Massimiliano Brolli : 6 octubre 2025 10:34
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia.
En marzo de 2024, escribí un artículo que describía un panorama italiano casi desolador: la cultura de errores no documentados, o días cero, era prácticamente inexistente y no había ninguna CNA (autoridad de numeración CVE) activa en nuestro país.
La gestión de vulnerabilidades a menudo se deja al azar o, peor aún, se oculta tras un velo de secretismo , incapaz de fomentar el diálogo con la comunidad investigadora. Ese artículo, publicado en Red Hot Cyber, resonó en redes sociales y provocó reacciones generalizadas —una señal de que algo estaba cambiando—, pero en aquel momento, pocos podrían haber imaginado que anunciaría un cambio real.
El enfoque predominante en Italia entre los productores de software a menudo se caracteriza por una falta de conocimiento de prácticas de gestión de vulnerabilidades no documentadas , o por la elección de la » seguridad por oscuridad «, en la creencia de que ocultar errores puede garantizar la seguridad.
Este modelo, aunque muy extendido, es intrínsecamente frágil: ignora la realidad de la ciberseguridad contemporánea, donde cada vulnerabilidad no gestionada representa una puerta abierta a ataques específicos, sofisticados y cada vez más frecuentes .
De hecho, la cultura de la oscuridad a menudo ha conducido al descuido, a una respuesta lenta y, en última instancia, a riesgos reales para los ciudadanos, las instituciones y los clientes, incluida la seguridad nacional.
Hoy, por fin, las cosas están cambiando. A partir de septiembre de 2024, dos importantes empresas italianas, Almaviva y Leonardo , se convertirán oficialmente en CNA.
Esto significa que pueden asignar identificadores CVE a las vulnerabilidades que descubren o abordan a través de la comunidad de hackers, entrando así en una red internacional de seguridad responsable. No se trata de un detalle técnico: demuestra que Italia está empezando a tomar en serio las vulnerabilidades no documentadas y a estructurar procesos de seguridad conformes a los estándares globales.
La transición no se limita al descubrimiento de errores, sino a la propia concepción de la seguridad . La CVD (Divulgación Coordinada de Vulnerabilidades) se convierte en la herramienta mediante la cual las empresas colaboran con investigadores, comparten información de forma segura y resuelven problemas sin dar cabida a la explotación maliciosa antes del lanzamiento de los parches. La CVD es, en la práctica, el puente entre el descubrimiento de vulnerabilidades y la gestión responsable, un principio que hasta hace poco parecía casi utópico en el contexto italiano.
Lo impresionante es cómo este nuevo enfoque demuestra que la transparencia, la ética y la colaboración no son obstáculos para los negocios , sino factores que los fortalecen.
Gestionar errores abiertamente reduce drásticamente el riesgo de ataques, mejora la reputación corporativa y genera confianza entre clientes y socios. Italia está aprendiendo que la seguridad no es un accesorio, sino un factor facilitador que puede generar valor tangible. Esto también es resultado de un cambio lento pero significativo en la cultura de ciberseguridad en Italia , respaldado por los esfuerzos de la Agencia Nacional de Ciberseguridad (ACN) , que, con perseverancia y determinación , está allanando el camino hacia una mayor concienciación y profesionalismo en el sector.
Si analizamos la experiencia del código abierto , encontramos un patrón consolidado: los proyectos abiertos prosperan gracias a la colaboración y el intercambio de conocimientos. Errores, parches y mejoras se convierten en patrimonio común, y toda la comunidad se beneficia de los resultados. La lección es clara: especialmente en ciberseguridad, la cooperación no es un riesgo, sino un recurso valioso, capaz de transformar posibles amenazas en oportunidades de crecimiento.
A menudo he enfatizado un concepto clave: «El hacking es un viaje, no un destino». Para las empresas italianas, la transición de la falta de cultura de día cero, o peor aún, de la seguridad por oscuridad , a una gestión de vulnerabilidades abierta y responsable no es solo una proeza técnica: es un verdadero proceso de crecimiento , un profundo cambio cultural que requiere visión, concienciación y apertura al diálogo con la comunidad investigadora.
Significa aceptar que la seguridad no puede tratarse como un secreto comercial, sino como un compromiso compartido con la comunidad, los clientes y la sociedad en su conjunto. Requiere valentía, visión y liderazgo, pero allana el camino hacia ecosistemas digitales más resilientes y sostenibles.
Almaviva y Leonardo están mostrando claramente el camino: no sólo reconocen su responsabilidad hacia sus clientes, sino que también valoran el papel ético de los investigadores independientes y de la comunidad de hackers , adoptando estándares y procesos que permiten la gestión de vulnerabilidades no documentadas.
Este modelo demuestra que la transparencia y la colaboración no son incompatibles con la competitividad , sino que la fortalecen, transformando el riesgo en una oportunidad para la innovación continua y la mejora del producto.
El nuevo enfoque italiano también refleja un cambio de mentalidad más amplio: la seguridad no es solo técnica, sino también social, cultural y ética . La gestión responsable de vulnerabilidades requiere diálogo, confianza y cooperación entre empresas, investigadores y comunidades, principios que constituyen la base de un ecosistema digital sano y sostenible.
El camino aún es largo, y la expansión de la CNA y la CVD en todas las empresas italianas apenas comienza. Pero el hecho de que ahora tengamos dos CNA oficiales representa un cambio concreto , la primera señal de un nuevo paradigma.
A pesar de los progresos realizados, hoy Italia y toda Europa siguen confiando en los procesos estadounidenses para la gestión de la vulnerabilidad: desde la Base de Datos Nacional de Vulnerabilidades (NVD) hasta las autoridades de numeración CNA, el modelo estadounidense dicta estándares globales.
Aunque existe un proyecto europeo, la European Vulnerability Database (EUVD) gestionado por ENISA, todavía está en sus inicios y lejos de disponer de un modelo de clasificación de vulnerabilidades tan estructurado como el estadounidense desarrollado por MITRE y NIST.
Desde la perspectiva de la autonomía estratégica europea, sería deseable desarrollar un sistema similar al estadounidense, que integre la enumeración, la evaluación de riesgos y la gestión coordinada de vulnerabilidades . Este modelo ya existe en China con el CNNVD , el repositorio nacional que combina los procesos de enumeración y evaluación de riesgos, lo que demuestra cómo un enfoque nacional (y europeo) puede garantizar el control, la coherencia y la puntualidad en la gestión de errores críticos.
El sueño, por tanto, es ver un sistema europeo maduro e independiente , en el que ENISA pueda gestionar un modelo europeo de clasificación y gestión de errores no documentados, con estándares claros, procesos compartidos de evaluación de riesgos y un repositorio transparente accesible para investigadores, empresas e instituciones. Esto no sería solo una proeza técnica: representaría un salto cultural y estratégico para toda la comunidad de ciberseguridad, una señal de que Europa quiere desarrollar su autonomía en ciberseguridad, fortalecer la colaboración con la comunidad hacker y proteger a los ciudadanos con sus propias herramientas modernas y fiables.
Hasta entonces, cada paso dado por las empresas italianas, cada CNA constituida y cada CVD gestionado de manera responsable sigue siendo una pequeña pero fundamental pieza de este largo recorrido: un recorrido que lleva de la dependencia de los demás hacia una seguridad consciente, ética y autónoma .
Massimiliano BrolliEn los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
