La mayoría de los usuarios de tecnología no tienen que pensar conscientemente en las vulnerabilidades de seguridad en sus dispositivos más utilizados, incluidos los productos basados en Android, muy a menudo. Siempre que actualice su teléfono tan pronto como Están disponibles nuevos parches de seguridadgeneralmente estás cubierto. Sin embargo, hay un intrincado programa respaldado por el gobierno que opera para hacerlo todo posible, y casi se oscureció hoy.
Después de aproximadamente 24 horas de incertidumbre, la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) anunció que continuaría financiando las vulnerabilidades y exposiciones comunes (CVE) el día en que su contrato anterior expirara. Hoy, 16 de abril, dijo un portavoz de la CISA El borde que la agencia “ejecutó el período de opción en el contrato para garantizar que no haya lapso en los servicios críticos de CVE”.
Pero bajó al cable en un movimiento que podría haber enviado todo el mundo a una pesadilla de seguridad tecnológica.
Todo tiene que ver con el programa CVE, que identifica y rastrea los problemas de seguridad en la vista pública, desde el punto en que se identifica un problema potencial en el momento en que se emite una solución adecuada. Tiene casi 500 socios que incluyen investigadores de seguridad, desarrolladores de código abierto y compañías principales, incluidas las grandes como Google, Microsoft y Apple.
Si el programa CVE suena acquainted, eso probablemente se deba a que ha visto un código CVE mencionado en un artículo (como uno de los Muchos relacionados con CVE en Android Central) o las notas de versión de una actualización. También son una parte importante de los lanzamientos mensuales en el Boletín de seguridad de Android. Estos códigos, como CVE-2024-53104comience con CVE seguido del año y un número, y cree una base de datos common para rastrear fallas de seguridad entre dispositivos, plataformas y empresas.
El programa CVE ha estado activo durante 25 años, a partir de 1999. Se ha vuelto invaluable para la comunidad de seguridad, sirviendo como una forma common para que los investigadores, desarrolladores, empresas y el público trabajen juntos para descubrir y reparar vulnerabilidades cruciales. Más importante aún, establece públicamente si se cree que una vulnerabilidad fue explotada activamente por los malos actores.
Los principales investigadores de seguridad han señalado las consecuencias del cierre del programa CVE, como Lukasz Olejnik en X (anteriormente Twitter).
“La consecuencia será un desglose en la coordinación entre proveedores, analistas y sistemas de defensa: nadie estará seguro de que se refieren a la misma vulnerabilidad”, escribió Olejnik, un erudito con títulos avanzados en ciencias de la computación y ley de tecnología de la información con especializaciones en la privacidad. “El caos complete, y un debilitamiento repentino de la ciberseguridad en todos los ámbitos”.
La disaster se ha evitado … por ahora?
Afortunadamente, parece que se ha evitado la disaster, ya que el gobierno federal continuará financiando el programa CVE para al menos el futuro cercano. Sin embargo, la decisión que se scale back al cable a medida que la administración Trump recorta los fondos federales en todos los ámbitos pone el programa CVE en una posición más incierta ahora que en cualquier momento de sus 25 años de historia.
“El programa CVE es invaluable para la comunidad cibernética y una prioridad de CISA”, dijo el portavoz en un comunicado al borde. “Apreciamos la paciencia de nuestros socios y partes interesadas”.
Pero esa luz verde remaining no fue lo suficientemente rápida, ya que el mundo de la seguridad ya comenzó a hacer planes para mantener el programa CVE en funcionamiento, incluso sin fondos federales. Los miembros de la junta de CVE crearon el Fundación CVEuna organización sin fines de lucro planeada en secreto durante el año pasado que garantizaría que la misión CVE continúe.
“CVE, como piedra angular del ecosistema world de ciberseguridad, es demasiado importante para ser weak”, dijo Kent Landfield, un oficial de la Fundación CVE, en un presione soltar. “Los profesionales de ciberseguridad de todo el mundo confían en los identificadores y datos de CVE como parte de su trabajo diario, desde herramientas de seguridad y avisos hasta inteligencia y respuesta de amenazas. Sin CVE, los defensores están en una desventaja masiva contra las amenazas cibernéticas globales”.
La Fundación explica que le preocupa que tener un solo patrocinador gubernamental pueda crear “un solo punto de falla en el ecosistema de gestión de vulnerabilidades”.
El programa CVE podría estar cambiando como lo conocemos
El programa CVE es una parte crítica de Seguridad de Androidy debería ser relevante para cada persona que toca un dispositivo basado en Android. Aunque la financiación del gobierno se ha adquirido por ahora, los movimientos que se han puesto en marcha por la decisión de último minuto pueden no revertirse. La Fundación CVE está aquí, y podría estar aquí para quedarse.
No se sabe si la Fundación CVE continuará operando ahora que el programa CVE ha conservado los fondos del gobierno de los Estados Unidos, pero la Fundación dijo que se divulgará más información “en los próximos días”. La financiación inmediata del gobierno de los Estados Unidos no resuelve el problema a largo plazo que la Fundación CVE ha identificado, la posibilidad de tener un solo punto de falla, por lo que aún puede haber una razón para que exista.
Independientemente de cómo se desarrolle todo esto, la decisión de financiar el programa CVE nunca debería haber estado tan cerca de terminar un programa de seguridad world essential. La mayoría de nosotros tenemos el lujo de no pensar en la seguridad del dispositivo que a menudo, y son programas como el CVE que nos permiten ese privilegio.
