Durante dos décadas, la NVD (Base de Datos Nacional de Vulnerabilidades) sirvió como base de facto para la gestión de vulnerabilidades. Los escáneres, los sistemas SIEM, las herramientas de aplicación de parches y los marcos de cumplimiento normativo partían todos del supuesto de que, cuando un CVE aparecía en la NVD, los analistas del NIST añadirían sin demora las puntuaciones de gravedad, las correspondencias con las versiones de los productos y los metadatos contextuales que hacen que un identificador CVE sin procesar resulte realmente útil.
El 15 de abril de 2026, esa suposición dejó oficialmente de ser fiable.
El NIST ha anunciado que la NVD está pasando a un modelo de enriquecimiento basado en el riesgo. La mayoría de los nuevos CVE que se incorporen a la base de datos ya no recibirán una puntuación CVSS añadida por el NIST, ni una asignación de productos CPE, ni un análisis independiente por defecto. Para las organizaciones cuyos flujos de trabajo de vulnerabilidades dependen de los datos enriquecidos por el NVD, esto plantea un problema de cobertura real y creciente. Para los desarrolladores y proveedores de productos de seguridad que integran esos datos en sus herramientas, esto plantea una pregunta aún más acuciante: ¿qué es exactamente lo que les está indicando su fuente de datos ahora?
El NVD ya no puede mantenerse al día con las vulnerabilidades notificadas
Según el propio comunicado del NIST, las notificaciones de CVE aumentaron un 263 % entre 2020 y 2025, y en el primer trimestre de 2026 ya se había registrado un incremento de casi un tercio con respecto al mismo periodo del año anterior.
El NIST amplió la información de casi 42 000 CVE en 2025, lo que supone un aumento del 45 % con respecto a cualquier año anterior. Sin embargo, este aumento de la productividad no ha sido suficiente para hacer frente al creciente número de notificaciones, lo que ha dado lugar a la implantación de un sistema formalizado de clasificación.
A partir del 15 de abril de 2026, el NIST solo completará con información adicional las vulnerabilidades que figuren en el catálogo KVE (Vulnerabilidades Conocidas y Explotadas) de la CISA, en el software utilizado por el Gobierno federal o en el software designado como crítico en virtud del Decreto Ejecutivo 14028. El resto de vulnerabilidades se incluirán en el NVD, pero sin la información adicional añadida por el NIST, y no se procesarán de forma inmediata.
En consecuencia, casi 300 000 CVE atrasadas publicadas antes del 1 de marzo de 2026 se han trasladado en su conjunto a la categoría «Sin programar».
En lo que respecta a los CVE que, en adelante, no cumplan los criterios de prioridad del NIST, las puntuaciones de gravedad se basarán a partir de ahora en los datos facilitados por la propia autoridad de numeración de CVE (CNA), que suele ser el proveedor del software afectado, en lugar de en un análisis independiente del NIST. El NIST también dejará de recalcular las puntuaciones de gravedad cuando la CNA ya haya facilitado una.
Todos los principales escáneres de vulnerabilidades, todas las reglas de correlación de SIEM, todas las puntuaciones de riesgo de terceros y todos los marcos de cumplimiento normativo, desde PCI DSS hasta FedRAMP, dependen del proceso de enriquecimiento de datos de la NVD.
Con esta actualización, ese proceso se ha reducido oficialmente, lo que ha dado lugar a que algunas vulnerabilidades (CVE) potencialmente peligrosas no se cataloguen como tales o no se detecten a tiempo.
Hay un factor de aceleración adicional que conviene tener en cuenta, ya que la reducción del enriquecimiento choca con la rápida proliferación de la detección de amenazas asistida por IA.
Los modelos avanzados de inteligencia artificial y las herramientas de programación están reduciendo considerablemente las dificultades para identificar vulnerabilidades explotables y vías de ataque complejas en las aplicaciones, lo que está provocando un aumento vertiginoso en la publicación de CVE. En febrero de 2026, el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST) pronosticó que en 2026 se notificarían 50 000 CVE adicionales, una cifra sin precedentes. La infraestructura de enriquecimiento actual no está preparada para gestionar este volumen manteniendo los niveles de calidad anteriores.
Por qué los productos basados únicamente en NVD tienen un problema
Un registro CVE sin procesar suele incluir un identificador, una descripción y referencias. Los metadatos que sustentan la gestión automatizada de vulnerabilidades han procedido tradicionalmente de los analistas del NVD. Estos datos se refieren a puntuaciones de gravedad CVSS validadas de forma independiente, asignaciones de productos CPE y clasificaciones de debilidades CWE.
Pero el «enriquecimiento» es lo que hace que un CVE sea procesable. Sin él, los flujos de trabajo que dependen de él se deterioran de forma previsible.
La priorización basada en CVSS se debilita
Cuando un escáner o una herramienta de aplicación de parches espera una puntuación de gravedad proporcionada por el NVD y no la encuentra, la vulnerabilidad puede aparecer como «gravedad desconocida», quedar fuera de las políticas de parches basadas en el SLA o perder prioridad.
La actualización del NIST de abril de 2026 confirmó que:
- Las CVE que no cumplan los nuevos criterios de prioridad no serán evaluadas automáticamente de forma independiente
- El NIST ya no generará su propia puntuación CVSS cuando una CNA ya haya facilitado una (incluso si dicha CNA es el proveedor del software afectado).
Una asignación de CPE deficiente o inexistente provoca una detección deficiente de CVE
La propia documentación de NVD describe la identificación de productos como un elemento fundamental del proceso de enriquecimiento, ya que permite a los usuarios comprobar mediante programación si una vulnerabilidad conocida afecta a los productos de su entorno.
Si las asignaciones de CPE faltan, están incompletas o se retrasan, es posible que las herramientas que se basan principalmente en la coincidencia de CPE no detecten la coincidencia o la detecten con retraso.
Los proveedores de productos de seguridad se encuentran entre los más afectados, ya que sus productos suelen depender de la identificación de equipos de punto de presencia (CPE) y del enriquecimiento de datos CVE. Las herramientas de gestión de parches, protección de terminales, control de acceso a la red y gestión de activos se basan en información precisa sobre vulnerabilidades para determinar qué elementos se ven afectados, cuál es la gravedad del problema y qué medidas deben adoptarse a continuación.
Para los equipos que desarrollan nuevos productos de seguridad, basarse únicamente en la NVD supone construir sobre unos cimientos en los que ya pueden existir lagunas importantes: una cobertura limitada de vulnerabilidades de día cero, la falta de información complementaria para una proporción cada vez mayor de CVE y unos ciclos de actualización que pueden tener dificultades para seguir el ritmo del descubrimiento y la explotación de vulnerabilidades a la velocidad de la IA.
Para los equipos que ya cuentan con capacidades de aplicación de parches o corrección, el riesgo es diferente, pero igual de importante. La eficacia de un motor de corrección depende directamente de la información sobre vulnerabilidades que reciba. Si esa información es incompleta, llega con retraso o depende en exceso del enriquecimiento derivado del NVD, los flujos de trabajo posteriores pueden pasar por alto productos afectados, restar prioridad a vulnerabilidades de gravedad desconocida o no actuar a tiempo antes de que aumente la exposición.
Si esos productos heredan los puntos débiles de NVD, todos los clientes posteriores podrían verse afectados por ellos.
Esa es precisamente la carencia que se pretendía subsanar con la evaluación de vulnerabilidades del marco OESIS: ayudar a los equipos de productos de seguridad a reforzar la información sobre vulnerabilidades sin depender únicamente del enriquecimiento de datos del NVD.
Cómo OPSWAT esta cuestión de forma diferente
OPSWAT el módulo de evaluación de vulnerabilidades del marco OESIS específicamente para los desarrolladores de productos de seguridad que necesitan datos sobre vulnerabilidades fiables y útiles integrados en sus herramientas.
Diseñado para cubrir esa carencia
El módulo agrupa varias fuentes, en lugar de basarse en una sola.
Aprovecha diversas fuentes de información sobre vulnerabilidades, tanto comerciales como de código abierto, para garantizar una cobertura precisa y oportuna de cientos de proveedores y aplicaciones.
El catálogo de vulnerabilidades OESIS abarca actualmente más de 65 000 CVE únicas y más de 150 000 casos de vulnerabilidades, y se actualiza de forma continua —varias veces al día— en lugar de esperar a los ciclos de procesamiento del NVD.
Una puntuación de gravedad propia que va más allá del CVSS y ofrece más contexto.
Los datos sobre vulnerabilidades OPSWAT incluyen la OPSWAT Score», una clasificación propia que va más allá de la base CVSS al incorporar indicadores adicionales, como la popularidad del CVE, el riesgo de compromiso y el ciclo de vida del CVE.
En un contexto en el que una parte cada vez mayor de las puntuaciones CVSS podría proceder de la propia CNA, este nivel de análisis independiente podría ayudar a los productos de seguridad a ofrecer a sus usuarios una indicación de priorización más fundamentada.
La solución de inteligencia sobre vulnerabilidades OESIS admite dos vías de integración, sin necesidad de una puesta en marcha compleja:
- Fuente de datos del catálogo: compara los datos de vulnerabilidades de OESIS con tu inventario de software actual directamente en el servidor, sin necesidad de instalar ningún agente en los dispositivos finales. Los productos existentes con funciones de inventario de software pueden utilizar los datos de OESIS para detectar vulnerabilidades en todos los activos gestionados.
- Endpoint (kitSoftware ): Incorpora el marco OESIS directamente en tu producto para vulnerability detection en tiempo real y directamente en el dispositivo. Ideal para productos de seguridad que se ejecutan en dispositivos finales
Investigación interna sobre vulnerabilidades
El equipo interno de investigación de amenazas OPSWAT, Unit 515, lleva a cabo de forma continua investigaciones de seguridad ofensiva, simulaciones de ataques, pruebas avanzadas y divulgación responsable en infraestructuras críticas y software empresarial. El equipo ha identificado y notificado más de 50 vulnerabilidades de día cero, entre las que se incluyen hallazgos críticos en software ampliamente implantado, como plataformas ICS/OT —por ejemplo, los PLC Delta— y plataformas nativas de IA.
El efecto neto para los desarrolladores de productos de seguridad es que sus herramientas podrían mantener una cobertura más amplia de vulnerabilidades, incluso aunque se reduzca el alcance de la ampliación de datos del NVD, sin que los clientes tengan que aceptar una visibilidad reducida ni soluciones manuales.
Detección + Corrección: el ciclo completo
La detección identifica los puntos vulnerables. La corrección los soluciona. Juntas, ayudan a cerrar el ciclo de riesgos en la medida de lo posible. OESIS Vulnerability Assessment se encarga de la detección y la priorización. OESIS Patch Management está disponible para los equipos que deseen disponer de ambas funciones en un único marco:
- Detección: Aplicaciones vulnerables, con coincidencia de versión, OPSWAT y marcadas por KEV
- Priorización: OPSWAT ayuda a identificar qué es lo que hay que solucionar primero, basándose en señales de explotación reales
- Solución: Su infraestructura actual puede procesar los datos de salida de OESIS, o bien OESIS Patch Management aplicar parches, imponer versiones o bloquear el acceso directamente
- Verificación: OESIS vuelve a escanear el sistema tras la reparación para confirmar que el terminal está limpio antes de restablecer el acceso
La detección sin corrección es un informe. La detección con corrección es un riesgo resuelto. OESIS tiene como objetivo proporcionar a su producto ambas cosas, ayudando a cerrar los ciclos de detección y corrección más rápidamente para hacer frente con mayor eficacia a las amenazas que se mueven a la velocidad de la IA.
Las vulnerabilidades de AI-Speed requieren una detección de AI-Speed
Los productos de seguridad no pueden permitirse el lujo de considerar la información sobre vulnerabilidades como una dependencia secundaria de evolución lenta. A medida que aumenta el volumen de CVE y el enriquecimiento de datos se vuelve menos sistemático, los equipos de producto necesitan una forma de mantener los flujos de trabajo de detección, priorización y corrección en consonancia con la exposición real.
Ahí es donde entra en juego la evaluación de vulnerabilidades de OESIS Framework. Ofrece a los desarrolladores de productos una forma práctica de reforzar la cobertura de vulnerabilidades sin tener que reconstruir desde cero su pila de soluciones para terminales o de corrección. A los equipos que lanzan un nuevo producto, les ayuda a establecer una cobertura fiable en una fase más temprana. A los equipos que mejoran un producto ya existente, les ofrece una forma más sencilla de comparar la cobertura, validar las mejoras y decidir cómo debería ser una integración más profunda.
