CISA KEV: el catálogo de vulnerabilidades explotadas que toda empresa en Latinoamérica debería monitorear

Cada día se publican decenas de nuevas vulnerabilidades de software. El volumen es tan grande que resulta imposible para cualquier equipo de TI atenderlas todas al mismo ritmo. Frente a esta realidad, la pregunta que toda organización debería hacerse no es «¿cuántas vulnerabilidades existen?», sino «¿cuáles están siendo explotadas activamente por atacantes en este momento?»

Esa pregunta tiene una respuesta concreta: el Known Exploited Vulnerabilities Catalog (KEV) de CISA, la Agencia de Ciberseguridad y Seguridad de Infraestructura del gobierno de los Estados Unidos. Este catálogo público y gratuito recopila exclusivamente vulnerabilidades con evidencia confirmada de explotación activa en el mundo real. No se trata de riesgos teóricos ni de puntuaciones CVSS abstractas: cada entrada en el KEV representa una amenaza que alguien ya está usando para comprometer sistemas.

Aunque el KEV nace como un mandato federal estadounidense, su valor trasciende fronteras. Para las empresas y entidades gubernamentales de Panamá y Latinoamérica, este catálogo es una herramienta de priorización que puede marcar la diferencia entre remediar a tiempo una vulnerabilidad crítica o convertirse en la próxima víctima.

¿Qué es el catálogo KEV de CISA y por qué existe?

En noviembre de 2021, CISA publicó la Binding Operational Directive (BOD) 22-01, titulada «Reducing the Significant Risk of Known Exploited Vulnerabilities». Esta directiva obligatoria para todas las agencias del poder ejecutivo civil federal de los Estados Unidos (conocidas como FCEB) estableció el catálogo KEV como la lista autoritativa de vulnerabilidades que representan un riesgo inaceptable y que deben remediarse en plazos estrictos.

El razonamiento detrás del KEV es sencillo pero valioso: en lugar de intentar parchear todo basándose únicamente en puntuaciones de severidad teórica (como CVSS), las organizaciones deberían priorizar aquellas vulnerabilidades que los atacantes realmente están explotando. Este enfoque cambia el paradigma de la gestión de vulnerabilidades, pasando de «lo que podría ser explotado» a «lo que está siendo explotado».

Criterios de inclusión en el KEV

Para que una vulnerabilidad sea añadida al catálogo KEV, debe cumplir tres requisitos simultáneos:

• Tener un identificador CVE asignado: la vulnerabilidad debe estar registrada en el sistema estándar de identificación de vulnerabilidades.
• Contar con evidencia confiable de explotación activa: CISA verifica mediante fuentes como reportes de incidentes propios, avisos de fabricantes, investigadores de seguridad y socios gubernamentales internacionales que la vulnerabilidad está siendo utilizada por atacantes.
• Existir una acción de remediación clara: ya sea un parche del fabricante, una actualización disponible o una mitigación específica documentada.

Este filtro triple es lo que hace al KEV tan valioso. No se trata de una lista masiva con miles de vulnerabilidades teóricas, sino de un subconjunto curado y verificado que señala las amenazas que están causando daño real en este momento.

El KEV en cifras: un catálogo en crecimiento acelerado

Al cierre de 2025, el catálogo KEV contenía 1,484 vulnerabilidades, tras haber incorporado 245 nuevas entradas durante ese año. Este crecimiento representó un aumento superior al 30% respecto al ritmo de incorporaciones observado en 2023 y 2024, según un análisis publicado por Cyble en enero de 2026.

Algunos datos relevantes sobre las tendencias del catálogo en 2025:

• De las 245 vulnerabilidades añadidas, 24 fueron identificadas como explotadas activamente por grupos de ransomware.
• Microsoft lideró la lista de fabricantes con 39 vulnerabilidades incorporadas al KEV, seguido de otros proveedores de software empresarial ampliamente utilizado.
• 94 de las vulnerabilidades añadidas en 2025 correspondían a CVEs de años anteriores (2024 y antes), un aumento del 34% en la incorporación de vulnerabilidades antiguas que siguen siendo explotadas.
• La vulnerabilidad más antigua añadida al KEV en 2025 databa de 2007 (un fallo de ejecución remota de código en Microsoft Office Excel), lo que demuestra que los atacantes no necesitan vulnerabilidades nuevas para ser efectivos.

Este último punto es especialmente relevante: los ciberdelincuentes no discriminan por antigüedad. Si una vulnerabilidad funciona y los sistemas siguen sin parchear, la van a explotar.

Lo que dice el Verizon DBIR 2025 sobre el KEV

El Data Breach Investigations Report (DBIR) 2025 de Verizon ofrece una perspectiva complementaria sobre la importancia del KEV. Según este reporte, la explotación de vulnerabilidades estuvo presente en el 20% de todas las brechas analizadas, un aumento del 34% respecto al año anterior. Este crecimiento está impulsado en gran parte por la oleada de vulnerabilidades en dispositivos de borde (VPN, firewalls, gateways) que afectó a los defensores durante 2024 y 2025.

El DBIR analizó datos de 10,000 empresas que debieron remediar vulnerabilidades listadas en el catálogo KEV de CISA, y los hallazgos son reveladores:

1. Solo el 38% de las organizaciones remedió completamente las vulnerabilidades del KEV. Para las vulnerabilidades específicas de dispositivos de borde, la cifra subió al 54%, lo que sugiere que el mensaje sobre la criticidad de estos fallos está llegando. Pero para el universo general de vulnerabilidades identificadas en sus escaneos, apenas el 9% fue remediado por completo.
2. La mediana de tiempo para remediar completamente una vulnerabilidad del KEV fue de 38 días(32 días para el subconjunto de dispositivos de borde).
3. La mediana para que una vulnerabilidad del KEV sea explotada masivamente es de apenas 5 días desde su publicación. Para las vulnerabilidades de dispositivos de borde, esa mediana fue de cero días: 9 de las 17 vulnerabilidades analizadas fueron añadidas al KEV el mismo día o antes de su publicación como CVE.

La brecha entre 5 días para la explotación masiva y 38 días para la remediación completa deja una ventana de exposición de más de un mes. En ese período, los atacantes tienen vía libre.

¿Por qué el KEV es crítico para empresas en Panamá y Latinoamérica?

La BOD 22-01 es una directiva del gobierno estadounidense que aplica exclusivamente a las agencias federales civiles de ese país. Las organizaciones en Panamá, Colombia, México o cualquier otro país de la región no están bajo la jurisdicción de CISA ni tienen la obligación legal de cumplir con los plazos de remediación del KEV.

Sin embargo, las amenazas cibernéticas no respetan fronteras ni jurisdicciones.

Los mismos atacantes que explotan vulnerabilidades listadas en el KEV contra organizaciones estadounidenses operan globalmente. Las herramientas, técnicas y exploits que utilizan funcionan igual contra un servidor en Washington que contra uno en Ciudad de Panamá o Bogotá. La propia CISA reconoce esto al recomendar enfáticamente que todas las organizaciones, incluyendo el sector privado y gobiernos locales, utilicen el KEV como insumo para priorizar su gestión de vulnerabilidades.

Los datos regionales refuerzan esta recomendación. Según Check Point Research (diciembre 2025), las organizaciones en Latinoamérica registraron un promedio de 3,065 ciberataques por semana, un incremento interanual del 26% y la tasa más alta del mundo. El reporte X-Force 2025 de IBM posicionó a América Latina como la quinta región más atacada globalmente, identificando la explotación de aplicaciones expuestas públicamente como uno de los vectores de ataque más comunes en la región (25% de los incidentes). 

El impacto económico también es significativo. Según el Cost of a Data Breach Report 2025 de IBM, el costo promedio de una filtración de datos en América Latina fue de USD 3.81 millones. A nivel global, las brechas con ciclos de vida superiores a 200 días costaron USD 5.01 millones en promedio. El ESET Security Report 2025 complementa el panorama: el 27% de las organizaciones latinoamericanas encuestadas sufrió al menos un ciberataque en el último año, y el 22% fue víctima de ransomware. Adicionalmente, el Microsoft Digital Defense Report 2025 identifica a América Latina como blanco específico de campañas de robo de credenciales y reporta que el 18% de las brechas investigadas se iniciaron a través de activos web sin parchear.

En este contexto, contar con una herramienta gratuita y actualizada constantemente que identifica exactamente cuáles vulnerabilidades están siendo explotadas no es un lujo informativo: es una necesidad operativa.

Errores comunes al interpretar el KEV

Para aprovechar el KEV correctamente, es importante evitar algunos malentendidos frecuentes:

1. «Si no está en el KEV, no es urgente.» Falso. El KEV solo incluye vulnerabilidades con evidencia confirmada de explotación y acción de remediación disponible. Existen vulnerabilidades críticas que pueden estar siendo explotadas sin que CISA las haya verificado aún. El KEV es un piso de priorización, no un techo.
2. «El KEV reemplaza el CVSS.» No. Ambos son complementarios. El CVSS evalúa la severidad técnica intrínseca de una vulnerabilidad; el KEV confirma si está siendo explotada en la práctica. Una vulnerabilidad con CVSS medio pero presente en el KEV puede ser más urgente que una con CVSS crítico que nadie está explotando.
3. «El KEV solo aplica al gobierno de EE. UU.» La obligación legal sí. Pero la utilidad del catálogo es universal. Los datos del DBIR, que analizan organizaciones a nivel global, demuestran que las mismas vulnerabilidades del KEV están siendo explotadas contra empresas de todos los tamaños y regiones.

Recomendaciones prácticas para organizaciones en la región

Si su organización aún no utiliza el catálogo KEV como parte de su gestión de vulnerabilidades, estas son acciones concretas que puede implementar de inmediato:

• Acceda al catálogo: visite cisa.gov/known-exploited-vulnerabilities-catalog y familiarícese con su estructura. Puede descargar el catálogo completo en formato JSON o CSV para procesarlo internamente.
• Establezca un proceso de revisión: designe a un responsable de revisar las nuevas incorporaciones al KEV al menos semanalmente y cruzarlas con el inventario de software de su organización.
• Priorice agresivamente: si una vulnerabilidad del KEV afecta un sistema que usted opera, trátela como una emergencia. Recuerde que la mediana de explotación masiva es de 5 días según el DBIR, y que solo el 38% de las organizaciones remedia estas vulnerabilidades completamente.
• Incluya el KEV en sus evaluaciones de riesgo: si realiza pentesting o evaluaciones de vulnerabilidades periódicas, solicite que los hallazgos se crucen con el catálogo KEV para identificar los riesgos más inmediatos.
• No olvide los sistemas legados: el KEV demuestra que los atacantes explotan vulnerabilidades de hace años. Si opera sistemas antiguos que no pueden actualizarse, considere controles compensatorios como segmentación de red y monitoreo reforzado.

Conclusión

El catálogo KEV de CISA representa uno de los recursos más valiosos y subutilizados disponibles para los equipos de seguridad en Latinoamérica. Es gratuito, público, actualizado constantemente y respaldado por la capacidad de inteligencia de una de las agencias de ciberseguridad más importantes del mundo.

Los datos son contundentes: las vulnerabilidades del KEV se explotan masivamente en 5 días, pero las organizaciones tardan una mediana de 38 días en remediarlas. En América Latina, donde enfrentamos más de 3,000 ciberataques semanales por organización y el costo promedio de una filtración alcanza los USD 3.81 millones, cerrar esa brecha no es opcional.

Que la BOD 22-01 no aplique legalmente a nuestras organizaciones no reduce en nada la utilidad del catálogo. Los atacantes que explotan estas vulnerabilidades operan sin fronteras, y las empresas en Panamá y el resto de la región enfrentan las mismas amenazas. La diferencia está en si elegimos aprovechar esta inteligencia gratuita para protegernos o si la ignoramos hasta que sea demasiado tarde.

En GFS InfoSec ayudamos a organizaciones a implementar prácticas de gestión de vulnerabilidades efectivas, incluyendo el monitoreo del KEV como parte de nuestros servicios de administración segura y consultoría. Si desea evaluar cómo su organización está gestionando las vulnerabilidades que los atacantes realmente están explotando, contáctenos para una conversación inicial sin costo.