceso.

Un modelo de financiación más diversificado

El reconocimiento de que la dependencia de un solo financiador puede ser problemático está llevando a la discusión sobre un modelo más diversificado. Según expertos, un esfuerzo que involucre a múltiples entidades poco representa la mejor práctica. “Las organizaciones no deben poner todos sus recursos financieros en un solo lugar”, advirtió Jacobs. Estas reflexiones llevan a pensar en alternativas que puedan eventualmente hacer que el ecosistema de ciberseguridad sea más robusto.

Planes de futuro para la Fundación CVE

"El tiempo es de esencia", explicó Allor al enfatizar que la Fundación CVE podría estar operativa para diciembre, incluso antes de que expire la extensión del contrato con MITRE. Este nuevo enfoque representa una oportunidad para que el sector cibernético se adapte y evolucione, integrando a productores de software y organismos públicos en un modelo colaborativo.

Reflexiones finales sobre la seguridad cibernética

La importancia de tener un enfoque más colaborativo y diversificado en la financiación de programas críticos como el CVE no puede subestimarse. La ciberseguridad debe ser un esfuerzo conjunto y no depender de un solo actor. En el mundo digital actual, donde las amenazas están en aumento, es vital que todos los miembros de la comunidad tomen parte activa en la protección del ecosistema. Esto no solo es una prevención de riesgos, sino también una responsabilidad compartida.

Por ello, siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas. Mantener tu sistema seguro es fundamental en un panorama donde las vulnerabilidades están en constante cambio.

En resumen

La reciente crisis en torno al programa CVE ha puesto de manifiesto la necesidad de un sistema de gestión de vulnerabilidades más seguro y diversificado. La fundación que emerge de esta situación podría ser clave para un futuro más estable y colaborativo en el ámbito de la ciberseguridad. Con el respaldo de múltiples gobiernos y entidades privadas, la Fundación CVE tiene el potencial de redefinir cómo se gestionan y catalogan las vulnerabilidades a nivel mundial, asegurando que el ecosistema cibernético esté mejor protegido frente a futuras amenazas.

Fuente: https://cyberscoop.com/cve-program-funding-crisis-cve-foundation-mitre/