Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Qué significan la retirada del NVD de NIST y el mito de Claude para la seguridad de los datos empresariales

Qué significan la retirada del NVD de NIST y el mito de Claude para la seguridad de los datos empresariales

by Tim Freestone updated abril 21, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

En una semana de abril de 2026, dos anuncios que inicialmente se cubrieron como historias separadas convergieron en un solo evento estructural. El Instituto Nacional de Estándares y Tecnología de EE. UU. admitió formalmente que ya no puede enriquecer la mayoría de las vulnerabilidades que ingresan a la Base Nacional de Vulnerabilidades. Un día antes, la Cloud Security Alliance publicó un informe — firmado por algunos de los líderes más destacados de la ciberseguridad mundial — advirtiendo que Claude Mythos Preview de Anthropic marca un cambio radical en el descubrimiento autónomo de vulnerabilidades impulsado por IA. El sistema de triaje de los defensores está reduciendo la cobertura por diseño. El sistema de descubrimiento de los atacantes se está industrializando. La apuesta de veinte años que sustentaba la gestión de vulnerabilidades empresariales — que los defensores pueden aplicar parches más rápido de lo que los atacantes pueden aprovecharlos — se ha perdido.

Conclusiones clave

  1. La era de autoridad del NVD ha terminado. Las presentaciones de CVE crecieron un 263% entre 2020 y 2025. El retraso ahora supera las 30.000 entradas. NIST ha dejado formalmente de intentar enriquecer la mayoría de ellas. Para cualquier organización que utilice la priorización de parches basada en CVSS, la fuente de datos se ha apagado para la mayoría de las nuevas vulnerabilidades.
  2. Claude Mythos no es solo marketing. La evaluación independiente del AI Security Institute del Reino Unido confirmó el descubrimiento autónomo de miles de zero-days, la generación de exploits funcionales sin intervención humana y la ejecución completa de una simulación de ataque a una red corporativa de 32 pasos. El costo mínimo para capacidades ofensivas de élite acaba de desplomarse.
  3. La ecuación de velocidad ya no funciona. El tiempo promedio hasta la explotación ahora es de menos siete días. La remediación promedio de vulnerabilidades críticas es de 74 días. El tiempo de propagación del eCrime después del acceso inicial es de 29 minutos. Eso no es una brecha; es una ruptura estructural.
  4. La defensa a nivel de aplicación no puede escalar ante lo que viene. Más escáneres, más tickets, más ventanas de parches: nada de eso llega a la capa donde realmente ocurre la explotación. La única defensa duradera es la que gobierna, cifra y audita los propios datos, bajo controles que funcionan sin importar qué vulnerabilidad explote el atacante.
  5. La prueba ya existe. Durante la crisis de Log4Shell, las organizaciones con arquitecturas reforzadas a nivel de datos experimentaron la vulnerabilidad CVSS 10 de la industria como algo más cercano a un CVSS 4. El próximo Log4Shell no llegará con un número de CVE adjunto. La arquitectura es lo único que estará preparado para ello.

La colisión de abril de 2026: dos anuncios, un solo evento

El 14 de abril de 2026, NIST anunció que la Base Nacional de Vulnerabilidades dejaría de intentar enriquecer la mayoría de los CVE que ingresan al sistema. Las presentaciones crecieron un 263% entre 2020 y 2025. NIST enriqueció casi 42.000 CVE en 2025 — un aumento interanual del 45% — y aun así vio cómo el retraso superaba las 30.000 entradas sin analizar. De ahora en adelante, NVD priorizará tres categorías específicas: CVE en el catálogo de Vulnerabilidades Conocidas Explotadas de CISA, software utilizado por el gobierno federal de EE. UU. y el ambiguamente definido «software crítico». Todo lo demás será marcado como «not scheduled» — sin puntuación de severidad, sin análisis, sin señal que un escáner de vulnerabilidades pueda consumir.

Un día antes, la Cloud Security Alliance había publicado un informe sobre Claude Mythos Preview de Anthropic, firmado por la exdirectora de CISA Jen Easterly, Bruce Schneier, Chris Inglis y Phil Venables, entre decenas de otros líderes de seguridad. El argumento central: Mythos representa «un cambio radical» en el descubrimiento de vulnerabilidades impulsado por IA, y «la ventana entre el descubrimiento y la explotación se ha reducido a horas». El AI Security Institute del Reino Unido verificó de forma independiente la capacidad, informando que Mythos completó una simulación de ataque a una red corporativa de 32 pasos — desde el reconocimiento hasta la toma total — superando a todos los demás sistemas de IA evaluados.

La convergencia es la noticia. El sistema de inteligencia centralizada en el que confían los defensores se está contrayendo justo cuando el sistema de descubrimiento autónomo que pueden usar los atacantes se está expandiendo. Para las organizaciones que construyeron sus programas de seguridad en torno al enriquecimiento de CVE, el triaje y el parcheo basado en SLA, los supuestos operativos han cambiado silenciosamente.

Qué significa realmente «not scheduled» para tu programa de seguridad

La frase «not scheduled» suena burocrática. La realidad operativa es más grave de lo que parece.

Dustin Childs, responsable de concienciación de amenazas en Zero Day Initiative de Trend Micro, dijo a CSO Online lo que el anuncio significa en lenguaje claro: NIST ha «declarado públicamente: ‘Nunca vamos a ponernos al día con este retraso'». El Forum of Incident Response and Security Teams pronostica 59.427 CVE en 2026, frente a poco más de 48.000 en 2025, con escenarios modelados que superan los 100.000 — y ese modelado se completó antes de la ola de divulgaciones más amplia que se espera que desencadenen las herramientas tipo Mythos.

El problema de calidad es peor que el de cantidad. El 2026 OT/ICS Year in Review de Dragos documentó que el 15% de los CVE de CISA y NVD tenían puntuaciones CVSS incorrectas en 2025 — y el 64% de esas correcciones ajustaron la severidad al alza porque los proveedores subestimaron el riesgo. El 25% de los avisos públicos no incluían ninguna guía de parcheo o mitigación. NIST ha formalizado una erosión que ya estaba en marcha.

Para las organizaciones que utilizan la gestión de parches basada en CVSS — que son la mayoría — la fuente de datos en la que dependen sus herramientas está a punto de oscurecerse para la mayoría de las nuevas vulnerabilidades. Para organizaciones estadounidenses sujetas a obligaciones de divulgación cibernética de la SEC, para contratistas federales bajo CMMC y DFARS, para organizaciones de salud bajo los requisitos de análisis de riesgos de HIPAA, el problema de documentación no es trivial: ¿Cómo demuestras un proceso de priorización basado en riesgos cuando la señal de riesgo en sí misma es incompleta?

Por qué Claude Mythos cambia la economía del atacante

La reacción fácil ante Mythos es descartarlo como hype. La Cloud Security Alliance, AISI y un grupo inusualmente amplio de exlíderes gubernamentales de ciberseguridad llegaron a la misma conclusión de forma independiente: la clase de capacidad es real y la economía ahora está invertida.

La evaluación de AISI documentó cuatro capacidades de Mythos Preview que vale la pena interiorizar. Primero, el descubrimiento autónomo de miles de vulnerabilidades de alta y crítica severidad en todos los sistemas operativos y navegadores principales — producido no por entrenamiento ofensivo especializado, sino como consecuencia de mejoras en el razonamiento de código y la autonomía. Segundo, la generación de exploits funcionales sin intervención humana. Tercero, la explotación exitosa de sistemas poco protegidos una vez obtenido el acceso. Cuarto, la ejecución completa de una simulación de ataque a red corporativa de 32 pasos que antes requería unas 20 horas de trabajo humano especializado. Mythos incluso identificó una vulnerabilidad de ejecución remota de código de 17 años en el servidor NFS de FreeBSD y la explotó de forma autónoma en unas cuatro horas.

El CrowdStrike 2026 Global Threat Report aporta contexto adicional. Los exploits de día cero crecieron un 42% interanual. Los ataques de adversarios habilitados por IA crecieron un 89%. El tiempo promedio de propagación del eCrime tras el acceso inicial es de 29 minutos. Esos datos se recopilaron antes de que la capacidad tipo Mythos estuviera ampliamente disponible. Gadi Evron, CISO-in-Residence for AI en Cloud Security Alliance, dijo a CSO Online: «La oleada de divulgaciones de vulnerabilidades de Project Glasswing es la primera de muchas grandes olas».

La asimetría es el hecho arquitectónico de la ciberseguridad en 2026. El sistema de triaje de los defensores se está reduciendo por diseño. El sistema de descubrimiento de los atacantes se está industrializando. Los ciclos de parches medidos en semanas no pueden superar ciclos de explotación medidos en horas.

La defensa deshonesta: por qué hacer más de lo mismo ahora es la estrategia más riesgosa

Ante esta colisión, muchos programas de seguridad recurrirán a una respuesta predecible: más escáneres, más tickets, ventanas de parches más cortas, más paneles de control. Esta es la defensa deshonesta. Trata el problema como uno de ejecución — solo hay que parchear mejor — cuando el problema es estructural.

Tres hechos estructurales hacen que ese enfoque sea insuficiente. Primero, el sistema de CVE que alimenta la capa de ejecución ya no es integral. Cuando NVD marca algo como «not scheduled», el motor de priorización de tu escáner no recibe ninguna señal. Segundo, las herramientas de descubrimiento impulsadas por IA no esperan el enriquecimiento de NVD antes de que los atacantes aprovechen sus hallazgos. Tercero, el tiempo promedio para remediar vulnerabilidades críticas sigue siendo de 74 días — una ventana que ya era insostenible cuando el tiempo hasta la explotación era de catorce días positivos, y mucho menos con siete negativos.

El entorno regulatorio agudiza el problema. Las reglas de divulgación cibernética de la SEC, la aplicación de la HIPAA Security Rule por parte de HHS y la regla de salvaguarda de la FTC responsabilizan a las organizaciones por «salvaguardas técnicas razonables o apropiadas» — y señalar un registro incompleto de NVD no es una defensa ante controles inadecuados. La Oficina de Derechos Civiles de HHS superó los $100 millones en sanciones por aplicación de HIPAA en 2024, con multas directamente relacionadas con controles de acceso y cifrado insuficientes. La Hoja Informativa de Ciberseguridad de la NSA de abril de 2024 sobre el Pilar de Datos afirma claramente que las defensas perimetrales por sí solas son insuficientes y que los adversarios que logran acceso suelen obtener acceso sin restricciones a todos los datos.

La defensa honesta comienza con una pregunta más difícil. Si no puedes asumir que sabrás de cada vulnerabilidad explotable antes de que se aproveche, ¿qué significa realmente la seguridad empresarial? La respuesta es que la defensa debe bajar una capa. El propio activo debe portar su protección.

La respuesta arquitectónica: gobernanza a nivel de datos

Control de acceso basado en atributos a nivel de contenido. Las políticas se aplican sobre los propios datos — en función de los atributos del usuario, los datos, el momento, el propósito y el contexto — en lugar de hacerlo en el perímetro de la red o en el límite de la aplicación. Un archivo que solo debe ser accedido por personal autorizado dentro de una geografía y ventana temporal específica lleva esa política consigo, ya sea que esté en un recurso compartido, como adjunto de correo electrónico o en el contexto de una consulta de IA.

Cifrado FIPS 140-3 con claves gestionadas por el cliente. Los datos sensibles se cifran en reposo y en tránsito con módulos criptográficos validados según el estándar federal vigente. Las claves gestionadas por el cliente respaldadas por módulos de seguridad hardware garantizan que la organización — no el proveedor cloud, ni el proveedor SaaS, ni el modelo de IA — controle el acceso.

Registro de auditoría a prueba de manipulaciones. Cada interacción con datos sensibles genera una entrada de registro normalizada entregada al SIEM en tiempo real, sin limitaciones ni demoras ocultas. Cuando ocurre una brecha, la reconstrucción forense no requiere saber qué CVE específico fue explotado; la trazabilidad de los datos es completa.

Acceso de confianza cero para personas, servicios y agentes de IA. Cada solicitud se autentica, autoriza, limita por propósito, acota en el tiempo y se registra — sin importar si quien la realiza es un usuario humano, una cuenta de servicio o un agente de IA. Un agente de IA manipulado por inyección de prompt no puede exfiltrar datos a los que nunca estuvo autorizado a acceder.

Arquitectura reforzada, no configuración reforzada por el cliente. La plataforma se entrega como un dispositivo virtual reforzado con firewall, WAF y detección de intrusiones integrados. El aislamiento de tenencia única significa que los modos de falla entre inquilinos que devastan servicios cloud multi-tenant no pueden ocurrir.

La combinación importa más que cualquier elemento individual. Una brecha en la aplicación se convierte en una brecha del contenedor, no del contenido.

El enfoque de Kiteworks: arquitectura sobre aspiraciones

Kiteworks se diseñó precisamente para este momento — aunque el momento acaba de llegar.

La plataforma Kiteworks implementa principios de confianza cero en la capa de datos, no en la red ni en la aplicación. Consolida los canales de contenido sensible — correo electrónico seguro, uso compartido de archivos, transferencia de archivos gestionada, SFTP, formularios de datos, salas de datos virtuales, APIs y DRM de última generación — bajo un único marco de gobernanza con aplicación unificada de políticas. Cada operación es evaluada por un motor de políticas de datos que triangula la identidad del usuario, la sensibilidad de los datos y la acción prevista antes de permitir el acceso. Cada interacción se registra en una trazabilidad de auditoría consolidada que se entrega al SIEM en tiempo real sin limitaciones.

El caso de Log4Shell es la prueba concreta de que esta arquitectura funciona bajo máxima presión. Cuando la industria enfrentó una vulnerabilidad CVSS 10 en diciembre de 2021, los clientes de Kiteworks la experimentaron como algo más cercano a un CVSS 4. La arquitectura de dispositivo virtual reforzado, el aislamiento de tenencia única, el cifrado doble en reposo y el diseño interno de asunción de brecha significaron que la peor vulnerabilidad de librería de esa década no pudo alcanzar los datos que debía exponer.

Para la era de la IA, Kiteworks extiende el mismo patrón de gobernanza a las interacciones con agentes de IA. Kiteworks Compliant AI aplica las mismas políticas ABAC, cifrado FIPS 140-3 y registros de auditoría a prueba de manipulaciones para cada interacción de agente de IA con datos regulados. El servidor Kiteworks Secure MCP permite a los clientes de IA conectarse mediante autenticación OAuth 2.0, asegurando que las credenciales nunca lleguen a los modelos de lenguaje. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report detalla cómo los casos de uso de IA en industrias reguladas están impulsando la demanda de este patrón arquitectónico.

La gobernanza a nivel de datos en la capa de los datos no es un conjunto de funciones. Es una postura de diseño — que sigue siendo eficaz precisamente porque no depende de una visibilidad perfecta del panorama de amenazas por encima de ella.

Qué deben hacer las organizaciones ahora

Primero, acepta que la seguridad a nivel de aplicación, aunque sigue siendo necesaria, ya no es suficiente como estrategia principal de defensa. El volumen de vulnerabilidades detectables está a punto de acelerarse más allá de la capacidad de respuesta de cualquier organización, y la cobertura reducida de NVD significa que menos de esas vulnerabilidades vendrán con una puntuación de severidad. Las arquitecturas deben orientarse a proteger los datos independientemente de las aplicaciones que los procesan. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report encontró que solo el 17% de las organizaciones reportan marcos de gobernanza de IA completamente implementados; la brecha de control es tanto arquitectónica como procedimental.

Segundo, realiza un ejercicio integral de descubrimiento y clasificación de datos. El 2026 Thales Data Threat Report halló que solo el 33% de las organizaciones tienen conocimiento completo de dónde residen sus datos sensibles. No puedes proteger lo que no puedes encontrar.

Tercero, implementa cifrado a nivel de datos con claves gestionadas por el cliente. Los datos deben cifrarse en reposo y en tránsito con claves que controle la organización — no el proveedor cloud, ni el proveedor SaaS, ni el modelo de IA. Los módulos criptográficos validados FIPS 140-3 y los módulos de seguridad hardware deben ser el estándar.

Cuarto, implementa controles de acceso basados en atributos que viajen con los datos. El control de acceso basado en roles falla cuando los datos se mueven entre límites organizacionales, hacia flujos de trabajo de IA o a través de ecosistemas de terceros. Las políticas de acceso deben estar integradas en los propios datos para que se apliquen sin importar dónde se abra el archivo.

Quinto, gobierna el acceso a datos por IA con el mismo rigor que el acceso humano. El CrowdStrike 2026 Global Threat Report documentó un aumento del 89% en ataques de adversarios habilitados por IA. Cada interacción de IA con datos sensibles debe ser autenticada, autorizada, registrada y auditable — en la capa de datos, no en la capa del modelo.

Sexto, deja de diseñar en torno al enriquecimiento de CVE como si aún fuera una señal confiable. Superpone la priorización informada por amenazas — CISA KEV, puntuación de predicción de exploits, avisos de proveedores, inteligencia de amenazas directa — sobre controles a nivel de datos que reduzcan el alcance del daño cuando la priorización falle.

Las organizaciones que actúen ahora serán las que sigan siendo defendibles en 2027. La ventana para reconstruir el modelo operativo es estrecha, y la presión regulatoria seguirá aumentando a medida que la ola de divulgación de herramientas tipo Mythos alcance su punto máximo.

Preguntas frecuentes

La seguridad a nivel de datos protege los propios datos mediante cifrado, controles de acceso basados en atributos, políticas persistentes y claves gestionadas por el cliente que viajan con el archivo sin importar qué aplicación lo procese. La seguridad a nivel de aplicación protege el software que maneja los datos. La diferencia importa porque los controles a nivel de aplicación fallan cuando se descubre una nueva vulnerabilidad. Los controles a nivel de datos siguen siendo eficaces sin importar qué CVE explote un atacante. NIST SP 800-207 enmarca la confianza cero como «principalmente enfocada en la protección de datos y servicios», y el Modelo de Madurez de Confianza Cero de CISA considera los datos como uno de sus cinco pilares.

Las presentaciones de CVE crecieron un 263% entre 2020 y 2025, alcanzando aproximadamente 48.000 en 2025, con FIRST pronosticando 59.427 en 2026 y escenarios modelados que superan los 100.000. El proceso de enriquecimiento de NIST no pudo escalar al mismo ritmo. El retraso supera las 30.000 entradas. Desde abril de 2026, NIST prioriza tres categorías específicas y marca todo lo demás como «not scheduled». Para los programas de gestión de vulnerabilidades que dependen de las puntuaciones CVSS asignadas por NVD para la priorización, esto significa un punto ciego cada vez mayor. La respuesta práctica es complementar NVD con datos de CISA KEV, avisos de proveedores, puntuación de predicción de exploits e inteligencia de amenazas — y reducir la dependencia del parcheo a nivel de aplicación como defensa principal.

El informe de la CSA fue firmado por Jen Easterly, Bruce Schneier, Chris Inglis y Phil Venables — exlíderes de CISA y del gobierno sin incentivos comerciales para exagerar. El AI Security Institute del Reino Unido verificó de forma independiente las capacidades de Mythos Preview, incluida la realización de una simulación de ataque a red corporativa de 32 pasos que antes requería 20 horas de trabajo humano especializado. La cuestión no es si Mythos en sí ha generado miles de CVE confirmados en el mundo real. Es si esta clase de capacidad existe. Las evaluaciones independientes dicen que sí. La respuesta adecuada es asumir que las herramientas tipo Mythos se multiplicarán rápidamente y diseñar la seguridad en consecuencia.

No. El parcheo sigue siendo necesario. El punto es que ya no es suficiente como defensa principal. El CrowdStrike 2026 Global Threat Report midió tiempos promedio de propagación de 29 minutos y un aumento del 42% en exploits de día cero, mientras que el tiempo promedio para remediar vulnerabilidades críticas es de 74 días. La seguridad a nivel de datos opera por debajo del parcheo, protegiendo el activo cuando los parches llegan tarde o nunca. Es una inversión complementaria, no un sustituto.

Plantea el tema como retorno de inversión en reducción de riesgos. El IBM 2025 Cost of a Data Breach Report registró un costo promedio de brecha en EE. UU. de $10,22 millones. Gartner proyecta que el 75% de las organizaciones con iniciativas GenAI re-priorizarán hacia la seguridad de datos no estructurados para 2026. La prueba más contundente es Log4Shell: las organizaciones con arquitecturas reforzadas a nivel de datos experimentaron el CVSS 10 de la industria como algo más cercano a un CVSS 4, porque la exposición no pudo alcanzar los datos. La conversación con la junta no es «compra algo nuevo». Es «nuestro modelo actual asume que podemos parchear más rápido de lo que la IA puede encontrar zero-days y más rápido de lo que NIST puede puntuarlos. Ninguna de esas suposiciones sigue siendo cierta».

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks