La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) ha incluido recientemente dos nuevas vulnerabilidades en su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV, por sus siglas en inglés), basándose en evidencias de explotación activa. Este movimiento subraya la creciente preocupación en torno a la seguridad cibernética, ya que estas vulnerabilidades se han convertido en vectores de ataque frecuentes para actores maliciosos, representando riesgos significativos para las organizaciones federales.
La Directiva Operativa Vinculante (BOD) 26-04 establece requisitos de gestión de vulnerabilidades para las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés). Este documento no solo resalta la importancia del Catálogo KEV, sino que también exige a las agencias federales que prioricen la remediación rápida de vulnerabilidades de alto riesgo. Estas son específicamente aquellas identificadas por los Identificadores de Vulnerabilidades Comunes (CVE, por sus siglas en inglés) que se encuentran en el Catálogo KEV y que afectan a activos expuestos públicamente, permitiendo el control total del activo tras la explotación. Por otro lado, se permite una acción diferida para las vulnerabilidades consideradas de menor riesgo. Además, la BOD 26-04 establece expectativas claras sobre cuándo las agencias deben verificar si los actores de amenazas comprometieron el sistema antes de que se aplicara el parche correspondiente.
Aunque la BOD 26-04 se aplica exclusivamente a las agencias FCEB, CISA anima a todas las organizaciones a adoptar un enfoque basado en riesgos para la gestión de vulnerabilidades y a priorizar la remediación de las vulnerabilidades que se encuentran en el Catálogo KEV. CISA continuará incorporando vulnerabilidades al catálogo que cumplan con los criterios establecidos, asegurando así una respuesta adecuada ante las amenazas emergentes.
Si alguna organización tiene conocimiento de una vulnerabilidad explotada que no está actualmente listada en el Catálogo KEV, puede proponer su inclusión a través del Formulario de Nominación KEV de CISA. Para que una vulnerabilidad pueda ser considerada para su inclusión, debe contar con un ID CVE, evidencia de explotación y directrices claras de mitigación.
El contexto actual de la ciberseguridad destaca la importancia de una vigilancia constante y una respuesta proactiva ante amenazas. Las vulnerabilidades recientemente añadidas al catálogo no solo afectan a las agencias federales, sino que también pueden impactar a empresas del sector privado y a usuarios individuales que dependen de la tecnología, lo que hace crucial que todos adopten prácticas de seguridad robustas. La creciente sofisticación de los ataques cibernéticos y la rápida evolución de las técnicas de explotación subrayan la necesidad de una colaboración constante entre las entidades gubernamentales y el sector privado para proteger los activos digitales en un entorno en constante cambio.