El mundo casi se quedó sin CVE. La UE responde con su propio rastreador de vulnerabilidades y sus propias reglas

La Agencia Europea de Ciberseguridad (ENISA) ha presentado su propia base de datos de vulnerabilidades, EUVD (European Union Vulnerability Database). Creada a semejanza de los catálogos industriales existentes, tiene como objetivo proporcionar a los profesionales información confiable y prácticamente aplicable sobre las amenazas digitales, las formas en que se explotan y los métodos de protección de la infraestructura de red.

"La base de vulnerabilidades de la UE marca un paso importante para fortalecer la seguridad y la resiliencia del espacio digital europeo", afirmó Henna Virkkunen, vicepresidenta ejecutiva de la Comisión Europea para la soberanía tecnológica, la seguridad y la democracia. Según ella, la consolidación de los datos sobre vulnerabilidades en el mercado europeo ayudará a mejorar los estándares de protección y permitirá a las organizaciones públicas y privadas proteger más eficazmente el ciberespacio común, actuando con mayor autonomía.

Hace solo unas semanas, la comunidad mundial estuvo a punto de perder el acceso al catálogo de vulnerabilidades más popular: la base Common Vulnerabilities and Exposures (CVE) de la organización MITRE. El 16 de abril venció el plazo de financiación estatal del proyecto en EE. UU., y solo la intervención de emergencia del Departamento de Seguridad Nacional, que extendió el contrato en el último momento, evitó el colapso.

La crisis financiera suscitó serias preocupaciones en los círculos profesionales. Incluso los entusiastas crearon el fondo sin fines de lucro CVE Foundation, dispuesto a asumir la gestión de la base en caso de que se repitiera una situación similar con el financiamiento estatal en el futuro. Después de todo, esta base, sin exagerar, es la que sustenta la ciberseguridad de casi todo el mundo.

Joe Nicastro, director técnico de Legit Security, considera que el lanzamiento acelerado de la base europea es un paso lógico ante los recientes problemas con el apoyo a la CVE de MITRE: "Este paso es lógico no solo desde la perspectiva de la soberanía de la UE. Tiene sentido reducir la dependencia de un único sistema cuyo futuro parece incierto".

En la conferencia RSA de San Francisco, el director de Legit Security, Nicastro, discutió el futuro del proyecto con el director de operaciones de ENISA, Hans de Vries. "El objetivo final no es reemplazar el sistema existente, sino fomentar una estrecha colaboración entre las plataformas", compartió el experto después de la reunión. De hecho, cada entrada en la base europea EUVD ya está vinculada con el correspondiente identificador CVE de MITRE. "Los europeos no solo piensan en la política, sino también en la utilidad práctica", añadió.

El nuevo sistema está basado en principios de cooperación multilateral. Agregará información de diversas fuentes: grupos de respuesta a incidentes informáticos (CSIRTs), desarrolladores de software y catálogos existentes de código abierto. La interfaz incluye tres paneles de monitoreo especializados que muestran las vulnerabilidades críticas, los fallos activamente explotados y los problemas de seguridad coordinados a nivel de la Unión Europea.

La estructura de cada entrada en la base está cuidadosamente diseñada. Los usuarios recibirán una descripción exhaustiva del problema, una lista detallada de los productos y versiones afectados, una evaluación profesional de la gravedad de la amenaza y posibles vectores de ataque. También habrá acceso directo a actualizaciones de seguridad existentes, recomendaciones oficiales de los órganos competentes y métodos eficaces para minimizar los riesgos asociados.

Es importante señalar que el proyecto tiene una amplia audiencia objetivo. El material recopilado será de utilidad práctica para desarrolladores de sistemas de redes y sus clientes, reguladores nacionales, participantes en la red europea de CSIRTs, representantes del sector privado e investigadores en el campo de la ciberseguridad.