El inspector general del Departamento de Comercio de Estados Unidos ha determinado que errores de gestión en el Instituto Nacional de Estándares y Tecnología (NIST) han dejado ineficaz la Base de Datos Nacional de Vulnerabilidades (NVD), un repositorio global clave para la ciberseguridad. El informe, publicado en junio de 2026, revela que el backlog de vulnerabilidades sin procesar se ha duplicado, pasando de 13.000 a más de 27.000 entre febrero de 2024 y finales de 2025.
La NVD, gestionada por el NIST, es la fuente primaria para que empresas, gobiernos y organismos de todo el mundo prioricen los parches de seguridad informática. Su retraso en la catalogación de vulnerabilidades conocidas como CVE (Common Vulnerabilities and Exposures) amplía la ventana de exposición a ataques, según advierte el informe de la oficina del inspector general.
El organismo califica la situación como una «undermining of public trust» (pérdida de confianza pública), ya que la acumulación de 27.000 vulnerabilidades sin procesar deja sin cobertura a miles de sistemas críticos que dependen de los datos actualizados de la NVD para aplicar parches de forma eficaz. El colapso, atribuido a fallos de gestión internos del NIST, comenzó a gestarse en febrero de 2024 y se ha acelerado desde entonces, según el informe.
El documento no ofrece detalles sobre posibles sanciones o planes de recuperación, pero subraya que la falta de resolución del backlog ha convertido a la NVD en un repositorio cada vez menos fiable. La situación afecta a la ciberseguridad global, ya que la base de datos es utilizada por defensores y atacantes por igual para identificar vulnerabilidades explotables.
