Con motivo de la Cyber-IA Expo, Florian Wininger, director técnico y cofundador de Cyberwatch, hizo un balance de la situación y expuso su visión sobre la evolución de la gestión de vulnerabilidades en los próximos años. En 2025, se publicaron nada menos que 48 000 CVE, lo que supone una media de 130 al día. Ante esta explosión, un número cada vez mayor de ellas no se enriquecen a tiempo, lo que imposibilita una rápida corrección. La IA se convertirá en indispensable para identificar, enriquecer y priorizar los riesgos, pero también para automatizar las correcciones.
Aumento significativo de las vulnerabilidades: el fin de la centralización
Históricamente, la gestión de las vulnerabilidades se basaba en un actor central: la Base de Datos Nacional de Vulnerabilidades (NVD), gestionada por el Instituto Nacional de Estándares y Tecnología (NIST). Su función era catalogar las CVE, asignarles una puntuación de gravedad (CVSS) y vincularlas a los productos afectados (con identificadores CPE, Common Platform Enumeration).
Sin embargo, con el aumento exponencial del número de vulnerabilidades, la NVD ya no da abasto, lo que se traduce en retrasos en la publicación, puntuaciones de criticidad incompletas y falta de información sobre los productos afectados. En su última reunión trimestral, celebrada en enero de 2026, los responsables del NIST reconocieron que estaban librando «una batalla perdida» e indicaron su intención de pasar a un modelo en el que el enriquecimiento se confiaría a las CVE Numbering Authorities (CNA).
Enriquecimiento de los datos CVE: múltiples fuentes
Para poder recopilar y enriquecer la información relacionada con las vulnerabilidades, se ha ido organizando progresivamente todo un ecosistema.
Las CNA (CVE Numbering Authorities)
En la actualidad existen cerca de 490 organismos habilitados para documentar los CVE, de los cuales una decena son de nivel «raíz» y cuentan con plena autoridad para emitir números CVE.
Cabe destacar que, desde noviembre de 2025, la ENISA, agencia europea de ciberseguridad, está reconocida como autoridad raíz. Europa, de conformidad con el artículo 12 de la directiva NIS2, dispone por fin de su propia base de datos, denominada EUVD (European Union Vulnerability Database).
Los ADP (Authorized Data Publishers)
Cuando una CNA publica un CVE, informa de la existencia de una vulnerabilidad, pero no siempre proporciona los metadatos esenciales para su priorización, como la puntuación CVSS o el CPE (identificador del producto afectado). La función de los ADP (Authorized Data Publishers) es completar esta información a posteriori. En la actualidad, la agencia estadounidense de ciberseguridad CISA es prácticamente el único ADP que opera a gran escala.
Los CERT europeos y nacionales
Los CERT europeos y nacionales desempeñan un papel esencial en la calificación y la activación de alertas sobre las vulnerabilidades más críticas. Sin embargo, ningún CERT cubre todo el espectro tecnológico. Por ejemplo:
- El CERT-FR será especialmente relevante en herramientas muy extendidas en Francia, como la solución de código abierto GLPI, y menos sistemáticamente en tecnologías como SAP o AIX;
- El CERT belga ha emitido recientemente alertas muy reactivas sobre productos emergentes como Moltbot u OpenClaw.
La iniciativa de código abierto Vulnrichment
Con el fin de enriquecer colectivamente los datos CVE a escala mundial, también ha surgido el proyecto de código abierto Vulnrichment (contracción de Vulnerability + Enrichment) en GitHub, que cuenta con una decena de colaboradores activos, entre los que se encuentra Cyberwatch.
La IA al servicio del enriquecimiento automático de los CVE
Para llevar a cabo una vigilancia de amplio espectro y acelerar la identificación de nuevos CVE, Cyberwatch aprovecha la complementariedad de todas estas fuentes públicas: NVD, CNA, ADP, CERT, contribuciones de código abierto…
Más allá de la supervisión de las vulnerabilidades y de su nivel de criticidad, uno de los principales retos es asociar a cada CVE los CPE adecuados, es decir, identificar con precisión los productos y versiones afectados. Sin esta información, es imposible detectar si una vulnerabilidad afecta a un sistema de información determinado.
Sin embargo, en 2025, una parte significativa de los CVE no se benefició de este enriquecimiento a tiempo, a veces durante varios días, a veces incluso nunca.
Aquí es donde entra en juego la inteligencia artificial.
Ante la multiplicidad de fuentes de información sobre los CVE, Cyberwatch ha desarrollado un modelo de enriquecimiento automático mediante IA que permite:
· Identificar automáticamente los CPE asociados a las CVE publicadas;
· Conciliar los nombres de productos y proveedores con las nomenclaturas CPE;
· Tratar las vulnerabilidades a escala horaria, sin esperar a las actualizaciones de la NVD.
Resultado: de las 48 000 vulnerabilidades de 2025, 13 000 han sido objeto de un enriquecimiento automático, con una tasa de falsos positivos relativamente baja. La IA no crea los datos, pero los hace explotables en tiempo real, mientras que esperar una actualización humana llevaría días o incluso semanas.
Identificación, priorización y corrección de CVE asistida por LLM
Por otra parte, Cyberwatch ha integrado un servidor MCP (Model Context Protocol) en su solución de gestión de vulnerabilidades. Este último permite interactuar con nuestra plataforma directamente desde un cliente LLM (Claude, Copilot, ChatGPT, etc.) en lenguaje natural.
En concreto, el usuario puede hacer preguntas como «¿Cuáles son las últimas vulnerabilidades críticas en mis equipos Fortinet?» y obtener en tiempo real:
- La lista de CVE recientes relacionadas con los activos de Fortinet;
- La identificación de las máquinas afectadas en el parque (por ejemplo: 6 activos FortiOS, 3 FortiAnalyzer, 3 FortiManager, 1 FortiWeb);
- El nivel de criticidad de cada vulnerabilidad;
- Una propuesta de plan de remediación.
La ventaja de este enfoque, en comparación con una búsqueda realizada a partir de un LLM que consulta la web, es que Cyberwatch consulta directamente su base de datos en tiempo real y devuelve las vulnerabilidades publicadas en las últimas horas, sin riesgo de retrasos de varias semanas.
Incluso es posible ir más allá con agentes de IA autónomos capaces de realizar, cada día, un resumen de las nuevas vulnerabilidades, identificar las acciones prioritarias que deben llevarse a cabo y ejecutarlas automáticamente, sin intervención humana. Este enfoque podría revolucionar los flujos de trabajo de detección, priorización y corrección de CVE en los próximos años.
¿Desea obtener más información? Póngase en contacto con nuestros equipos.