Las redes neuronales detectan vulnerabilidades en el código más rápido de lo que los humanos pueden documentarlas; el NIST levanta la bandera blanca.
Balance tras la crisis en la principal base de datos de ciberamenazas.
El flujo de informes sobre vulnerabilidades se volvió tan grande que incluso las instituciones estatales dejaron de poder seguirle el ritmo. El Instituto Nacional de Estándares y Tecnología de EE. UU., NIST, reconoció que ya no puede procesar todas las entradas como antes y cambia las reglas del juego.
El problema radica en el sistema CVE, donde se recopilan datos sobre vulnerabilidades. Hasta ahora, los especialistas añadían a cada registro una descripción y una valoración del riesgo después de su incorporación a la base de vulnerabilidades. Ahora la agencia renunciará a esa práctica. Solo se completarán aquellos registros que superen el nuevo umbral de prioridad.
La razón es simple. En los primeros tres meses de 2026 el número de solicitudes creció casi un tercio en comparación con el mismo periodo del año anterior. En 2025 NIST procesó alrededor de 42 000 vulnerabilidades, lo que supone un 45 % más que el anterior récord, pero ni ese ritmo permitió alcanzar el flujo de nuevos informes.
A partir de ahora recibirán información detallada, en primer lugar, las vulnerabilidades del catálogo de problemas explotados activamente que mantiene CISA. Se promete que esos registros se complementarán en el plazo de veinticuatro horas tras la notificación. También tendrán prioridad los productos que utilizan las instituciones del gobierno de EE. UU. y el software de importancia crítica.
Las demás vulnerabilidades no desaparecerán, pero quedarán sin datos adicionales. En el sector a esa ampliación de información la denominan «enriquecimiento», y ahora será selectiva. Además, NIST dejará de emitir su propia valoración del riesgo para todos los registros y se basará en los datos que indiquen los autores de los informes.
La agencia explica los cambios como un intento de centrarse en los problemas realmente críticos y, al mismo tiempo, desarrollar la automatización. Sin esa medida, el sistema no soporta la carga. En parte el crecimiento está ligado a la difusión de herramientas basadas en inteligencia artificial que permiten encontrar más rápido incluso errores menores en productos populares. Paralelamente crecen los temores de que los sistemas automáticos no solo encuentren, sino que también lleguen a explotar inmediatamente las vulnerabilidades.
Los problemas se venían acumulando desde hace tiempo. En 2024, por la reducción de plantilla y de financiación, alrededor del 90 % de los registros quedaron sin completar. Entonces CISA asumió temporalmente parte del trabajo, y representantes del sector se dirigieron al Congreso de EE. UU. y a la secretaria de Comercio Gina Raimondo para pedir que apoyaran la Base Nacional de Vulnerabilidades.
La situación aún no se ha corregido. En el NIST trabajan solo 21 empleados, mientras que el número de vulnerabilidades crece cada año. La agencia reconoció que no logró deshacer el archivo acumulado. Todos los registros publicados hasta el 1 de marzo de 2026 y que queden sin procesar se trasladarán a la categoría «no programados». No obstante, algunos de ellos sí se revisarán si se detecta entre ellos alguno de importancia crítica.
Incluso en la propia agencia reconocen que el nuevo esquema no es perfecto y puede pasar por alto problemas graves. Si es necesario, los especialistas podrán solicitar la revisión de un registro concreto de forma directa. En el sector se interpretó ese paso como el reconocimiento de lo obvio. Con el volumen actual resulta imposible analizar de forma centralizada cada vulnerabilidad. Las prioridades cada vez se determinan más por el uso real de la falla en ataques que por las entradas en la base de datos.