CVE (Common Vulnerabilities and Exposures).

CVE es un programa lanzado por MITRE en 1999 y patrocinado a nivel federal por CISA/DHS de EE. UU., que emite identificadores únicos a nivel mundial (p. ej. CVE-2014-0160) para vulnerabilidades divulgadas públicamente. Cada entrada incluye una descripción breve, referencias a avisos de seguridad y el rango de productos afectados. La asignación está federada entre cientos de CVE Numbering Authorities (CNA) —fabricantes, proyectos de código abierto y centros de coordinación— que asignan IDs dentro de su propio ámbito.

CVE en sí no califica la gravedad; CVSS, EPSS y la lista KEV de CISA se superponen por encima. Un detalle práctico que muchos pasan por alto: la sintaxis del ID cambió a partir de enero de 2015. El formato antiguo CVE-YYYY-NNNN limitaba cada año a 9.999 registros, por lo que ahora se permiten números de longitud arbitraria (de ahí CVE-2021-44228). Los registros se publican en formato JSON a través de CVE Services en cve.org, sustituyendo a la antigua "CVE List" en texto.

La fragilidad del programa quedó expuesta en abril de 2025, cuando MITRE advirtió de que su contrato con el DHS caducaría el día 16; CISA emitió una prórroga de última hora de 11 meses, y en enero de 2026 la junta informó de que ya no había un nuevo "precipicio de financiación". Los equipos de seguridad usan los IDs CVE para correlacionar los resultados de los escáneres, los parches de los fabricantes, la inteligencia de amenazas y los datos de SBOM en un único flujo de remediación.

flowchart LR
  R[Investigador o fabricante encuentra el fallo] --> C[La CNA reserva el ID CVE]
  C --> P[Registro CVE publico en cve.org]
  P --> N[Enriquecimiento NVD y CVSS]
  N --> E[Puntuacion EPSS y comprobacion CISA KEV]
  E --> D[Los defensores priorizan y parchean]