CISA fija plazo de tres días para que agencias de EE.UU. corrijan vulnerabilidades críticas explotadas

Qué pasó

El 11 de junio de 2026, la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) publicó la Directiva Operativa Vinculante 26-04 (BOD 26-04), mediante la cual ordena a las agencias del Ramo Ejecutivo Civil Federal (FCEB, por su sigla en inglés) priorizar la corrección de vulnerabilidades explotadas activamente. La nueva directiva sustituye y deroga las anteriores BOD 19-02 y BOD 22-01, emitidas en 2019 y 2021, respectivamente, en el marco de una actualización integral de los procedimientos de gestión de riesgos.

El organismo determinó que la priorización de las correcciones se sustentará en cuatro criterios principales: que el activo afectado esté expuesto públicamente en internet; que la vulnerabilidad figure en el catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de CISA; que la explotación pueda automatizarse para ataques a gran escala; y que la explotación otorgue a los atacantes un control parcial o total del sistema. La combinación de estos factores determina el plazo de remediación aplicable a cada caso.

El plazo más breve fijado por la directiva es de tres días, reservado para las situaciones más críticas donde la explotación es automatizable o permite comprometer completamente un sistema. Para escenarios de menor urgencia, donde la explotación no puede automatizarse o solo entrega acceso parcial, el plazo se extiende a dos semanas. La normativa contempla también un período de dos semanas para aquellas vulnerabilidades que no figuren en el catálogo KEV pero que estén expuestas a internet.

En cuanto al alcance, la BOD 26-04 se aplica exclusivamente a las agencias del Ramo Ejecutivo Civil Federal y a los sistemas de información que estas operan. Quedan fuera de su jurisdicción ciertos sistemas militares dependientes del Departamento de Guerra, los sistemas de la Comunidad de Inteligencia, los contratistas privados y las empresas del sector privado. No obstante, CISA anticipó que el marco regulatorio influirá como referencia para la industria de ciberseguridad en su conjunto.

Las agencias vinculadas a la directiva disponen de 60 días para actualizar sus procesos de gestión de vulnerabilidades utilizando datos de CVE y KEV como base para las decisiones de remediación. Adicionalmente, en un plazo de 180 días deberán cumplir los nuevos cronogramas de corrección, mantener inventarios actualizados de activos y reportar de manera continua y automatizada el estado de las vulnerabilidades conocidas explotadas. La directiva cubre sistemas federales en infraestructura local, entornos de terceros y servicios en la nube, tanto certificados bajo FedRAMP como no certificados.

Contexto

Las Directivas Operativas Vinculantes constituyen el instrumento regulatorio más exigente con que CISA cuenta para exigir acciones a las entidades federales de Estados Unidos. Su evolución desde 2019 refleja la maduración del enfoque gubernamental frente a un escenario de amenazas cibernéticas cada vez más sofisticado, marcado por el aumento de ataques de ransomware, operaciones de espionaje respaldadas por Estados y la explotación masiva de vulnerabilidades de día cero.

El catálogo KEV, creado en noviembre de 2021, se transformó en una referencia obligada para la industria al concentrar las vulnerabilidades que cuentan con evidencia de explotación activa. Organizaciones públicas y privadas de múltiples países lo utilizan como insumo principal para sus procesos de priorización, lo que le confiere un carácter de estándar de facto más allá de las fronteras estadounidenses. La incorporación explícita del KEV como criterio central de la nueva directiva consolida esta tendencia.

En paralelo, la industria tecnológica y los proveedores de servicios gestionados han incorporado gradualmente plazos de remediación más cortos en sus contratos, en respuesta tanto a exigencias regulatorias como a la presión derivada de incidentes de alto impacto. Empresas del sector financiero, telecomunicaciones y energía en economías desarrolladas ya operan con ventanas de respuesta inferiores a una semana para vulnerabilidades críticas, lo que marca un estándar creciente en el mercado global.

La decisión de CISA se produce, además, en un contexto de mayor coordinación internacional en materia de ciberseguridad, con la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y organismos equivalentes en Reino Unido, Australia y Canadá adoptando enfoques comparables. La convergencia regulatoria apunta a reducir los tiempos de exposición de las organizaciones frente a amenazas conocidas, en un escenario donde el tiempo entre la divulgación de una vulnerabilidad y su explotación efectiva se ha reducido a cuestión de horas.

Impacto para empresas chilenas

Si bien la Directiva BOD 26-04 no tiene jurisdicción sobre empresas chilenas, el mercado local debe considerarla como una señal de referencia, particularmente las compañías que forman parte de cadenas de suministro de entidades estadounidenses o que operan bajo estándares internacionales como ISO 27001 o SOC 2. Para estas organizaciones, alinearse con los plazos definidos por CISA puede convertirse en un requisito contractual creciente durante los próximos años.

En el segmento de pequeñas y medianas empresas (pymes) chilenas, la gestión de vulnerabilidades suele presentar brechas relevantes, con inventarios de activos incompletos, procesos de parchado reactivos y escasa automatización. La realidad del mercado local, donde predominan equipos de TI con recursos limitados, hace que la adopción de plazos de tres días para vulnerabilidades críticas represione un desafío operativo significativo, aunque no imposible mediante el uso de servicios gestionados y herramientas automatizadas.

Empresas proveedoras de servicios en la nube, software como servicio (SaaS) y consultoría en ciberseguridad con presencia en Chile tienen la oportunidad de ofrecer soluciones alineadas con el marco regulatorio estadounidense, diferenciándose en un mercado donde la oferta de servicios de gestión de vulnerabilidades aún se encuentra en etapa de consolidación. La creciente sofisticación de los ataques dirigidos a la región refuerza la demanda por este tipo de capacidades.

Finalmente, la banca, las administradoras de fondos de pensiones, las empresas de telecomunicaciones y otras industrias reguladas por la Comisión para el Mercado Financiero (CMF) y otros organismos sectoriales chileno deben evaluar la incorporación de criterios similares a los de CISA en sus propias políticas internas, en línea con las mejores prácticas internacionales y como mecanismo de protección frente a incidentes que puedan afectar su continuidad operativa y reputación.

Qué sigue

La implementación efectiva de la BOD 26-04 durante los próximos meses será observada de cerca por organismos regulatorios de otros países, que evalúan la posibilidad de adoptar marcos similares. El éxito de CISA en la reducción de los tiempos de exposición a vulnerabilidades explotadas podría acelerar la tendencia global hacia plazos de remediación más exigentes, con efectos en proveedores de tecnología y prestadores de servicios de ciberseguridad.

Para Chile y la región, el desafío inmediato es avanzar hacia una mayor madurez en la gestión de vulnerabilidades, incorporando inventarios automatizados, monitoreo continuo y procesos formales de priorización. La convergencia regulatoria internacional sugiere que las organizaciones que adopten proactivamente estos estándares estarán mejor posicionadas para enfrentar tanto el aumento de amenazas como las crecientes exigencias de sus clientes y socios comerciales.