CISA añade una vulnerabilidad explotada conocida al catálogo

⟫ 12/06/2026 ⟫ CISA

Fuente: CISA Alerts

La Agencia de Seguridad de Ciberinfraestructura y Seguridad (CISA, por sus siglas en inglés) ha incorporado una nueva vulnerabilidad a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV por su acrónimo en inglés), basándose en pruebas de explotación activa. Este tipo de vulnerabilidad se ha convertido en un vector de ataque frecuente para actores maliciosos en el ciberespacio y representa riesgos significativos para el sector federal.

La Directiva Operativa Vinculante (BOD) 26-04: Priorización de Actualizaciones de Seguridad Basadas en el Riesgo establece requisitos de gestión de vulnerabilidades para las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés), actualizando la BOD 22-01. La BOD 26-04 refuerza la relevancia del catálogo KEV y exige a las agencias federales priorizar la rápida remediación de vulnerabilidades de alto riesgo, en particular aquellas identificadas mediante los Identificadores de Vulnerabilidades Comunes (CVE) que figuran en el catálogo de Vulnerabilidades Conocidas Explotadas de CISA, en activos expuestos públicamente que otorgan control total del activo tras la explotación. Además, la directiva sugiere que se aplace la acción sobre vulnerabilidades de menor riesgo. La BOD 26-04 también establece expectativas básicas sobre cuándo las agencias deben verificar si actores de amenazas han comprometido el sistema antes de que se aplique el parche correspondiente.

Si bien la BOD 26-04 se aplica exclusivamente a las agencias FCEB, CISA anima a todas las organizaciones a adoptar una gestión de vulnerabilidades basada en el riesgo y a priorizar la remediación de las vulnerabilidades del catálogo KEV. CISA continuará incorporando vulnerabilidades al catálogo que cumplan con los criterios especificados.

Si se es consciente de una vulnerabilidad explotada que no está actualmente listada en el catálogo KEV, se puede presentar una solicitud para su posible inclusión a través del Formulario de Nominación KEV. Las adiciones potenciales al KEV deben contar con un ID de CVE, evidencia de explotación y directrices claras de mitigación.

El contexto de esta medida es fundamental para entender la lucha continua contra las ciberamenazas que enfrentan las organizaciones gubernamentales y privadas. Las vulnerabilidades que se explotan activamente son un blanco preferido para los atacantes, quienes buscan obtener acceso no autorizado a sistemas críticos, robar datos sensibles o interrumpir operaciones esenciales. La inclusión de vulnerabilidades en el catálogo KEV no solo resalta la gravedad de estas amenazas, sino que también actúa como un llamado a la acción para que las organizaciones refuercen sus defensas cibernéticas.

El impacto de la BOD 26-04 es considerable. Las agencias federales ahora tienen un marco más robusto para abordar las vulnerabilidades críticas, lo que podría traducirse en una reducción de incidentes de seguridad y una protección mejorada de los datos y sistemas gubernamentales. Sin embargo, esta responsabilidad no recae únicamente en el sector público; el sector privado también se beneficia de adoptar estas mejores prácticas, ya que las ciberamenazas no conocen fronteras y afectan a todas las entidades que operan en el entorno digital.

Históricamente, hemos sido testigos de numerosas violaciones de seguridad que han tenido consecuencias devastadoras para las organizaciones. Incidentes como el ataque a SolarWinds y el ransomware de Colonial Pipeline han evidenciado la necesidad de una gestión proactiva de vulnerabilidades. La BOD 26-04 representa un paso adelante en esta dirección, proporcionando un modelo que puede ser emulado por otras entidades para fortalecer su postura de seguridad.

En conclusión, es imperativo que tanto las agencias federales como las organizaciones privadas adopten un enfoque proactivo hacia la gestión de vulnerabilidades, priorizando no solo la remediación de las vulnerabilidades de alto riesgo, sino también fomentando una cultura de ciberseguridad que valore la prevención y la preparación ante posibles incidentes. La ciberseguridad es un desafío continuo que requiere vigilancia constante y adaptabilidad ante un panorama de amenazas en constante evolución.

◢ VULNERABILIDADES ◣

CISA Adds One Known Exploited Vulnerability to Catalog

⟫ 12/06/2026 ⟫ CISA

Source: CISA Alerts

CISA has added one new vulnerability to itsKnown Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation. This type of vulnerability is a frequent attack vector for malicious cyber actors and poses significant risks to the federal enterprise. Binding Operational Directive (BOD) 26-04: Prioritizing Security Updates Based on Riskestablishes vulnerability management requirements for Federal Civilian Executive Branch (FCEB) agencies, updatingBOD 22-01. BOD 26-04 reinforces the importance of the KEV catalog and requires federal agencies to prioritize rapid remediation of high-risk vulnerabilities, specifically those identified by Common Vulnerabilities and Exposures (CVEs) listed in CISA’s Known Exploited Vulnerabilities (KEV) catalog on publicly exposed assets that grant total control of the asset post-exploitation, while deferring action for lower-risk vulnerabilities. BOD 26-04 further establishes basic expectations for when agencies must check whether threat actors compromised the system before the patch was applied. While BOD 26-04 applies only to FCEB agencies, CISA encourages all organizations to adopt risk-based vulnerability management and prioritize remediation ofKEV catalog vulnerabilities. CISA will continue to add vulnerabilities to the catalog that meet thespecified criteria. Aware of an exploited vulnerability not currently listed in the KEV catalog? Submit for potential addition:KEV Nomination Form. Potential KEV additions must have a CVE ID, evidence of exploitation, and clear mitigation guidance.

← VOLVER A CIBERSEGURIDAD