El tan esperado programa de Certificación de Modelo de Madurez de Ciberseguridad (CMMC) del Departamento de Defensa de los Estados Unidos entró oficialmente en su fase de aplicación el 10 de noviembre de 2025.
Introducido como una enmienda al Suplemento de la Regulación Federal de Adquisiciones de Defensa (DFARS), el programa CMMC requiere que los contratistas y subcontratistas de defensa implementen medidas específicas de ciberseguridad para proteger la información confidencial.
El Departamento de Defensa, también conocido como el Departamento de Guerra, ahora puede ordenar el cumplimiento de CMMC como condición para los nuevos contratos de base industrial de defensa (DIB).
El objetivo es garantizar que los contratistas y subcontratistas puedan proteger la Información Federal del Contrato (FCI) y la Información No Clasificada Controlada (CUI). FCI es información no destinada a la divulgación pública que es proporcionada o generada por un contratista. CUI es información gubernamental confidencial que no está clasificada, pero que aún requiere protección contra divulgaciones no autorizadas.
Durante los últimos ocho años, a los contratistas se les ha permitido autocertificar el cumplimiento de la ciberseguridad, pero ahora algunas organizaciones también tendrán que someterse a una evaluación formal por parte de una organización de evaluadores de terceros certificada (C3PAO).
Dependiendo de la sensibilidad de la información que manejen, los contratistas deben cumplir con uno de los tres niveles de vencimiento de CMMC.
El nivel 1, que cubre la protección básica de la FCI, requiere una autoevaluación anual y el cumplimiento de 15 requisitos. El nivel 2, que cubre la protección amplia de CUI, puede requerir una autoevaluación o una evaluación realizada por un C3PAO para garantizar el cumplimiento de los 110 requisitos especificados en el marco de ciberseguridad NIST SP 800-171.
El nivel 3 es para una mayor protección de CUI contra amenazas persistentes avanzadas (APT). Requiere una evaluación por parte del Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC) de la Agencia de Gestión de Contratos de Defensa cada tres años, y el cumplimiento de los 110 requisitos del NIST SP 800-171 y 24 requisitos adicionales del NIST SP 800-172 (requisitos de seguridad mejorados).
El 10 de noviembre de 2025 marca el inicio de la primera fase de la implementación de CMMC, y los contratistas deben completar las autoevaluaciones de Nivel 1 y Nivel 2. En la segunda fase, que está programada para comenzar el 10 de noviembre de 2026, los contratistas deberán completar las evaluaciones de terceros para las certificaciones de nivel 2 para nuevos contratos.
La tercera fase está programada para el 10 de noviembre de 2027, e introducirá los requisitos de nivel 3. La cuarta y última fase está fijada para el 10 de noviembre de 2028, e implica la plena implementación de los requisitos de CMMC en todos los contratos aplicables.
Mientras que los niveles 1 y 2 incluyen autoevaluaciones, los contratistas se exponen a riesgos significativos si son sorprendidos tergiversando el cumplimiento. No es raro que los contratistas de defensa paguen millones de dólares por sus fallas en ciberseguridad. La lista incluye MORSE, Aerojet Rocketdyne y Raytheon/Nightwing.
“Este es un evento a nivel de GDPR”, dijo Shrav Mehta, CEO de Secureframe, una empresa que ofrece servicios de cumplimiento de CMMC y que publicó una guía esta semana.
“Muchos contratistas de defensa todavía están usando correos electrónicos personales o soluciones comerciales que no cumplen con el listón para almacenar información clasificada, a menudo empresas manufactureras sin departamentos de TI”, explicó Mehta. “Ahí es donde está la verdadera vulnerabilidad: no con los grandes contratistas principales, sino con los subcontratistas que no tienen los recursos o la experiencia para asegurar estos datos solos”.
Un informe publicado a finales de septiembre por el proveedor de servicios de cumplimiento de ciberseguridad del Departamento de Defensa, CyberSheath, mostró que solo el 1 % de los contratistas de defensa se habían sentido totalmente preparados para CMMC, una disminución del 4 % en 2024.
“Ochenta mil contratistas de defensa necesitan certificación de Nivel 2, sin embargo, solo 270 de estas organizaciones actualmente tienen los certificados finales de CMMC”, dijo Emil Sayegh, CEO de CyberSheath, en ese momento. “Las matemáticas son simples y alarmantes. Los contratistas que no estén preparados serán bloqueados de miles de millones en contratos del Departamento de Salud, mientras que sus competidores que invirtieron en cumplimiento real y ciberseguridad capturan el negocio”.
En respuesta a la aplicación de la CMMC, las empresas de ciberseguridad han lanzado nuevos productos y actualizado las plataformas existentes para ayudar a las empresas a cumplir. Las ofertas de cumplimiento de CMMC fueron anunciadas en los últimos días por AWS y Wiz (asociación), Huntress, Strike Graph, USX Cyber y Sensiba.
Fuente principal: Security Week
