La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) emitió el miércoles una nueva directiva operativa vinculante que obliga a las agencias civiles federales a corregir las vulnerabilidades de software más críticas en un plazo de tres días, frente a los 15 días que regían hasta ahora. La orden, conocida como BOD-26-04, sustituye a las directivas de 2019 y 2021 y establece una rúbrica de cuatro criterios para clasificar la urgencia de cada fallo: si el sistema afectado está expuesto públicamente, si aparece en el catálogo de vulnerabilidades explotadas conocidas de CISA, si un atacante puede automatizar todas las fases de la explotación y qué nivel de acceso proporcionaría el bug. Cuando se cumplen los cuatro supuestos, la corrección debe completarse en 72 horas e ir acompañada de un triaje forense para determinar si los sistemas ya han sido comprometidos.
Chris Butera, director ejecutivo adjunto de CISA para ciberseguridad, justificó la medida por la capacidad de los nuevos modelos de inteligencia artificial para descubrir y explotar vulnerabilidades de forma masiva y autónoma, lo que reduce el margen de respuesta de los equipos defensores. Butera reconoció que las agencias operan con recursos limitados y prioridades competidas, por lo que el plazo se fijó en tres días y no en 24 horas. La directiva también contempla tiempos más largos para vulnerabilidades de menor riesgo y deroga los plazos escalonados anteriores. Expertos del sector, como Emily Long, CEO de Edera, advierten de que el parcheo, por muy rápido que sea, no basta sin cambios arquitectónicos que limiten el alcance de una intrusión.