MADRID, 16 Abr. (Portaltic/EP) -
CVE, el programa que registra y rastrea las vulnerabilidades hechas públicas, se enfrenta a una etapa de incertidumbre, que puede llegar a afectar al servicio que ofrece, tras perder los fondos federales que aporta MITRE, la organización que se encarga de su mantenimiento.
El programa, lanzado en 1999, cuenta con el apoyo del Departamento de Seguridad Nacional y de la Agencia de Ciberseguridad y de Infraestructura de Seguridad de Estados Unidos, y su mantenimiento esta en manos de la organización MITRE, con fondos federales.
Aunque MITRE es su principal proveedor, en él colaboran organizaciones de todo el mundo, generalmente firmas de software, de equipos de respuesta ante emergencias informáticas y empresas de ciberseguridad. Entre ellos se encuentran Microsoft, Google e Intel.
Todas estas organizaciones identifican vulnerabilidades, que analizan para determinar su gravedad y publican en el listado tras asignarles un CVE-ID, es decir, un identificador que consiste en las siglas CVE y un número, que se refiere al año y a la vulnerabilidad.
El programa, sin embargo, inicia una etapa de incertidumbre tras finalizar el contrato que provee de fondos federales, como ha informado el vicepresidente y director del Centro de Seguridad Nacional, Yorsy Barsoum, a los miembros del Consejo directivo, y confirmado el experto en Ciberseguridad Brian Krebbs.
La carta enviada por Barsoum, recogida por The Verge, avisa "un posible problema importante con el apoyo continuo de MITRE a CVE", debido a la expiración del contrato (que por el momento no ha sido renovado).
"Si se produjera una interrupción en el servicio, anticipamos múltiples impactos en CVE, incluyendo el deterioro de las bases de datos y avisos de vulnerabilidad nacionales, los proveedores de herramientas, las operaciones de respuesta a incidentes y todo tipo de infraestructura crítica", advierte el directivo.
Barsoum también asegura que "el Gobierno continúa realizando esfuerzos considerables para que MITRE continúe con el papel de apoyo al programa" y que "MITRE continúa comprometido con CVE como un recurso global".