GCVE: qué es y por qué Europa quiere su propia alternativa al CVE

GCVE: qué es y por qué Europa quiere su propia alternativa al CVE

Noticias 4 min de lectura Por hellc2

El CVE no necesita presentación. Llevas años usándolo a diario: cuando parcheas, cuando revisas advisories, cuando metes un identificador en tu herramienta de turno. Es el estándar que todo el mundo da por sentado. El problema es que «todo el mundo» lleva décadas confiando en una infraestructura gestionada por MITRE, una organización americana que vive de la financiación del gobierno de Estados Unidos. Y si ese grifo se cierra o se recorta, el ecosistema global de vulnerabilidades se queda cojo de golpe.

No es una amenaza teórica. En los últimos años ha habido más de un susto con los presupuestos de MITRE, y eso ha puesto a mucha gente nerviosa. Con razón.

La respuesta europea a todo esto se llama GCVE (Global CVE Allocation System) y está en gcve.eu. No es un paper ni un grupo de trabajo: lleva en marcha desde abril de 2025 y ya tiene más de 20 organizaciones adheridas, entre ellas Red Hat, Siemens, Cisco o la propia base de datos europea de vulnerabilidades de ENISA.

¿Qué cambia respecto al CVE de toda la vida?

Lo principal es la arquitectura. El CVE clásico es centralizado: MITRE decide quién puede emitir identificadores, asigna bloques y controla el proceso. Si hay un problema arriba, el cuello de botella lo nota todo el mundo.

GCVE es descentralizado. Cada organización emisora gestiona sus propios identificadores de forma autónoma, sin esperar a que nadie les asigne bloques ni les dé permiso. El formato es muy similar al CVE pero incluye un prefijo que identifica quién lo ha emitido:

GCVE-[emisor]-[año]-[identificador único]

Por ejemplo, GCVE-0-2023-40224 es el CVE-2023-40224 mapeado al nuevo sistema (el prefijo 0 está reservado para los CVE existentes, así que la compatibilidad hacia atrás está garantizada). Y cualquier herramienta que ya trabaje con CVE puede generar su equivalente GCVE de forma automática. No hay que tirar nada ni rehacer nada.

¿Quién hay detrás?

El proyecto lo lleva el Centro de Respuesta a Incidentes de Luxemburgo (CIRCL), que es también quien mantiene el software de gestión de vulnerabilidades que sirve de motor al sistema. Entre las organizaciones ya adheridas están Red Hat, Siemens, Cisco Talos —con el número de organismo 31337, guiño incluido para quien lo pille—, la base de datos de vulnerabilidades europea de ENISA o VulDB. No son precisamente desconocidos: son los que publican buena parte de los advisories que seguramente ya tienes en tus feeds.

¿Por qué ahora?

Dos razones. La primera ya la hemos dicho: la inestabilidad de la financiación de MITRE ha dejado claro que depender de una sola infraestructura controlada desde un solo gobierno es un riesgo que no tiene mucho sentido asumir en 2025.

La segunda es más de fondo: Europa lleva tiempo intentando no depender de infraestructuras digitales críticas que no controla. Lo hemos visto con el cloud, con el software de administración pública, con los chips. La gestión de vulnerabilidades era otro flanco abierto, y con GCVE lo tapan de una forma bastante elegante: sin romper nada, manteniendo compatibilidad y apostando por la descentralización en lugar de montar otro silo centralizado pero con bandera europea.

¿Cómo te conviertes en organismo emisor?

Si tu organización ya está reconocida como emisora en el programa CVE, puedes pasarte a GCVE directamente. Si no, también pueden acceder equipos de respuesta a incidentes certificados a nivel europeo o internacional, o proveedores de software y hardware con política pública de divulgación de vulnerabilidades. El proceso es sencillo: mandas un email a gna@gcve.eu con los datos de tu organización y listo. El registro de todos los organismos emisores es público y está en gcve.eu.

¿Tengo que hacer algo ya?

Probablemente no de forma urgente. El CVE sigue funcionando y seguirá haciéndolo durante mucho tiempo. Pero si gestionas vulnerabilidades, usas herramientas que consumen datos de CVE o simplemente te interesa saber hacia dónde va el ecosistema europeo de ciberseguridad, vale la pena echarle un ojo ahora que el proyecto está arrancando.

El enfoque técnico es sólido, la compatibilidad retroactiva está resuelta y el respaldo institucional es real. Para una vez que Europa hace algo en este espacio sin esperar diez años, parece que lo han pensado bien.

Web oficial: gcve.eu

Inicia la conversación

¡Inicia la conversación!

Sé el primero en compartir tu opinión. Tu comentario puede ayudar a otros.

¿Quieres seguir la conversación? Únete a nuestro canal de Telegram

Si tienes una cuenta en Sinologic, no necesitas rellenar estos campos. Regístrate gratis · Iniciar sesión

Artículos relacionados
Asterisk Próxima WHYFLOSS: 8 y 9 de Mayo 13 Abr 2008 2 min de lectura
awesome-spain: software variado open source para España
Software Libre awesome-spain: software variado open source para España 22 Mar 2026 1 min de lectura
Noticias Francia abandona Windows y migra a Linux: 2,5 millones de funcionarios, la mayor migración de la historia en Europa 10 Abr 2026 11 min de lectura
Comunidad abierta

Únete a la comunidad Sinologic

Crea tu cuenta gratuita y participa en las conversaciones sobre VoIP, Asterisk, Kamailio y telecomunicaciones IP.

Nombre verificado Tu nombre aparece con insignia de miembro en cada comentario.
🔔
Notificaciones Recibe avisos cuando alguien responda a tus comentarios.
👍
Reacciones Reacciona con emojis a los comentarios de otros usuarios.
👤
Perfil personalizable Avatar, bio, enlaces a tu Twitter, GitHub y Telegram.
📬
Newsletter exclusivaPróximamente Contenido técnico y novedades directamente en tu bandeja.
🧪
Acceso anticipadoPróximamente Prueba herramientas y funciones antes que nadie.
Crear cuenta gratuita