La ciberseguridad europea al rescate de los recortes de Trump

La Base de Datos Europea de Vulnerabilidades (EUVD, por su acrónimo en inglés) ha echado a andar esta semana. Se trata de una iniciativa puesta en marcha desde la Agencia de la Unión Europea para la Ciberseguridad (ENISA), respondiendo a un mandato de la Directiva NIS2 que busca blindar la ciberseguridad de hasta 18 sectores críticos. En esencia, EUVD recopila información sobre vulnerabilidades de fuentes fiables y proporciona herramientas para que tanto el sector público como el privado mejoren su seguridad digital y ciber resiliencia.

Contar con una base de datos centralizada de vulnerabilidades y exposiciones comunes de fallas de seguridad es crucial, pues contribuye a que todo el mundo hable el mismo idioma al referirse tanto a los agujeros de seguridad como a los parches necesarios para taparlos. La vicepresidenta ejecutiva de Soberanía Tecnológica, Seguridad y Democracia, Henna Virkkunen, ha destacado que EUVD supone “un paso importante hacia el refuerzo de la seguridad y la resiliencia de Europa”, protegiendo “mejor nuestros espacios digitales compartidos con mayor eficiencia y autonomía”.

A través del panel de EUVD, en la parte superior, es posible identificar fácilmente las vulnerabilidades más críticas, publicadas casi en tiempo real, así como las que están siendo explotadas activamente y las coordinadas por la Unión Europea (UE) a través de su red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). Toda esta información sobre vulnerabilidades recopilada y referenciada proviene de bases de datos de código abierto que se complementa con los avisos y alertas emitidos por los CSIRT nacionales, medidas de mitigación y parches de seguridad publicados por los distintos proveedores y los registros de vulnerabilidades explotadas.

Con un golpe de vista, cualquier desarrollador, responsable de seguridad, administrador de sistemas, etc. puede acceder a una descripción de la vulnerabilidad, qué productos o servicios TIC (Tecnologías de la Información y Comunicaciones) se han visto afectados o qué versiones específicas, la gravedad de la vulnerabilidad y cómo podría ser explotada y toda la información disponible sobre parches relevantes existentes disponibles o, al menos, una orientación sobre cómo mitigar los riesgos.

El director ejecutivo de ENISA, Juhan Lepassaar, subraya que “la base de datos garantiza la transparencia para todos los usuarios de los productos y servicios de TIC afectados y se convertirá en una fuente eficaz de información para encontrar medidas de mitigación”.

La puesta en marcha de EUVD no podía haber llegado en mejor momento. El equivalente a EUVD en EEUU vendría a ser su Common Vulnerabilities and Exposures (CVE), al que los tijeretazos de la Administración Trump han afectado de pleno. A mediados del mes pasado, circuló por Bluesky la carta en la que Yosry Barsoum, vicepresidente de MITRE y director del Centro de Seguridad Nacional (CSH, en inglés) comunicaba al consejo de dirección del CVE que se cancelaba el contrato por el que la organización sin ánimo de lucro MITRE lo operaba. Lo venía haciendo nada menos que desde su creación en 1999, habiendo convertido el CVE en un estándar de facto para identificar y rastrear con precisión las vulnerabilidades de seguridad en productos y proyectos, utilizado por expertos, empresas y Administraciones Públicas.

Tras duras negociaciones con el Gobierno, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EEUU consiguió extender once meses el funcionamiento del CVE más allá del 16 de abril, fecha en la que se cerraba el grifo de la financiación. De esta manera, si nada cambia, en marzo de 2026 la iniciativa desaparecerá. Se conservará en GitHub, al menos, el histórico de vulnerabilidades a lo largo de todos estos años. Para hacer una idea de la dimensión del problema, sólo el año pasado el CVE publicó más de 40.000 vulnerabilidades.

Por este motivo, la puesta en marcha de EUVD en Europa no podía ser más oportuna, dado que aunque no ha sido concebida para sustituir al programa estadounidense, sí existe una colaboración muy estrecha entre ENISA y MITRE, de manera que todos sus datos sobre vulnerabilidades y exposiciones comunes, así como el catálogo de vulnerabilidades explotadas conocidas de CISA se transferirán automáticamente a EUVD.

Adicionalmente, a partir de septiembre del año que viene, todos los fabricantes estarán obligados en Europa a notificar las vulnerabilidades que afecten a productos de hardware y software con componentes digitales. Esta notificación se realizará a través de la Plataforma Única de Notificación (SRP), prevista en la Ley de Ciberresiliencia (CRA), lo que contribuirá a una mayor transparencia y seguridad.