El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos anunció que abandona su objetivo de analizar exhaustivamente cada entrada en la Base Nacional de Vulnerabilidades (NVD), el repositorio de referencia donde se documentan todas las fallas de seguridad conocidas en software y hardware. El organismo pasará a un modelo de selección basado en el riesgo que priorice las vulnerabilidades más peligrosas.

El anuncio marca un cambio significativo en la filosofía que ha gobernado la gestión de vulnerabilidades durante décadas. La NVD recibe un volumen sin precedentes de reportes de vulnerabilidades cada año, y el NIST reconoció públicamente que ya no tiene los recursos humanos necesarios para procesarlos todos con el mismo nivel de detalle.

Bajo el nuevo modelo, un equipo de analistas evaluará cada vulnerabilidad reportada según criterios como la disponibilidad de exploit públicos, la complejidad de ataque, y el impacto potencial en infraestructuras críticas. Las vulnerabilidades que superen ciertos umbrales recibirán análisis profundos con información de contramedidas, mientras que las demás quedarán documentadas pero sin análisis detallado.

La medida ha generado reacciones divididas en la comunidad de ciberseguridad. Algunos expertos applaud el enfoque pragmático, argumentando que es preferible contar con información de calidad sobre las vulnerabilidades más graves a tener análisis superficiales sobre todas ellas. Sin embargo, otros warn que el cambio podría dejar en la sombra vulnerabilidades menos aparentes que también representan riesgos significativos para organizaciones más pequeñas.