{"id":9804,"date":"2026-02-26T11:34:02","date_gmt":"2026-02-26T11:34:02","guid":{"rendered":"https:\/\/cyberwatch.fr\/?p=9804"},"modified":"2026-04-08T15:43:17","modified_gmt":"2026-04-08T15:43:17","slug":"la-gestion-de-vulnerabilidades-en-la-era-de-la-ia-generativa","status":"publish","type":"post","link":"https:\/\/cyberwatch.fr\/es\/noticias\/la-gestion-de-vulnerabilidades-en-la-era-de-la-ia-generativa\/","title":{"rendered":"La gesti\u00f3n de vulnerabilidades en la era de la IA generativa"},"content":{"rendered":"\n

Con motivo de la Cyber-IA Expo, Florian Wininger, director t\u00e9cnico y cofundador de Cyberwatch, hizo un balance de la situaci\u00f3n y expuso su visi\u00f3n sobre la evoluci\u00f3n de la gesti\u00f3n de vulnerabilidades en los pr\u00f3ximos a\u00f1os. En 2025, se publicaron nada menos que 48 000 CVE, lo que supone una media de 130 al d\u00eda. Ante esta explosi\u00f3n, un n\u00famero cada vez mayor de ellas no se enriquecen a tiempo, lo que imposibilita una r\u00e1pida correcci\u00f3n. La IA se convertir\u00e1 en indispensable para identificar, enriquecer y priorizar los riesgos, pero tambi\u00e9n para automatizar las correcciones.<\/p>\n\n\n\n

Aumento significativo de las vulnerabilidades: el fin de la centralizaci\u00f3n<\/h2>\n\n\n\n

Hist\u00f3ricamente, la gesti\u00f3n de las vulnerabilidades se basaba en un actor central: la Base de Datos Nacional de Vulnerabilidades (NVD), gestionada por el Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST). Su funci\u00f3n era catalogar las CVE, asignarles una puntuaci\u00f3n de gravedad (CVSS) y vincularlas a los productos afectados (con identificadores CPE, Common Platform Enumeration).<\/p>\n\n\n\n

Sin embargo, con el aumento exponencial del n\u00famero de vulnerabilidades, la NVD ya no da abasto, lo que se traduce en retrasos en la publicaci\u00f3n, puntuaciones de criticidad incompletas y falta de informaci\u00f3n sobre los productos afectados. En su \u00faltima reuni\u00f3n trimestral<\/a>, celebrada en enero de 2026, los responsables del NIST reconocieron que estaban librando \u00abuna batalla perdida\u00bb e indicaron su intenci\u00f3n de pasar a un modelo en el que el enriquecimiento se confiar\u00eda a las CVE Numbering Authorities (CNA).<\/p>\n\n\n\n

Enriquecimiento de los datos CVE: m\u00faltiples fuentes<\/h2>\n\n\n\n

Para poder recopilar y enriquecer la informaci\u00f3n relacionada con las vulnerabilidades, se ha ido organizando progresivamente todo un ecosistema.<\/p>\n\n\n\n

Las CNA (CVE Numbering Authorities)<\/h3>\n\n\n\n

En la actualidad existen cerca de 490 organismos habilitados para documentar los CVE, de los cuales una decena son de nivel \u00abra\u00edz\u00bb y cuentan con plena autoridad para emitir n\u00fameros CVE.<\/p>\n\n\n\n

Cabe destacar que, desde noviembre de 2025, la ENISA, agencia europea de ciberseguridad, est\u00e1 reconocida como autoridad ra\u00edz. Europa, de conformidad con el art\u00edculo 12 de la directiva NIS2, dispone por fin de su propia base de datos, denominada EUVD<\/a> (European Union Vulnerability Database).<\/p>\n\n\n\n

Los ADP (Authorized Data Publishers)<\/h3>\n\n\n\n

Cuando una CNA publica un CVE, informa de la existencia de una vulnerabilidad, pero no siempre proporciona los metadatos esenciales para su priorizaci\u00f3n, como la puntuaci\u00f3n CVSS o el CPE (identificador del producto afectado). La funci\u00f3n de los ADP (Authorized Data Publishers) es completar esta informaci\u00f3n a posteriori. En la actualidad, la agencia estadounidense de ciberseguridad CISA es pr\u00e1cticamente el \u00fanico ADP que opera a gran escala.<\/p>\n\n\n\n

Los CERT europeos y nacionales<\/h3>\n\n\n\n

Los CERT europeos y nacionales desempe\u00f1an un papel esencial en la calificaci\u00f3n y la activaci\u00f3n de alertas sobre las vulnerabilidades m\u00e1s cr\u00edticas. Sin embargo, ning\u00fan CERT cubre todo el espectro tecnol\u00f3gico. Por ejemplo:<\/p>\n\n\n\n