Apple, al igual que otras empresas de tecnología, confía en el programa Common Vulnerability Exposure (CVE) para identificar y rastrear vulnerabilidades de seguridad en su software. Ahora que el gobierno federal ha cortado abruptamente la financiación para CVE, este recurso crítico de ciberseguridad ahora enfrenta un futuro incierto.
En respuesta a la crisis, una coalición liderada por miembros de la junta directiva de CVE desde hace mucho tiempo anunció hoy la creación de la Fundación CVE, una organización sin fines de lucro dedicada a garantizar el funcionamiento continuo de los sistemas de identificación de vulnerabilidades.
"No se puede subestimar la importancia de CVE como piedra angular del ecosistema global de ciberseguridad", dijo Kent Landfield, funcionario de la fundación recién formada. "Los CVE de todo el mundo dependen de identificadores y datos de CVE en su trabajo diario, desde herramientas y avisos de seguridad hasta inteligencia y respuesta a amenazas. Sin CVE, los defensores estarían en extrema desventaja en sus esfuerzos por combatir las ciberamenazas globales".
El programa CVE proporciona un sistema estandarizado para identificar y clasificar vulnerabilidades de seguridad en todo el software y hardware, incluidos macOS, iOS, iPadOS y otros productos de Apple. Cuando los investigadores de seguridad descubren una vulnerabilidad, se les asigna un identificador CVE único para que empresas como Apple puedan coordinar parches y actualizaciones.
MITRE es contratado por el Departamento de Seguridad Nacional de EE. UU. para gestionar el proyecto. La empresa confirmó que la financiación gubernamental expiró el 16 de abril. Según Reuters, la expiración del programa puede estar relacionada con los despidos a gran escala que se están llevando a cabo en el gobierno federal, causados en parte por el Departamento de Efectividad Gubernamental (DOGE). La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), que se vio afectada por los despidos, dijo que estaba "trabajando urgentemente para mitigar el impacto", ya que la repentina brecha de financiación podría alterar la gestión global de la vulnerabilidad.
Los expertos en seguridad han advertido que sin CVE, los esfuerzos de ciberseguridad se enfrentarían a un "caos total", ya que un lenguaje común para comunicar vulnerabilidades desaparecería efectivamente. Un investigador lo comparó con "eliminar repentinamente todos los diccionarios".
La recién formada Fundación CVE tiene como objetivo transformar el proyecto en un modelo dedicado sin fines de lucro que no dependa de financiación gubernamental única. Los organizadores de la fundación revelaron que se han estado preparando para esta posibilidad durante el año pasado.
"Para la comunidad internacional de ciberseguridad, esta medida representa una oportunidad para establecer mecanismos de gobernanza que reflejen la naturaleza global del panorama de amenazas actual", dijo la fundación en el anuncio.
Los recortes de financiación también afectan al programa relacionado Common Weakness Enumeration (CWE), que ayuda a empresas como Apple a descubrir posibles problemas de seguridad antes de que se conviertan en vulnerabilidades.
Se espera que la Fundación CVE anuncie más detalles sobre su estructura y planes de financiación en los próximos días. Apple y otras grandes empresas tecnológicas probablemente desempeñarán un papel importante a la hora de respaldarlo como componente crítico de la infraestructura de ciberseguridad.