El panorama de las vulnerabilidades está llegando a un punto de quiebre.
En 2025, el NIST enriqueció casi 42.000 CVE, 45% más que en cualquier año anterior. Aun así, no fue suficiente para mantener el ritmo del crecimiento sostenido en las presentaciones de CVE, que han aumentado significativamente desde 2020.
Recientemente, el NIST anunció un cambio estructural en la operación de la Base de Datos Nacional de Vulnerabilidades (NVD).
A partir de abril de 2026, el NVD ya no intentará enriquecer completamente todas las CVE. En su lugar, se centrará en un subconjunto de vulnerabilidades de alto impacto, que incluyen:
- CVEs enumeradas en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA
- Vulnerabilidades que afectan a los sistemas del gobierno federal
- CVEs que afectan a software crítico, según lo definido por la Orden Ejecutiva 14028
¿Todo lo demás?
Asignada la prioridad más baja, sin enriquecimiento inmediato programado y dependiente de solicitudes manuales para análisis adicional.
¿Qué significa esto realmente?
Esto es más que un ajuste operativo.
Es una señal clara de que el modelo tradicional de gestión de la vulnerabilidad, basado en la cobertura total y el enriquecimiento centralizado, ya no es sostenible.
Para los equipos de seguridad, esto introduce una nueva realidad:
- No todas las vulnerabilidades vendrán con contexto
- No todos los hallazgos incluirán datos CVSS, CPE o CWE
- Y la priorización se vuelve una responsabilidad interna
El problema ya no es encontrar vulnerabilidades.
El problema es saber cuáles importan realmente.
De la detección a la priorización
Durante años, la industria se ha centrado en la detección: más análisis, más herramientas, más hallazgos.
Pero a medida que el volumen crece, la detección por sí sola deja de ser útil.
Los equipos de seguridad ahora se enfrentan a un desafío diferente:
- Cómo filtrar la señal del ruido
- Cómo correlacionar los resultados de las distintas fuentes
- Cómo priorizar basándose en el impacto real
Aquí es donde se produce el cambio:
- De la cobertura a la priorización
- Del volumen al impacto
- De los datos a las decisiones
Dónde encaja Faraday
Este cambio se alinea directamente con el problema en el que hemos estado trabajando.
En Faraday, el enfoque nunca ha estado solo en recopilar vulnerabilidades, sino en ayudar a los equipos:
- Reducir el ruido
- Estructurar grandes volúmenes de hallazgos
- Priorizar en función del riesgo real
- Convierta los datos en decisiones prácticas
En un mundo donde no todas las vulnerabilidades serán enriquecidas, el contexto, la correlación y la priorización se convierten en capacidades críticas.
Y ahí es donde las plataformas diseñadas para el análisis continuo, y no solo para la detección puntual, empiezan a marcar la diferencia.
Panorama general
La decisión del NIST no crea el problema.
Lo expone.
El volumen de vulnerabilidades seguirá creciendo.
Los sistemas centralizados seguirán teniendo dificultades.
Y los equipos de seguridad tendrán que adaptarse.
No encontrando más vulnerabilidades, sino mejorando en la comprensión de las mismas
Reflexiones finales
Cuando ni siquiera el NVD puede seguir el ritmo, está claro que el sector necesita replantearse cómo funciona la gestión de vulnerabilidades.
El futuro no consiste en procesarlo todo.
Se trata de centrarse en lo que importa.
Si quieres leer más sobre el cambio:
https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth
