La pasada noche del martes al miércoles, la Agencia de Ciberseguridad e Infraestructura (CISA) de EE.UU. evitó a última hora una catástrofe en el ecosistema global de ciberseguridad: renovó por 11 meses el contrato que sostiene el programa MITRE-CVE, el estándar internacional más importante para la catalogación de vulnerabilidades. La noticia llega después de que el propio MITRE advirtiera ese mismo día sobre una inminente paralización del servicio por falta de fondos federales.
El anuncio generó pánico en el sector. El programa Common Vulnerabilities and Exposures (CVE) es la piedra angular de miles de herramientas de gestión de vulnerabilidades en todo el mundo. Se utiliza en productos de seguridad, inteligencia, escaneo automatizado y frameworks como NIST, OWASP o MITRE ATT&CK. El hecho de que su continuidad dependa de una decisión administrativa de última hora en Estados Unidos ha encendido todas las alarmas.
El riesgo de centralizar la ciberseguridad en un solo país
Pese a la prórroga de CISA, el debate no ha hecho más que comenzar. Una parte del propio CVE Board ha anunciado la creación de la CVE Foundation, un nuevo organismo con el objetivo de mantener el programa de forma más neutral y sostenible, libre de depender exclusivamente del gobierno estadounidense. En su comunicado, señalan que “si bien la estructura actual ha permitido el crecimiento del programa, también ha generado preocupaciones de larga data sobre la sostenibilidad y la neutralidad de un recurso global clave atado a un único patrocinador gubernamental”.
Desde MITRE, Yosry Barsoum, vicepresidente del Centro para la Seguridad Nacional, agradeció el apoyo del sector: “El gobierno sigue realizando esfuerzos para respaldar nuestro papel en el programa, y MITRE sigue plenamente comprometido con el CVE y el CWE como recursos globales”.
¿Y si esto vuelve a ocurrir?
Lo sucedido plantea una pregunta crítica para Europa: ¿debería la UE desarrollar su propio sistema de referencia de vulnerabilidades?. Como señalan algunos expertos en LinkedIn y otros foros profesionales: “No se trata de una cuestión ideológica, sino de seguridad nacional. Las infraestructuras críticas de Europa no pueden depender completamente de la financiación y decisiones políticas de terceros países, aunque sean aliados”.
De hecho, la Unión Europea cuenta con capacidades técnicas y organizativas suficientes para liderar un proyecto equivalente, con la colaboración de instituciones como ENISA, CERT-EU y los CSIRT nacionales. También podría vincularse con iniciativas soberanas como Gaia-X o el nuevo marco europeo de ciberresiliencia (CRA).
El contexto político complica el panorama
La situación se agrava ante la incertidumbre presupuestaria que rodea a CISA, principal agencia asociada al programa. Según fuentes internas, varios contratos han sido cancelados recientemente, y la administración de Kristi Noem ha expresado su intención de reducir drásticamente el tamaño y presupuesto de la agencia.
Noem ha acusado a CISA de sobrepasar sus funciones, especialmente en la moderación de contenido online durante el ciclo electoral de 2020. “CISA debe ser más pequeña, más ágil, y centrarse en proteger las infraestructuras críticas”, declaró en enero.
Conclusión: Europa necesita su propia columna vertebral en ciberseguridad
Aunque la prórroga temporal del CVE puede verse como un alivio, el riesgo estructural de dependencia sigue presente. La gestión global de vulnerabilidades no puede descansar sobre una única entidad nacional —por eficiente que sea— sino que debe evolucionar hacia un modelo más federado y transparente.
En un entorno donde la ciberseguridad ya no es solo una cuestión técnica, sino geopolítica, la soberanía digital no es una opción: es una necesidad estratégica. Y si Europa quiere tener un papel protagonista en la defensa de sus activos críticos, este es el momento de actuar.
Enlace relacionado: CISA extiende el contrato de CVE a última hora (Nextgov)
