CISA Añade Dos Vulnerabilidades Conocidas Explotadas a su Catálogo

⟫ 15/06/2026 ⟫ CISA

Fuente: CISA Alerts

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido recientemente dos nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV, por sus siglas en inglés), basado en evidencias de explotación activa. Este tipo de vulnerabilidades se ha convertido en un vector de ataque frecuente para actores cibernéticos maliciosos, representando riesgos significativos para las organizaciones gubernamentales y, en un sentido más amplio, para la infraestructura crítica de la nación.

El nuevo Directiva Operativa Vinculante (BOD) 26-04: Priorización de Actualizaciones de Seguridad Basadas en el Riesgo establece requisitos de gestión de vulnerabilidades para las agencias del Poder Ejecutivo Federal Civil (FCEB, en inglés), actualizando la BOD 22-01. Esta nueva directiva refuerza la importancia del catálogo KEV y exige a las agencias federales que prioricen la remediación rápida de vulnerabilidades de alto riesgo, en particular las identificadas por los Identificadores Comunes de Vulnerabilidades y Exposiciones (CVEs) que figuran en el catálogo KEV de CISA. Estas vulnerabilidades afectan activos que, una vez explotados, permiten un control total sobre los mismos. En contraste, se sugiere que las acciones para abordar vulnerabilidades de menor riesgo se pueden posponer. Además, la BOD 26-04 establece expectativas básicas sobre cuándo las agencias deben verificar si los actores de amenazas han comprometido el sistema antes de que se aplique el parche.

Si bien la BOD 26-04 se aplica exclusivamente a las agencias FCEB, CISA alienta a todas las organizaciones, tanto del sector público como del privado, a adoptar una gestión de vulnerabilidades basada en el riesgo y a priorizar la remediación de las vulnerabilidades que aparecen en el catálogo KEV. La agencia continuará incorporando vulnerabilidades al catálogo que cumplan con los criterios establecidos.

Si se tiene conocimiento de una vulnerabilidad explotada que actualmente no se encuentra en el catálogo KEV, existe la posibilidad de nominarla para su posible inclusión. Para ello, se debe completar el Formulario de Nominación de KEV. Las adiciones potenciales al catálogo KEV deben contar con un ID de CVE, evidencia de explotación y orientación clara sobre cómo mitigar la vulnerabilidad.

La inclusión de estas nuevas vulnerabilidades en el catálogo KEV representa un movimiento crucial hacia la mejora de la ciberseguridad en el ámbito federal. El impacto de estas vulnerabilidades se extiende más allá de las agencias gubernamentales, afectando también a empresas privadas que pueden interactuar con estos sistemas o que forman parte de la cadena de suministro gubernamental. La adopción rigurosa de las recomendaciones propuestas por CISA puede ser determinante para reducir los riesgos asociados a la explotación de estas vulnerabilidades.

En un contexto histórico más amplio, la evolución de las amenazas cibernéticas ha llevado a incidentes de gran envergadura, como el ataque a SolarWinds en 2020, que destacó la vulnerabilidad de las redes gubernamentales y comerciales ante ataques sofisticados. La creciente interconexión entre sistemas y la digitalización de servicios han ampliado la superficie de ataque, lo que hace que la gestión proactiva de vulnerabilidades sea más crítica que nunca.

Con el avance constante de las técnicas de ataque, es imperativo que las organizaciones implementen protocolos de seguridad robustos y actualizados. Esto incluye la capacitación de personal y la realización de auditorías regulares de seguridad para identificar y mitigar posibles vulnerabilidades antes de que sean explotadas. Asimismo, la colaboración entre sectores y la información compartida sobre amenazas emergentes pueden contribuir significativamente a la defensa colectiva contra el cibercrimen.

◢ VULNERABILIDADES ◣

CISA Adds Two Known Exploited Vulnerabilities to Catalog

⟫ 15/06/2026 ⟫ CISA

Source: CISA Alerts

CISA has added two new vulnerabilities to itsKnown Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation. These types of vulnerabilities are a frequent attack vector for malicious cyber actors and pose significant risks to the federal enterprise. Binding Operational Directive (BOD) 26-04: Prioritizing Security Updates Based on Riskestablishes vulnerability management requirements for Federal Civilian Executive Branch (FCEB) agencies, updatingBOD 22-01. BOD 26-04 reinforces the importance of the KEV catalog and requires federal agencies to prioritize rapid remediation of high-risk vulnerabilities, specifically those identified by Common Vulnerabilities and Exposures (CVEs) listed in CISA’s Known Exploited Vulnerabilities (KEV) catalog on publicly exposed assets that grant total control of the asset post-exploitation, while deferring action for lower-risk vulnerabilities. BOD 26-04 further establishes basic expectations for when agencies must check whether threat actors compromised the system before the patch was applied. While BOD 26-04 applies only to FCEB agencies, CISA encourages all organizations to adopt risk-based vulnerability management and prioritize remediation ofKEV catalog vulnerabilities. CISA will continue to add vulnerabilities to the catalog that meet thespecified criteria. Aware of an exploited vulnerability not currently listed in the KEV catalog? Submit for potential addition:KEV Nomination Form. Potential KEV additions must have a CVE ID, evidence of exploitation, and clear mitigation guidance.

← VOLVER A CIBERSEGURIDAD