El sistema NVD del NIST, la agencia gubernamental estadounidense, nunca se recuperó del todo del retraso acumulado que comenzó en febrero de 2024. A mediados de 2024, el 75 % de las CVE presentadas seguían sin procesarse y, en marzo del año pasado, el NIST admitió que el aumento del 32 % en el número de envíos significaba que el retraso seguía creciendo, a pesar de su promesa de poner fin a la acumulación de trabajo pendiente.
Incluso antes de que se acumulara el trabajo atrasado, lanzamos Aikido Intel en enero de 2024. Creíamos que ya no era viable depender únicamente de las bases de datos de vulnerabilidades. Resultaba engorroso y no podía seguir el ritmo de la velocidad y el volumen de la seguridad del código abierto.
Ayer, la agencia gubernamental estadounidense NIST admitió finalmente que no puede hacer frente al volumen de notificaciones de CVE.
A pesar de que en 2025 se produjo un aumento del 45 % en el número de CVE procesadas, las notificaciones de CVE aumentaron un 263 %. La agencia no tenía forma de seguir el ritmo. Por lo tanto, la agencia tendría que adoptar un nuevo enfoque «basado en el riesgo» para hacer frente a la situación.
El nuevo enfoque dará prioridad a los CVE correspondientes al software utilizado por el Gobierno de los Estados Unidos, al software crítico o a aquellos que figuren en el catálogo de vulnerabilidades explotadas conocidas (KEV). Otros CVE se añadirán al NVD, pero no se analizarán. Eso significa que no se puntuará de forma independiente cada CVE. En su lugar, simplemente aceptarán la puntuación del remitente y no volverán a analizar los CVE modificados a menos que alguien señale que deben hacerlo. El creciente volumen de trabajo pendiente pasará a «sin programar», lo que significa «quizá lo abordemos algún día (pero no cuentes con ello)».
Sin este enriquecimiento, los CVE estarán menos actualizados y serán menos fiables. Entonces, ¿qué repercusiones tendrá esto en los miles de organizaciones y profesionales de la seguridad que confían en el NVD como su fuente de referencia? Si el NIST no enriquece un CVE, las herramientas que dependen del NVD no mostrarán dicho CVE. Los equipos no recibirán ninguna alerta de que se ha pasado algo por alto. Y las propias herramientas generarán falsos negativos.
En resumen, la cobertura en la que confían ya no es completa. Y si siguen confiando en el NVD como fuente de referencia, estarán adquiriendo una falsa sensación de seguridad.
De todos modos, los CVE nunca reflejaban la situación completa
Por supuesto, el NIST será objeto de escrutinio, pero la realidad es que, aunque el NVD funcionara a la perfección, los equipos pasarían por alto la mayoría de las vulnerabilidades reales, ya que los CVE solo recogen lo que se da a conocer.
Los responsables del mantenimiento —incluso los de los proveedores más grandes— corrigen los problemas de seguridad y nunca los notifican. Las bases de datos centralizadas por sí solas no pueden detectar lo que nunca se notifica.
Por eso lanzamos Aikido Intel en enero de 2024, semanas antes incluso de que se iniciara la acumulación de incidencias de NVD, porque ya nos dimos cuenta de que confiar únicamente en bases de datos centralizadas para informar sobre vulnerabilidades era una estrategia fallida.
Intel utiliza modelos de lenguaje grande (LLM) entrenados a medida para leer registros de cambios, notas de lanzamiento y mensajes de confirmación en paquetes de código abierto. Cuando detecta parches relevantes para la seguridad, los compara con cinco bases de datos de vulnerabilidades. Si no existe ninguna información al respecto, nuestros ingenieros de seguridad validan el hallazgo y publican un aviso con un identificador de vulnerabilidad de Aikido.
Para ilustrar este punto: durante su primer año, el 67 % de los paquetes en los que Intel detectó vulnerabilidades nunca se hicieron públicos en ninguna base de datos: ni en NVD, ni en GitHub Advisory, ni en MITRE, ni en ningún otro sitio.
Y no se trata de paquetes desconocidos. Axios (56 millones de descargas semanales en npm) corrigió en silencio una vulnerabilidad de contaminación de prototipos que , a día de hoy, sigue sin tener un CVE. Apache ECharts corrigió un problema de scripts entre sitios y nunca lo reveló. Chainlit solucionó una vulnerabilidad crítica de recorrido de rutas y no dijo nada al respecto. En el caso de las que finalmente se revelaron, el tiempo medio transcurrido entre la corrección y la asignación del CVE fue de 27 días. El plazo más largo hasta su revelación fue de nueve meses.
En una sola semana de supervisión de Intel este mes de enero, 12 de las 16 vulnerabilidades detectadas no tenían asignado ningún CVE.
En la actualidad, Intel supervisa 4,3 millones de paquetes y ha detectado más de 2.000 vulnerabilidades. Es de código abierto bajo la licencia AGPL, lo que significa que cualquiera puede utilizarlo, modificarlo y distribuirlo. Además, no depende de asignaciones CPE ni del enriquecimiento del NVD para funcionar.
Aikido Intel ya estaba cubriendo ese vacío antes de que surgiera.
¿Y ahora qué?
La UE ya está desarrollando su propia alternativa a la NVD, la Base de Datos Europea de Vulnerabilidades (EUVD), que está en funcionamiento desde mayo de 2025. A partir de septiembre de 2026, la notificación de vulnerabilidades explotadas activamente será obligatoria para los fabricantes en virtud de la Ley de Ciberresiliencia. La UE vio el riesgo de depender de una única base de datos gestionada por EE. UU. y, como consecuencia, está desvinculándose de ella. Pero incluso la EUVD se encuentra en sus primeras fases y depende en gran medida de la sincronización con la NVD y otras bases de datos existentes. Estas bases de datos no van a desaparecer, ni deberían hacerlo, ya que desempeñan un papel importante. Sin embargo, considerar cualquiera de ellas como una visión completa ya no es una estrategia viable.
En resumen, ya no existe una única fuente de informaciónfiable (si es que alguna vez la hubo). El NVD está perdiendo prioridad, el EUVD está en sus inicios pero podría seguir el mismo camino, y otros programas de CVE, como el de MITRE, han sufrido recortes de financiación. Depender de una sola base de datos, ya sea como equipo o para una herramienta de seguridad, implica tener menos cobertura y visibilidad. Esa era ha terminado oficialmente.
Llevamos tiempo preparándonos para este momento. Aikido Intel ya está disponible, es de código abierto y sigue creciendo. Échale un vistazo aquí.
