Cómo convertir una sola vulnerabilidad en cinco problemas: guía de los responsables de la base CVE

Casi 50 mil vulnerabilidades al año suena alarmante. Pero detrás de la cifra llamativa hay confusión. No todas las entradas CVE describen un problema de seguridad real, y la propia estadística a menudo resulta engañosa.

En 2025 se publicaron más de 48 000 entradas CVE – identificadores generalmente aceptados de vulnerabilidades. Al mismo tiempo, la base VulnDB contabilizó 44 146 problemas reales. La diferencia de varios miles refleja un hecho sencillo: no todo CVE describe una vulnerabilidad independiente.

Hay varias razones. La primera está relacionada con la forma en que se asignan los números. El prefijo CVE no tiene que coincidir con el año de publicación. La organización MITRE no exige una vinculación estricta con la fecha de divulgación, y la propia fecha de divulgación no se registra en el sistema. Como resultado, es imposible decir con precisión cuántas vulnerabilidades nuevas se encontraron en un año concreto.

La segunda razón es el diferente enfoque a la hora de describir un mismo problema. Un especialista puede registrar el hallazgo como una sola vulnerabilidad, otro dividirlo en varias, y un tercero considerarlo un duplicado. MITRE no tiene una política única que establezca dichas reglas, por lo que mucho depende de quien envía la solicitud para obtener un CVE.

La tercera razón son los duplicados. En los últimos años la situación ha empeorado notablemente. Algunos autores literalmente "cultivan" CVE: presentan solicitudes por el mismo defecto varias veces. El sistema casi no verifica la calidad ni descarta repeticiones, por lo que no es difícil obtener varios identificadores para un mismo problema.

Este caso ocurre con más frecuencia en dos categorías. La primera – proyectos aficionados en PHP, que casi no se usan en empresas. El autor puede copiar el programa, cambiar un poco la apariencia – y registrar una nueva vulnerabilidad con un CVE distinto, aunque el código apenas haya cambiado. La segunda – routers domésticos de D-Link, Netgear, TP-Link, Tenda y ASUS. Distintas formas de verificar la misma vulnerabilidad conducen a varias publicaciones que resultan difíciles de identificar como duplicados.

Hay otros matices. En las estadísticas a veces se incluyen entradas rechazadas – formalmente están publicadas, pero no describen una vulnerabilidad. Parte de los informes trata no de problemas de seguridad, sino de errores de estabilidad o fallos sin escalada de privilegios. En 2025 hubo al menos trescientos casos de ese tipo.

El aumento del número de CVE en los últimos años se explica en gran medida por cambios organizativos. Por ejemplo, en 2021 obtuvieron el estatus de centro de numeración Wordfence y Patchstack. Tras eso, el flujo de nuevas entradas creció bruscamente. Más tarde se unió al proceso el equipo del núcleo de Linux, que declaró abiertamente que puede asignar CVE a casi cualquier error, porque cualquiera de ellos potencialmente afecta a la seguridad.

Sin embargo, la tendencia no siempre es al alza. Tras el fuerte aumento de 2021, el número de entradas en 2022 incluso se redujo algo. La misma reacción del mercado se repitió después del pico de 2025.