Hay una diferencia clara entre las organizaciones que reaccionan a los ciberataques y las que los anticipan. Las primeras esperan a que algo falle, las segundas ya saben qué van a parchear antes de que el atacante llame a la puerta.

Una de las herramientas que separa a unas de otras es el catálogo KEV de CISA (Known Exploited Vulnerabilities), un recurso que, bien utilizado, puede cambiar por completo la forma en que una empresa gestiona sus vulnerabilidades.

 

Qué es el catálogo KEV de CISA y por qué importa

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) mantiene una lista pública de vulnerabilidades que ya están siendo explotadas activamente por actores maliciosos. No son fallos teóricos ni riesgos hipotéticos, son brechas reales, con evidencias de uso en ataques reales.

El catálogo de vulnerabilidades explotadas conocidas se actualiza de forma continua. Cada vez que CISA incorpora una nueva entrada, está lanzando una señal de alerta. Por eso, para cualquier equipo de seguridad, este catálogo no es solo una referencia técnica, sino una lista de prioridades que conviene no ignorar.

Una señal que va más allá de las fronteras estadounidenses

Aunque la directiva que obliga a actuar sobre este catálogo, la Binding Operational Directive (BOD) 26-04, afecta principalmente a las agencias federales civiles de EE.UU., su utilidad no tiene fronteras. Cualquier empresa, con independencia de su tamaño o sector, puede usar el catálogo KEV de CISA como guía para decidir qué vulnerabilidades abordar primero.

El mensaje de fondo es sencillo, si ya hay actores maliciosos explotando un fallo, ese fallo sube al principio de la lista, por encima de otros con puntuaciones CVSS más altas pero sin evidencias de explotación activa.

 

El problema de priorizar sin datos reales

Una de las trampas más habituales en la gestión de vulnerabilidades es dejarse guiar únicamente por la puntuación de gravedad. El sistema CVSS asigna una puntuación numérica a cada vulnerabilidad, lo cual es útil, pero incompleto.

Gravedad teórica vs. riesgo real

Una vulnerabilidad con CVSS 9.8 puede llevar meses sin que nadie la explote activamente. Mientras tanto, otro fallo con CVSS 6.5 ya está siendo usado por grupos de ransomware para comprometer sistemas en producción. Si el equipo de seguridad ordena su lista de trabajo solo por gravedad, puede que esté dedicando recursos al problema equivocado.

Aquí es donde el catálogo KEV aporta algo que el CVSS no puede: contexto de explotación real. Saber que una vulnerabilidad está siendo empleada ahora mismo cambia su prioridad de forma inmediata, con independencia de su puntuación.

El volumen como obstáculo

El volumen de amenazas no deja de crecer exponencialmente, tan solo en 2025 se publicaron más de 48.000 nuevas vulnerabilidades (CVEs). Según los análisis del sector, esto supone un récord histórico que equivale a descubrir un promedio de 132 nuevos fallos de seguridad cada día. Ningún equipo de seguridad puede parchearlas todas al mismo ritmo al que aparecen. La priorización es la única forma de mantener la cabeza fuera del agua.

El catálogo KEV actúa como filtro, de esas decenas de miles de vulnerabilidades, señala cuáles tienen pruebas fehacientes de explotación activa. Eso convierte una lista inmanejable en algo operativo.

 

Cómo utilizan el catálogo KEV las organizaciones más maduras

Las organizaciones con una postura de seguridad más sólida no usan el catálogo KEV como una simple lista de tareas pendientes. Lo integran dentro de un proceso continuo de identificación, evaluación y respuesta.

Monitorización continua del catálogo

Las actualizaciones del catálogo son frecuentes y a veces urgentes. En junio de 2026, por ejemplo, CISA incorporó dos nuevas vulnerabilidades: un fallo de tipo path traversal en Cisco Catalyst SD-WAN Manager y una vulnerabilidad de seguimiento de enlaces simbólicos (symbolic link following) en el plugin LiteSpeed de cPanel. Ambas ya contaban con evidencias de explotación activa en el momento de su inclusión.

Las organizaciones que detectaron esas incorporaciones de forma inmediata pudieron actuar antes de que el problema se extendiera. Las que no tenían ningún sistema de alerta ante actualizaciones del catálogo KEV se enteraron más tarde o directamente no se enteraron.

Cruzar el catálogo con el conocimiento propio

Saber que existe una vulnerabilidad en un producto concreto solo es útil si se sabe si ese producto está en el entorno propio. Por eso, las empresas más preparadas cruzan continuamente las entradas del catálogo KEV con su inventario de activos.

Este proceso, que forma parte de lo que se conoce como Gestión Continua de la Exposición a Amenazas, permite responder a una pregunta concreta: ¿tenemos cerca algo que esté en la lista de CISA?

Contextualizar antes de actuar

No todas las vulnerabilidades del catálogo KEV afectan igual a todos los entornos. Un fallo en un producto que la organización no usa es, a efectos prácticos, irrelevante. Pero un fallo en un sistema crítico y expuesto a internet exige respuesta inmediata.

Las organizaciones más avanzadas no solo detectan la vulnerabilidad, la contextualizan. Evalúan si el activo afectado está expuesto, qué datos gestiona, qué impacto tendría su compromiso y qué opciones de mitigación existen más allá del parche (que a veces no es inmediatamente aplicable sin afectar la operativa).

Te puede interesar-> Gestión de vulnerabilidades en tiempo real: un paso adelante en ciberseguridad.

 

CTEM: el marco que lo une todo

CTEM es el enfoque que permite convertir el catálogo KEV de CISA en algo accionable dentro de una organización. No se trata de hacer un análisis de vulnerabilidades una vez al año; se trata de tener visibilidad permanente sobre la superficie de exposición y actuar de forma proporcional al riesgo real.

Este enfoque estructura el proceso en cinco fases: definición del alcance, descubrimiento de activos y vulnerabilidades, priorización basada en riesgo real, validación y movilización para la remediación. El catálogo KEV alimenta directamente la fase de priorización.

 

Kartos y Qondar: cibervigilancia orientada al riesgo real

Desde Enthec desarrollamos dos soluciones de cibervigilancia diseñadas precisamente bajo este marco CTEM. Kartos, orientada a empresas, proporciona visibilidad continua sobre la exposición externa de la organización, detectando activos comprometidos, credenciales filtradas, vulnerabilidades explotables y amenazas activas antes de que se materialicen en un incidente.

Qondar cuenta con las mismas funcionalidades, pero para el ámbito individual, protegiendo la identidad digital de personas expuestas a riesgos específicos.

Ambas soluciones integran fuentes de inteligencia de amenazas para ofrecer alertas contextualizadas y priorizadas. El objetivo no es generar ruido, sino señalar lo que de verdad importa en cada momento.

¿Quieres saber cuál es la exposición real de tu organización? Contacta con nosotros y descubre qué ve un atacante cuando busca vulnerabilidades en tu empresa.

El catálogo KEV de CISA es una de las herramientas de inteligencia sobre amenazas más valiosas y accesibles que existen hoy. Su valor no está en el volumen de entradas, sino en la calidad de la señal que emite. Estas vulnerabilidades no son teóricas, son las que los atacantes están usando ahora mismo.

Las organizaciones que saben aprovechar el catálogo de vulnerabilidades explotadas conocidas dentro de un proceso continuo de gestión de la exposición tienen una ventaja real frente a quienes gestionan la seguridad de forma reactiva. La diferencia no está en tener más herramientas, sino en saber qué mirar y cuándo actuar.

Y eso, en ciberseguridad, es lo que separa a quienes contienen los incidentes de quienes los padecen.