La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) casi permite que el programa de vulnerabilidades y exposiciones comunes (CVE) la late a principios de este año, pero un nuevo documento de «visión» que lanzó esta semana señala que ahora quiere más control sobre el estándar global para la identificación de vulnerabilidad. CISA publicó un resumen de dos páginas de su tablero de visión para el futuro de CVE esta semana, hablando como una gira de Taylor Swift: 2025, según CISA, es el año en que CVE deja su «era de crecimiento» para una «era de calidad» que CISA parece intencionar a dominar. Nicholas Andersen, recientemente designado Director Ejecutivo de Ciberseguridad Cibernética de CISA, hizo que la visión de la agencia para el futuro de CVE en una publicación de blog publicada junto con el documento de visión: es un conjunto de CISA. «Durante el año pasado, hemos visto un debate significativo sobre el futuro del programa», dijo Andersen. «Pero permítanme ser absolutamente claro: no existe una defensa cibernética nacional sin un sistema confiable y dirigido por el gobierno para la identificación de vulnerabilidad». Ese debate, notamos, en gran medida tiene que ver con el hecho de que el programa CVE se acercó a un cierre a principios de este año cuando CISA casi dejó que el contrato de Miter expire, antes de otorgar una extensión de 11 meses hasta marzo de 2026. La Junta de CVE, un grupo voluntario que lo ha conseguido el Programa CVE para el Mitre sin fines de lucro (que ha operado el Programa con el Programa de los Gobierno de los Estados Unidos desde 1999), estaba en gran medida el Dark Of Winding, los Membrados, los Membres, lo que ha sido el programa de la falta de Funding, que ha conseguido el Dark. este año. Eso llevó a algunos a la Junta a establecer la Fundación CVE, lanzada como un vehículo para fondos diversificados y gobernanza neutral en el proveedor, independientemente del control corporativo o gubernamental. «La Fundación CVE cree vehementemente el mejor camino para preservar el servicio crítico del programa CVE es hacer la transición a una entidad sin fines de lucro con una verdadera coordinación internacional, gobernanza rigurosa y transparente, y múltiples fuentes de financiación de organizaciones públicas, privadas y sin fines de lucro», dijo la Fundación CVE en julio. CISA no parece emocionada con esa perspectiva. «Los hechos son simples: el mandato, la misión y el impulso para llevar este programa al futuro pertenecen a esta agencia», dijo Andersen de CISA en su publicación de blog esta semana. Las sugerencias para privatizar el programa CVE o mudarse a otro modelo de administración alternativo pueden sonar atractivas, pero las implicaciones son serias «sugerencias para privatizar el programa CVE o pasar a otro modelo de administración alternativa pueden sonar atractivas, pero las implicaciones son graves», continuó Andersen. «Las entidades privadas, incluso con las mejores intenciones, enfrentan conflictos de intereses, priorizan el valor de los accionistas sobre la seguridad nacional». En los últimos años del programa CVE, Andersen agregó, CISA, Miter y la Junta CVE (bajo MITER, no la Fundación CVE) habían trabajado juntos para hacer crecer la iniciativa. «Hacemos esto no dictando los resultados de Washington», dijo Andersen. El documento de la visión, observamos, deja bastante claro que CISA puede haberse dado cuenta de que se equivocó y ahora está luchando por afirmar el control de un programa internacionalmente valioso que cree que debería estar bajo sus auspicios. Según su documento de visión, la agencia cree que esos conflictos de intereses antes mencionados inherentes a los modelos de administración alternativos «refuerzan la necesidad de que CISA asuma un papel más activo en la administración a largo plazo del programa CVE». Le preguntamos a CISA cómo sería ese control directo, pero la agencia no respondió a nuestras preguntas, sino que nos dirigió al documento de visión y la publicación de blog de Andersen. La respuesta de Miter no fue particularmente esclarecedora tampoco, con la organización sin fines de lucro que solo expresaba deseos de que las cosas se volvieran a ser como solían ser. «Miter sigue comprometido con CVE como un recurso global crítico», nos dijo la organización en un correo electrónico. «Esperamos continuar nuestro apoyo a los muchos socios de CISA y CVE para ayudar a realizar esta visión que fortalecerá y posicionará a CVE para el éxito continuo en los próximos años». CISA se negó a responder preguntas sobre si su financiación del programa CVE se había extendido más allá de principios de 2026, o cualquier otra cosa sobre su visión para el futuro del programa. Dado el lenguaje en los comentarios de Vision Doc y Andersen, el futuro del programa CVE será un camino cargado de conflictos, incertidumbre y problemas para aquellos que confían en él. ® URL de publicación original: https://go.theeregister.com/feed/www.theregister.com/2025/09/12/cisas_vision_for_cve/