Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon CISA exige a agencias federales parchear vulnerabilidades críticas en 3 días


La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido la Directiva Operativa Vinculante (BOD) 26-04, denominada "Priorización de Actualizaciones de Seguridad Basadas en el Riesgo". Esta medida obliga a todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) a solucionar las vulnerabilidades explotadas conocidas más peligrosas en un plazo máximo de tres días naturales.



La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido la Directiva Operativa Vinculante (BOD) 26-04, titulada "Priorización de Actualizaciones de Seguridad Basadas en el Riesgo", obligando a todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) a remediar las vulnerabilidades explotadas conocidas más peligrosas en tan solo tres días naturales.

La directiva, publicada el 10 de junio de 2026, representa el cronograma de parches federal más agresivo jamás exigido y reforma fundamentalmente la manera en que las agencias de EE. UU. abordan la gestión de vulnerabilidades.

Una Directiva Operativa Vinculante es una orden obligatoria emitida bajo la sección 44 U.S.C. § 3552(b)(1), que autoriza al Secretario del Departamento de Seguridad Nacional a establecer políticas de ciberseguridad en todas las agencias civiles federales.

La BOD 26-04 sustituye y revoca dos directivas anteriores, la BOD 19-02 y la BOD 22-01, consolidando las pautas de remediación de vulnerabilidades en un único marco estratificado por riesgo. No se aplica a los sistemas de seguridad nacional ni a los sistemas operados por la Comunidad de Inteligencia.

Directiva Operativa Vinculante de CISA

La nueva directiva aleja a las agencias federales de la simple aplicación de parches hacia una gestión de vulnerabilidades basada en el riesgo, evaluando cada vulnerabilidad mediante cuatro criterios clave:

  • Exposición del Activo: ¿Es el activo vulnerable accesible públicamente a través de internet?
  • Estado KEV: ¿Está la CVE incluida en el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA?
  • Automatización del Exploit: ¿Puede un adversario automatizar completamente los pasos de la explotación?
  • Impacto Técnico: ¿La explotación otorga al atacante un control total o solo parcial del activo?

CISA publica el estado KEV, la automatización del exploit y los datos de impacto técnico para cada CVE a través de su Programa Vulnrichment, mientras que las agencias autoevalúan la exposición pública utilizando la Guía de Reducción de Exposición a Internet de CISA.

Tabla de Cronograma de Mitigación 1 (Fuente: CISA)

La urgencia de la remediación escala directamente con el número de criterios de alto riesgo que cumple una vulnerabilidad. Según la Tabla 1 de la directiva, una vulnerabilidad que esté expuesta públicamente, esté listada en el catálogo KEV, sea automatizable por un adversario y otorgue control total del sistema debe parchearse en 3 días, acompañado de un triaje forense obligatorio para determinar si el sistema ya había sido comprometido.

Cuando solo se cumplen algunos criterios, los plazos se extienden a 14 o 60 días naturales. Las vulnerabilidades que no están expuestas públicamente en el catálogo KEV ni son automatizables se difieren simplemente hasta la siguiente actualización programada del sistema.

Criterios y Cronograma (Fuente: CISA)

CISA estructuró el despliegue de la BOD 26-04 en tres fases. Con efecto inmediato (Fase I), las agencias deben actualizar sus políticas de gestión de vulnerabilidades, monitorear el catálogo KEV y automatizar los informes a través del Panel de Diagnóstico y Mitigación Continua (CDM).

En un plazo de 60 días (Fase II), las agencias deben alinear todos sus procesos de gestión de vulnerabilidades con la base de datos CVE y el catálogo KEV. En un plazo de 180 días (Fase III), las agencias deben cumplir plenamente con los plazos de remediación de la Tabla 1 y etiquetar continuamente todos los activos accesibles públicamente con metadatos, incluyendo la organización, el entorno y el tipo de activo.

CISA citó específicamente el creciente uso de la IA por parte de los actores de amenazas como un motor clave de la directiva, advirtiendo que la IA puede acortar significativamente la ventana entre el lanzamiento del parche y la explotación activa.

La agencia señaló que los actores estatales frecuentemente aprovechan vulnerabilidades explotadas conocidas para comprometer infraestructuras críticas, robar datos sensibles y disruptir operaciones federales. Al concentrar la energía del parcheo en las vulnerabilidades de mayor riesgo, la BOD 26-04 pretende reducir la superficie de ataque más crítica del gobierno federal, otorgando al mismo tiempo flexibilidad para los problemas de menor riesgo.

CISA llevará a cabo reevaluaciones anuales basadas en datos de los plazos de remediación y proporcionará a las agencias orientación continua a través de directivas de emergencia y comunicación directa en CyberDirectives@cisa.dhs.gov.



Fuentes:
https://cybersecuritynews.com/cisa-patch-vulnerabilities-3-days/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.