Redazione RHC : 27 noviembre 2025 10:57
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha asumido el papel de raíz dentro del programa de Vulnerabilidades y Exposiciones Comunes (CVE), convirtiéndose en el principal punto de referencia para las autoridades nacionales, los CSIRT de la UE y los socios incluidos en su mandato.
El nuevo rol amplía las funciones existentes de la Agencia como Autoridad de Numeración de Vulnerabilidades (CNA), que es responsable de asignar identificadores CVE y publicar los registros relacionados para los informes gestionados por los CSIRT europeos, un rol operativo que ha estado activo desde enero de 2024.
El director ejecutivo de ENISA, Juhan Lepassaar, destacó cómo este cambio refuerza la capacidad de la Agencia para apoyar la gestión de vulnerabilidades dentro de la Unión, contribuyendo a una respuesta más coordinada y coherente a los problemas de ciberseguridad. El nuevo estatus de Root se enmarca en un compromiso más amplio de la UE para mejorar la cooperación en la gestión de vulnerabilidades, en consonancia también con iniciativas legislativas recientes, como la Ley de Ciberresiliencia, que introduce nuevas obligaciones para fabricantes y desarrolladores.
Establecido en 1999, el programa CVE proporciona un marco estandarizado para identificar y describir vulnerabilidades divulgadas públicamente. Cada vulnerabilidad recibe un identificador único (CVE), lo que permite a organizaciones, investigadores y profesionales de la seguridad comunicarse de forma coherente y contribuir a la solución de los problemas identificados. Los registros CVE son publicados por una red global de organizaciones asociadas activas en la monitorización y gestión de amenazas.
Con su incorporación a Roots, ENISA asume funciones adicionales, como la supervisión de las CNA dentro de su perímetro institucional, la verificación del cumplimiento de las directrices del programa CVE y el establecimiento de procedimientos y estándares para la asignación de identificadores. La Agencia también seguirá apoyando a los CSIRT de la UE a través de su servicio de registro, actuando como intermediario para la gestión coordinada de las vulnerabilidades descubiertas o notificadas dentro de la red.
ENISA se une así al Consejo Raíz del Programa CVE , que coordina las actividades operativas entre los Roots a nivel internacional. Además de los socios europeos existentes, como INCIBE-CERT, Thales Group y CERT@VDE, el consejo también incluye organizaciones como MITRE, CISA, Google y Red Hat en Estados Unidos, así como JPCERT/CC en Japón.
El nuevo ámbito de responsabilidad de ENISA afectará a todas las organizaciones sujetas a su mandato. Las CNA que deseen pasar a la supervisión de la Agencia pueden hacerlo mediante un proceso voluntario y colaborativo, con el apoyo del Programa CVE para garantizar una transición fluida y sin contratiempos.
La adquisición del rol de Raíz consolida la posición de ENISA en la gestión coordinada de vulnerabilidades a nivel europeo, facilitando la estandarización de prácticas, mejorando la calidad de los registros CVE y una divulgación más rápida y armonizada de las vulnerabilidades . El objetivo es reducir la fragmentación y fortalecer la cooperación transfronteriza, promoviendo una mayor transparencia y rendición de cuentas para los CSIRT, la industria y las instituciones.
El trabajo de la Agencia forma parte de un ecosistema más amplio de iniciativas europeas de seguridad digital, que incluye:
Fundada en 2004 y fortalecida por la Ley Europea de Ciberseguridad, ENISA apoya a los Estados miembros en el desarrollo de políticas de ciberseguridad, promueve esquemas de certificación y ayuda a aumentar la resiliencia de las infraestructuras digitales de Europa.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
