Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 197

Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA?

Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISALista mantenida por la CISA estadounidense que recopila CVE con evidencia creíble de explotación activa en entornos reales, acompañados de plazos de remediación obligatorios para las agencias civiles federales de EE. UU. y ampliamente usada por las empresas como señal de priorización.


El Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA es una lista mantenida por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE. UU. que recopila vulnerabilidades para las que CISA dispone de evidencia creíble de explotación activa en entornos reales. KEV se puso en marcha en noviembre de 2021 al amparo de la Binding Operational Directive 22-01, que convierte la remediación de los CVE listados en obligatoria para las agencias del poder ejecutivo civil federal de EE. UU. (FCEB) dentro de un plazo establecido (por lo general de dos a tres semanas). Cada entrada incluye el CVE, el fabricante/producto, una descripción breve, la acción requerida, la fecha límite, la fecha de incorporación y —desde 2024— un indicador de si se sabe que el fallo se emplea en campañas de ransomware.

Los criterios de inclusión son deliberadamente estrictos: un CVE se añade únicamente cuando tiene un identificador CVE asignado, existe evidencia fiable de explotación activa (no una simple prueba de concepto pública o actividad de escaneo) y hay una remediación clara, como un parche del fabricante. Ese listón es precisamente lo que hace valioso a KEV: filtra los ~40,000 CVE publicados cada año hasta quedarse con la pequeña fracción que los atacantes realmente convierten en armas. El catálogo creció de 1,239 entradas a finales de 2024 a 1,484 a finales de 2025 (245 añadidos ese año, un aumento del ~20%), abarcando sistemas operativos, dispositivos de red, VPN, herramientas RMM, software de productividad, navegadores e ICS. Zero-days de rápida propagación en dispositivos perimetrales, como el CVE-2024-3400 de PAN-OS y la cadena de Ivanti Connect Secure (CVE-2023-46805 + CVE-2024-21887), se añadieron a los pocos días de su divulgación pública.

A pesar de su alcance formal, limitado al ámbito federal estadounidense, KEV se ha convertido en la señal de priorización de facto en toda la industria: los programas empresariales de gestión de vulnerabilidades y las aseguradoras de ciberseguridad tratan la inclusión en KEV como una marca de "aplicar el parche de inmediato", y las plataformas ASPM/CSPM muestran el estado de KEV junto a la gravedad CVSS, la probabilidad de EPSS (Exploit Prediction Scoring System) y la accesibilidad del código. Consumir el flujo JSON/CSV legible por máquina permite a los equipos escalar automáticamente cualquier activo que ejecute un producto listado en KEV.

flowchart TD
  A[Nuevo CVE publicado] --> B{¿Cumple los 3 criterios de KEV?}
  B --> C[Identificador CVE asignado]
  B --> D[Evidencia fiable de explotación activa]
  B --> E[Remediación clara disponible]
  C & D & E -->|Todo sí| F[Añadido al KEV Catalog]
  B -->|Algún no p. ej. solo PoC| G[No añadido]
  F --> H[BOD 22-01: se fija el plazo FCEB]
  F --> I[Empresas + aseguradoras lo tratan como parche ya]
  F --> J[Alimenta ASPM/CSPM con EPSS + CVSS + accesibilidad]
  style F fill:#27ae60,color:#fff
  style G fill:#7f8c8d,color:#fff

Ejemplos

  1. 01

    Un CVE de FortiManager, el 'FortiJump' CVE-2024-47575, se añade a KEV el mismo día que Mandiant publica su artículo; las agencias FCEB tienen un plazo estricto para aplicar el parche.

  2. 02

    Una política empresarial de priorización de parches obliga a remediar cualquier CVE incluido en KEV en un plazo de siete días, con independencia de su CVSS, EPSS o criticidad del activo.

Preguntas frecuentes

¿Qué es Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA?

Lista mantenida por la CISA estadounidense que recopila CVE con evidencia creíble de explotación activa en entornos reales, acompañados de plazos de remediación obligatorios para las agencias civiles federales de EE. UU. y ampliamente usada por las empresas como señal de priorización. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.

¿Qué significa Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA?

Lista mantenida por la CISA estadounidense que recopila CVE con evidencia creíble de explotación activa en entornos reales, acompañados de plazos de remediación obligatorios para las agencias civiles federales de EE. UU. y ampliamente usada por las empresas como señal de priorización.

¿Cómo defenderse de Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA?

Las defensas contra Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA?

Nombres alternativos comunes: KEV, Vulnerabilidades Explotadas Conocidas.

Términos relacionados