Noticias
La UE crea su propia base de datos de vulnerabilidades de seguridad
Ante las dudas sobre el futuro de la base de datos de vulnerabilidades de seguridad de Estados Unidos, la Unión Europea ha decidido crear la suya propia. Es la EUVD (European Vulnerability Database, o Base de datos de vulnerabilidades europea). Está ya operativa y disponible a través de su página web y ofrece una plataforma para monitorizar brechas de seguridad críticas y explotadas de manera activa.
De esta manera, la UE evita depender de la base de vulnerabilidades de Estados Unidos, que se enfrenta a una fuerte incertidumbre sobre su futuro por los recortes presupuestarios del gobierno, las publicaciones con retraso y la confusión generada sobre el futuro de los sistemas de rastreo de vulnerabilidades en el país.
La Agencia de la UE dedicada a la ciberseguridad, ENISA, anunció el proyecto el pasado mes de junio de 2024 y lanzó el mes pasado su versión de prueba, coincidiendo justo con un periodo en el que aumentó la incertidumbre en torno al Programa de vulnerabilidades y exposiciones comunes (CVE) de Estados Unidos.
Entonces, el Gobierno de Estados Unidos decidió eliminar la financiación del programa CVE; lo que implicaba que finalizaría en abril. Pero en el último momento, CISA, la Agencia de Seguridad de infraestructura y ciberseguridad de Estados Unidos, pudo renovar el contrato con MITRE para que la iniciativa siguiese en funcionamiento. Esto no ha sido un impedimento para que las autoridades hayan seguido recortando la financiación de la CISA y otras áreas relacionadas con la ciberseguridad. Además, no pocos empleados federales responsables del programa de seguridad del gobierno estadounidense han dimitido o han sido despedidos.
Además, esta misma semana CISA ha confirmado que ya no va a publicar avisos rutinarios, en su web. Ni siquiera los que se encargan de ofrecer detalles sobre vulnerabilidades explotadas. A partir de ahora los enviarán por email, a través de feeds RSS o en la cuenta de la agencia en X. Todo esto hace que los equipos de TI y profesionales de la ciberseguridad tengan muchas dudas sobre el presente y el futuro del programa CVE. Más aúm, del compromiso de las autoridades de Estados Unidos con el refuerzo de las redes y la eliminación de las vulnerabilidades de seguridad.
La EUVD es parecida a la Base de datos nacional de vulnerabilidades del gobierno de EEUU. Identifica cada bug localizado, tanto con la ID asignada por CVE como con su propio identificador. También etiqueta cada uno con su nivel de criticidad y el estado de su explotación. Además, complementa esta información con enlaces a parches disponibles y consejos para evitar que cause problemas.
A diferencia de lo que sucede con la NVD, que actualmente tiene retrasos en la publicación de vulnerabilidades y no cuenta con una navegabilidad sencilla, la EUVD se actualiza casi en tiempo real y destaca, colocándolas en la parte superior de la lista, tanto las vulnerabilidades críticas como las explotadas. Además ofrece tres vistas de panel de control: una para vulnerabilidades críticas, otra para las que están en fase de explotación activa y otra para las que coordinan los miembros de la red EU CSIRT.
La información que ofrece viene de bases de datos open source, así como de avisos y alertas emitidas por los CSIRT nacionales, normas de parcheo y mitigación publicadas por proveedores de seguridad y detalles de vulnerabilidades explotadas.
Por ahora, incluso ENISA desconoce qué va a suceder con el programa CVE del gobierno estadounidense, que solo tiene contrato con MITRE hasta el próximo mes de marzo. Por ahora, según aseguran sus responsables, están en contacto con MITRE para comprender el impacto de todo lo relacionado con los anuncios sobre financiación del programa CVE y los próximos pasos a dar en función de lo que suceda en relación con él en el futuro.
En cualquier caso, según ha confirmado el Director ejecutivo de ENISA, Juhan Lepassaar, «la UE está ya equipada con una herramienta esencial diseñada para mejorar de manera notable la gestión de las vulnerabilidades y los riesgos asociados a ellas. La base de datos asegura la transparencia, para todos los usuarios, de todos los productos y servicios de tecnología de la información y las comunicaciones, y se posiciona como una fuente de información eficiente para localizar medidas de mitigación«.
Intel renueva su dirección de ingeniería para centrarse en la IA
FugakuNEXT, la próxima supercomputadora de Fujitsu
Llega a España HP Workforce Experience Platform para optimizar la experiencia digital del empleado
Lanzamiento de la sexta edición de la guía Easy&Smart
Bitdefender compra Mesh Security para mejorar sus capacidades de seguridad en email
ASUS Pro WS Platinum, PSUs de alta potencia y eficiencia para Workstations
Microsoft quiere que Windows Update se encargue de las actualizaciones de todas las apps
Acronis tiene nuevo Country Manager en Iberia: Eduardo García Sancho
«El kit digital ha sido una muy buena iniciativa que ha conseguido que el mercado crezca»
La actualización de DeepSeek R1 impresiona por su alto rendimiento
Las leyes de la robótica en la era de la IA
«Android es una pieza estratégica dentro de nuestro ecosistema»
Intel renueva su dirección de ingeniería para centrarse en la IA
La fiebre por la inteligencia artificial pone en riesgo la seguridad de la nube híbrida
DE-CIX destaca la consolidación de España como hub digital
Trump amenaza a Apple con un arancel del 25% a los iPhone fabricados fuera de EE. UU.
Seis proveedores europeos más se unen a la iniciativa de nube soberana Virt8ra
Cómo los asistentes de IA producen código malicioso
-
NoticiasHace 6 díasLibreOffice señala los «costes reales» de la migración a Windows 11
-
NoticiasHace 5 díasIntel despedirá hasta el 20% de su división Intel Foundry
-
EntrevistasHace 5 días“Nuestro objetivo es que proteger y gestionar el acceso al hogar sea tan fácil como encender la luz”
-
EventosHace 3 díasInteligencia Artificial, Virtualización y Open Source: Claves para la Transformación Digital