El programa Common Vulnerabilities and Exposures, conocido mundialmente por sus siglas CVE, ha sido durante más de dos décadas el estándar de facto para identificar y rastrear vulnerabilidades en productos y proyectos tecnológicos. Desde su creación en 1999, su mantenimiento ha estado bajo la responsabilidad del centro sin fines de lucro MITRE, financiado principalmente por el gobierno de Estados Unidos. Sin embargo, en abril de 2025, el CVE se vio inmerso en una crisis inesperada y reveladora: el financiamiento del gobierno estadounidense no fue renovado a tiempo, dejando al programa pendiendo de un hilo y generando preocupación a nivel global sobre su futuro y sostenibilidad. La noticia llegó súbitamente a los miembros de la junta directiva del CVE, quienes se enteraron a través de redes sociales y una carta oficial firmada por un directivo de MITRE, indicando que el contrato con el gobierno había expirado. Kent Landfield, uno de los miembros fundadores del programa y miembro de dicha junta, relató en entrevista que fue un momento de desconcierto y sorpresa total.
"Estábamos como 'hongos', mantenidos en la oscuridad", comentó Peter Allor, otro integrante de la junta, una expresión que encapsula la falta de comunicación clara y directa que se tuvo durante todo el proceso. Este episodio refleja una debilidad crucial en la estructura actual del CVE: su dependencia casi exclusiva de un único patrocinador, en este caso el gobierno estadounidense. Aunque la crisis de financiamiento no es un hecho nuevo en la historia del programa, la ausencia de comunicación y la estrechez del modelo de financiación se hicieron ahora evidentes y críticas, minando la confianza de las múltiples partes interesadas globales, desde gobiernos extranjeros hasta empresas privadas y comunidad académica. La problemática se vuelve aún más compleja dado que las vulnerabilidades informáticas representan una amenaza global que requiere respuestas coordinadas y recursos sostenibles a nivel internacional. Ante la incertidumbre y la urgencia, se promovió la creación de una nueva entidad conocida como la Fundación CVE.
Su objetivo es garantizar la continuidad y la neutralidad del programa, fomentando un modelo de financiación diversificado que involucre a múltiples actores internacionales, incluyendo gobiernos fuera de Norteamérica, empresas del sector tecnológico y organizaciones sin fines de lucro. La propuesta de la Fundación busca transformar al CVE en un recurso verdaderamente global, accesible y confiable, preservando su legado pero adaptándolo a los desafíos del siglo XXI. Este cambio paradigmático no es una mera reacción al cortoplacismo, sino un esfuerzo fundado y coordinado entre expertos con décadas de experiencia dentro del programa. La Fundación reconoce que es necesario mirar más allá de las fronteras nacionales para resolver problemas que afectan a todo el ecosistema digital. "Tenemos que dejar de ver esto como un estanque y empezar a verlo como un océano", afirmó Allor, haciendo énfasis en la necesidad de un enfoque inclusivo y amplio.
La importancia del CVE en el mundo de la ciberseguridad es inmensa. Para gobiernos, empresas y profesionales, el sistema de identificación única de vulnerabilidades es fundamental para unificar criterios de detección, análisis y respuesta ante amenazas. Sin una fuente confiable y actualizada del CVE, la coordinación entre diferentes actores en la defensa contra ataques cibernéticos se vuelve mucho más difícil, incrementando el riesgo de brechas de seguridad y daños colaterales. El gobierno estadounidense, a través de su agencia especializada en ciberseguridad, CISA (Cybersecurity and Infrastructure Security Agency), aseguró posteriormente que se ejecutó una extensión temporal del contrato para evitar una interrupción inmediata de los servicios del CVE, pero dejó clara la necesidad de replantear la estrategia a largo plazo. La postura oficial apunta a mantener una colaboración armónica con la nueva Fundación y con MITRE, intentando conciliar la herencia del programa con su evolución hacia un sistema más resiliente e internacional.
Este modelo de transición no es único ni novedoso en el mundo de la tecnología. La historia muestra ejemplos exitosos donde proyectos inicialmente financiados y controlados por una sola entidad gubernamental lograron convertirse en infraestructuras públicas gestionadas globalmente mediante la cooperación de múltiples partes. La transformación de ARPANET en Internet, la gestión de asignación de protocolos a través de IANA, o la administración de los nombres de dominio con ICANN, son claros referentes de cómo la descentralización y la diversidad de fuentes de financiamiento pueden fortalecer un proyecto en beneficio del interés común. El camino que toma ahora el CVE no está exento de desafíos. La necesidad de mantener su neutralidad, la estabilidad financiera y la capacidad de seguir proporcionando información crítica en tiempo real exige un manejo delicado y transparente.
Además, incorpora la compleja dinámica política entre gobiernos, la competencia industrial y las expectativas de la comunidad global de ciberseguridad. La Fundación deberá, por tanto, actuar con visión estratégica y sentido de responsabilidad para construir puentes y evitar fracturas que puedan comprometer la confianza y efectividad del programa. En paralelo, la reacción del sector privado y otros gobiernos ha sido estimulante. Diversas organizaciones y estados se han ofrecido para apoyar con donaciones y recursos, mostrando un reconocimiento explícito de la trascendencia del CVE y una voluntad clara de participar activamente en su sustentabilidad y evolución. Este apoyo internacional simboliza un despertar sobre la interdependencia en la seguridad informática y la necesidad de compartir responsabilidades para salvaguardar el ecosistema digital global.
Es importante destacar que esta crisis también abre una ventana para repensar y fortalecer el modelo operativo del CVE. Más allá de la financiación, se vislumbra un interés renovado por mejorar los procesos de comunicación, gobernanza y colaboración con la comunidad de expertos en seguridad. La transparencia y la participación amplia serán claves para evitar futuros desajustes y asegurar que el programa sea percibido como un recurso legítimo y confiable para todas las partes implicadas. Este giro en la historia del CVE recuerda al mundo que la seguridad cibernética no puede depender de un único jugador ni de intereses geopolíticos aislados. En un mundo cada vez más digitalizado y entrelazado, la defensa contra vulnerabilidades debe ser un esfuerzo colectivo, multisectorial y multilateral.
Las lecciones aprendidas deben impulsar no solo la continuidad del programa, sino también un marco de trabajo más justo, sostenible y eficiente. La crisis financiera del CVE también trae a la luz una reflexión más profunda acerca de cómo los sistemas críticos de infraestructura cibernética se convierten en bienes públicos globales, y cuáles son las responsabilidades compartidas para mantenerlos operativos y actualizados. Esto va más allá del ámbito técnico o gubernamental y requiere la participación activa de todos los actores del ecosistema digital. En conclusión, aunque la reciente advertencia sobre el futuro inmediato del CVE resultó alarmante, la respuesta colectiva y la creación de la Fundación CVE representan un avance significativo hacia un modelo de gobernanza más abierto e inclusivo. El CVE está entrando en una nueva etapa que, si se gestiona adecuadamente, permitirá mantener su papel esencial en la protección de la ciberseguridad a nivel mundial, garantizando que la información sobre vulnerabilidades sea confiable, accesible y oportuna para todos aquellos que dependen de ella.
La historia del CVE continúa escribiéndose, ahora con el compromiso de varias naciones y sectores unidos por un objetivo común: proteger el océano digital que compartimos todos.
![Category Theory [pdf]](/images/B7446BAA-7F78-4E2A-9AA7-A7D87D4BC098)
