El identificador CVE (anteriormente conocido como número CVE) es un sistema de identificación de vulnerabilidades o exposiciones de seguridad informática conocidas públicamente. Fue creado en 1999 por el equipo CVE de MITRE Corporation del gobierno de los Estados Unidos como respuesta a la creciente gravedad de los incidentes de seguridad. El número lo asigna un software llamado Generador de identificadores CVE, que indexa y asigna números de identificación CVE para cualquier vulnerabilidad o exposición conocida.
Un identificador CVE suele tener el formato CVE-año-número. Por ejemplo, CVE-2020-3463 es un identificador válido para el año 2020. Este número nunca se reutilizará y se puede aplicar universalmente en diferentes sistemas operativos, software o hardware. A veces también se le conoce como número CVE.
El objetivo de un identificador CVE es proporcionar una forma estándar y coherente de hacer referencia a las vulnerabilidades de seguridad del software conocidas, lo que facilita a los departamentos de TI hacer referencia al problema y rastrear e informar automáticamente las vulnerabilidades. Un identificador CVE se compone de detalles estandarizados sobre la vulnerabilidad o exposición, como su nombre, descripción y gravedad o nivel de riesgo.
El sistema de identificación es de código abierto y está disponible gratuitamente para el público, lo que lo convierte en uno de los estándares más utilizados para la identificación de incidentes de seguridad. Se utiliza de diversas formas, incluida la investigación de seguridad, la gestión de vulnerabilidades y otras tareas de seguimiento e informes. El sistema de identificador lo mantiene el equipo CVE de MITRE Corporation y se actualiza frecuentemente con vulnerabilidades recién descubiertas.
Se anima a todas las organizaciones y usuarios de sistemas informáticos que buscan proteger su tecnología y sus datos a utilizar y hacer referencia a los identificadores CVE cuando analicen problemas de seguridad conocidos. De esta manera, las organizaciones pueden ayudar a garantizar la concientización e implementar rápidamente planes de acción para corregir la vulnerabilidad expuesta. Como referencia, la lista oficial de CVE se puede encontrar en https://cve.mitre.org/.
