Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Soberanía de datos en la Base Industrial de Defensa: Lo que los contratistas deben saber

Soberanía de datos en la Base Industrial de Defensa: Lo que los contratistas deben saber

by Danielle Barbour updated marzo 4, 2026 Cumplimiento CMMC
Reading Time: 9 minutes

Para la mayoría de las industrias, el cumplimiento de la soberanía de los datos se reduce a una cuestión geográfica: ¿dónde puede residir la información y bajo qué leyes gubernamentales se rige? Para los contratistas de defensa, esa pregunta es necesaria pero no suficiente. La soberanía en la Base Industrial de Defensa (DIB) opera en dos vías simultáneamente: restricciones geográficas sobre dónde puede residir la información controlada y restricciones basadas en autorizaciones sobre quién puede acceder a ella, incluyendo a extranjeros dentro de Estados Unidos. Un error en cualquiera de estas vías no genera una multa regulatoria, sino la pérdida de contratos, posible inhabilitación y, en casos graves, responsabilidad penal.

En este artículo se explica cómo funciona la soberanía de los datos de defensa, en qué se diferencia de otros sectores, qué marcos la hacen cumplir y qué controles realmente satisfacen ambas vías.

Resumen Ejecutivo

Idea principal: La soberanía de los datos de los contratistas de defensa opera en dos vías. La primera es geográfica: la CUI y los datos técnicos controlados por ITAR deben residir en infraestructura bajo jurisdicción estadounidense, y los proveedores de nube sujetos a leyes de acceso de gobiernos extranjeros generan exposición directa de soberanía sin importar la ubicación del servidor. La segunda es basada en autorizaciones: ITAR restringe el acceso a datos técnicos controlados por parte de personas extranjeras, sin importar la geografía; es un requisito de soberanía basado en la persona, sin equivalente en GDPR, HIPAA ni ningún marco civil. CMMC, ITAR y FedRAMP son los mecanismos de cumplimiento que rigen ambas vías.

Por qué te debe importar: Para 2026, todos los contratos del DoD requieren la certificación CMMC correspondiente. Las infracciones de ITAR pueden acarrear multas de hasta 1 millón de dólares por infracción y responsabilidad penal para los ejecutivos. No cumplir significa pérdida de contratos e inhabilitación en el mercado de defensa, no una multa que puedas asumir.

Puntos Clave

  1. La soberanía de los datos de defensa tiene dos dimensiones que los marcos civiles no contemplan. Las restricciones geográficas determinan dónde puede residir la CUI. Las restricciones basadas en la persona determinan quién puede acceder a ella, incluyendo extranjeros dentro de EE. UU. La mayoría de los marcos civiles solo abordan la primera.
  2. El CLOUD Act crea un riesgo de soberanía geográfica incluso para datos almacenados en el país. La CUI en un proveedor de nube con sede en EE. UU. está sujeta a requerimientos del gobierno estadounidense sin importar en qué país esté el servidor. El cifrado gestionado por el cliente es el único control que elimina esta brecha.
  3. La regla de exportación implícita de ITAR extiende la soberanía a la fuerza laboral. Mostrar datos técnicos controlados por ITAR a un empleado extranjero en EE. UU. es legalmente equivalente a exportarlos a su país de origen, sin que sea necesario mover físicamente los datos.
  4. CMMC es un mandato de soberanía en la cadena de suministro, no solo un requisito para contratistas. La postura de soberanía de un contratista principal se ve comprometida si algún subcontratista almacena CUI en infraestructura no conforme o expuesta a gobiernos extranjeros.
  5. El cifrado gestionado por el cliente une la soberanía geográfica y de autorizaciones. Si el proveedor de nube no tiene las claves de descifrado, una solicitud gubernamental solo obtiene datos cifrados e inaccesibles. El soporte BYOK/BYOE de la Red de Datos Privados de Kiteworks cierra esta brecha para los contratistas de defensa.

Cómo la soberanía de los datos de defensa difiere de otras industrias

En salud, servicios financieros y empresas en general, la soberanía de los datos es principalmente geográfica: la información sobre personas en una jurisdicción está sujeta a las leyes de esa jurisdicción, a menudo debe permanecer dentro de sus fronteras y puede ser accedida por su gobierno bajo procesos legales definidos. GDPR, HIPAA y la PIPL de China se organizan en torno a dónde reside la información y qué derechos tienen los individuos sobre ella. Defensa comparte esa vía geográfica, pero añade restricciones de acceso basadas en la persona, sin paralelo civil:

Dimensión Defensa (DIB) Salud Servicios Financieros
Disparador principal de soberanía Tipo de dato (CUI, datos técnicos ITAR) + quién puede acceder Ubicación del titular de los datos; sensibilidad de los datos (PHI) Ubicación del titular de los datos; reglas de residencia específicas del sector
Requisito geográfico Infraestructura bajo jurisdicción estadounidense; nube autorizada por FedRAMP para CUI Residencia específica por jurisdicción (GDPR, leyes nacionales de salud) Residencia específica por jurisdicción (GDPR, regulaciones sectoriales)
Restricción basada en la persona Sí — ITAR prohíbe el acceso de extranjeros a datos técnicos controlados, sin importar la ubicación No — cualquier usuario autorizado puede acceder sin importar la nacionalidad No — cualquier usuario autorizado puede acceder sin importar la nacionalidad
Mecanismo de cumplimiento Certificación CMMC, licencias ITAR, autorización FedRAMP, cláusulas contractuales DFARS Aplicación de HIPAA, multas de la autoridad supervisora GDPR Multas de reguladores sectoriales, aplicación de GDPR
Consecuencia de infracción Pérdida de contrato, inhabilitación, sanciones ITAR de hasta $1M/infracción, responsabilidad penal Multas económicas, restricciones operativas, daño reputacional Multas económicas, restricciones de acceso al mercado

La combinación de ambas vías —requisitos de residencia geográfica y restricciones de acceso basadas en la persona— a lo largo de una cadena de suministro multinivel hace que defensa sea el entorno de soberanía más complejo en el que puede operar cualquier organización.

Cumplimiento CMMC 2.0 Hoja de Ruta para Contratistas DoD

Leer ahora

Vía 1: ¿Dónde puede residir la información de defensa?

La cuestión de la soberanía geográfica para los contratistas de defensa se centra en una preocupación específica: asegurar que los datos de defensa controlados no puedan ser alcanzados por gobiernos extranjeros o actores adversarios a través de la infraestructura en la que se almacenan. Esto va más allá de elegir un centro de datos en el país correcto.

El requisito de infraestructura

La Información No Clasificada Controlada debe residir en sistemas que cumplan los requisitos de cumplimiento CMMC 2.0. Para implementaciones en la nube, esto significa cumplimiento FedRAMP: la validación del gobierno federal de que los controles de seguridad, prácticas de residencia de datos y gestión de accesos del proveedor de nube cumplen los estándares requeridos para la CUI. Un contratista de defensa que use nube no autorizada por FedRAMP para CUI tiene una brecha de soberanía sin importar dónde estén los servidores de ese proveedor. Más allá de la autorización, las regulaciones de adquisiciones del DoD prohíben explícitamente cierta infraestructura de telecomunicaciones extranjera: un proveedor con propiedad china o rusa, incluso a través de una subsidiaria, genera exposición de acceso gubernamental extranjero que ninguna política de cumplimiento puede eliminar.

El problema del CLOUD Act

El CLOUD Act de EE. UU. permite a las fuerzas del orden estadounidenses exigir a proveedores de nube con sede en EE. UU. que entreguen datos de clientes almacenados en cualquier parte del mundo. Para los contratistas de defensa, esto crea una doble exposición: los datos con un proveedor de nube estadounidense están sujetos a requerimientos del gobierno de EE. UU. sin importar la geografía; los datos con un proveedor extranjero pueden estar sujetos a las leyes de acceso de ese país. El cumplimiento de residencia de datos establece dónde vive la información; el cifrado gestionado por el cliente establece que solo las partes autorizadas pueden leerla. Si el contratista posee todas las claves de descifrado mediante BYOK o BYOE, una solicitud bajo el CLOUD Act al proveedor solo entrega datos cifrados e inaccesibles.

Vía 2: ¿Quién puede acceder a la información de defensa?

Aquí es donde la soberanía de los datos de defensa se diferencia radicalmente de los marcos civiles. Las reglas para personas extranjeras de ITAR tratan quién puede acceder a los datos controlados como una cuestión de soberanía —no solo de seguridad— con obligaciones de cumplimiento sin equivalente en GDPR, HIPAA ni ningún marco sectorial.

La regla de exportación implícita de ITAR

El cumplimiento de ITAR exige comprender que «persona extranjera» significa cualquiera que no sea ciudadano estadounidense, residente legal permanente o individuo protegido según la Ley de Inmigración y Nacionalidad. La regla de exportación implícita considera que permitir a un extranjero acceder a datos técnicos controlados por ITAR dentro de EE. UU. es legalmente equivalente a exportarlos a su país de origen, activando los mismos requisitos de licencia que enviarlos físicamente al extranjero. No se requiere movimiento de datos. No se requiere una brecha. El acceso en sí es la infracción.

Esto genera obligaciones de soberanía en la fuerza laboral sin paralelo civil. Los contratistas de defensa deben saber no solo quién tiene acceso al sistema, sino la ciudadanía de cada persona que pueda encontrarse con datos técnicos controlados, y eso se extiende al personal del proveedor de nube: si los administradores de sistemas del proveedor incluyen extranjeros con acceso a nivel de infraestructura donde residen datos controlados por ITAR, eso es una posible infracción de exportación implícita.

Las tres categorías de datos y sus reglas de acceso

Las tres principales categorías de datos de defensa conllevan obligaciones de soberanía distintas:

Categoría de datos Definición Marco regulador Restricción clave de acceso
Información sobre Contratos Federales (FCI) Información proporcionada por o generada para el gobierno bajo un contrato, no destinada a divulgación pública FAR 52.204-21, CMMC Nivel 1 No debe divulgarse fuera de la relación contractual; se requieren controles básicos de acceso
Información No Clasificada Controlada (CUI) Información sensible designada por el gobierno que requiere protección según ley, regulación o política DFARS 252.204-7012, CMMC Nivel 2, cumplimiento NIST 800-171 Acceso según necesidad; infraestructura autorizada por FedRAMP para nube; conjunto completo de controles CMMC Nivel 2
Datos Técnicos ITAR Información relacionada directamente con artículos de defensa en la Lista de Municiones de EE. UU.: esquemas, diseños, especificaciones, software Cumplimiento ITAR, supervisado por el Departamento de Estado (DDTC) No acceso por personas extranjeras (solo personas estadounidenses salvo licencia de exportación); categoría más restrictiva

El marco de cumplimiento

CMMC 2.0 es el mandato de soberanía en la cadena de suministro. Todo contratista DIB que maneje CUI debe implementar y demostrar —mediante evaluación de terceros en Nivel 2— controles sobre acceso, cifrado, registro de auditoría y respuesta a incidentes. Los 110 controles de Nivel 2 se alinean con el cumplimiento NIST 800-171; los 145 controles de Nivel 3, basados en NIST 800-172, abordan los programas más críticos. Para 2026, todos los contratos DoD que requieran manejo de CUI exigen la certificación correspondiente; la elegibilidad contractual es la consecuencia de cumplimiento.

ITAR, supervisado por la Dirección de Controles de Comercio de Defensa del Departamento de Estado, regula la exportación y transferencia de artículos de defensa y datos técnicos en la Lista de Municiones de EE. UU. Es un marco basado en la persona, mientras que CMMC es basado en controles: las sanciones pueden llegar a $1 millón por infracción, inhabilitación y responsabilidad penal para ejecutivos. Un contratista puede cumplir todos los controles CMMC y aun así incurrir en una infracción ITAR si permite que un empleado extranjero acceda a un esquema de sistema de armas.

El cumplimiento FedRAMP es la validación de soberanía geográfica para infraestructura en la nube. DFARS 252.204-7012 y FAR 52.204-21 son la capa contractual de cumplimiento, incorporando el cumplimiento NIST 800-171 en los términos del contrato y añadiendo una obligación de reporte de incidentes en 72 horas. No cumplir con DFARS puede activar responsabilidad bajo la Ley de Reclamos Falsos, no solo la terminación del contrato.

Errores comunes de los contratistas de defensa en soberanía de datos

El problema del proveedor de nube. Usar nube comercial sin autorización FedRAMP para CUI, o sin cifrado gestionado por el cliente, deja expuestas ambas vías de soberanía. El caso de Microsoft BitLocker —donde Microsoft confirmó que proporcionó al FBI las claves de cifrado para desbloquear dispositivos de clientes— ilustra el problema estructural: cuando un proveedor de nube tiene tus claves de cifrado, cualquier requerimiento puede acceder a tu CUI. Infraestructura autorizada por FedRAMP más cifrado gestionado por el cliente es la combinación requerida.

El problema del empleado extranjero. Los contratistas de defensa con fuerza laboral internacional que dependen de políticas y no de controles técnicos para restringir el acceso ITAR están a una mala configuración de sistema de una infracción de exportación implícita. Los controles de acceso basados en roles y el DRM a nivel de documento son la implementación técnica de la regla de exportación implícita, no sustitutos de ella.

El problema de la cadena de suministro. Un contratista principal puede estar completamente certificado en CMMC y aun así compartir CUI con un subcontratista que no lo está. La encuesta 2025 de Kiteworks a 104 organizaciones que buscan CMMC reveló que el 62% carecía de controles de gobernanza integral y solo el 22% implementó requisitos contractuales de seguridad con proveedores. Las cláusulas contractuales documentan la obligación, pero los controles técnicos son los que la hacen cumplir. Consulta la lista de verificación de cumplimiento CMMC para un desglose completo de los requisitos de la cadena de suministro.

El problema de la colaboración. El uso compartido estándar de archivos con proveedores, socios o aliados extranjeros bajo licencia de exportación transfiere los datos al entorno del destinatario y a su jurisdicción. Las herramientas de colaboración sin posesión, que muestran documentos sin transferir archivos, eliminan por completo el riesgo de soberanía.

Cómo Kiteworks resuelve la soberanía de los datos de defensa

La soberanía de los datos de defensa es un problema de dos vías. La vía geográfica —dónde reside la información, en qué infraestructura, qué gobierno puede exigir acceso— se parece a las preocupaciones de soberanía de GDPR o HIPAA, con autorización FedRAMP y cifrado gestionado por el cliente como controles principales. La vía de autorizaciones —la prohibición de ITAR al acceso de personas extranjeras sin importar la geografía— no tiene equivalente civil y requiere controles técnicos que la política por sí sola no puede garantizar.

La Red de Datos Privados de Kiteworks resuelve ambas vías de soberanía a través de una plataforma única diseñada para la DIB.

En la vía geográfica: el cumplimiento FedRAMP con autorización Moderada proporciona la base validada de infraestructura en la nube para la CUI. Una arquitectura de tenencia única elimina la mezcla de datos. El cifrado gestionado por el cliente (BYOK/BYOE) con cifrado FIPS 140-3 Nivel 1 validado, AES-256 en reposo y TLS 1.3 en tránsito cierra la brecha del CLOUD Act: ni Kiteworks ni ningún proveedor de nube pueden acceder a los datos del cliente bajo requerimiento. La implementación abarca instalaciones propias, IaaS, nube autorizada por FedRAMP e híbrida, para adaptarse a requisitos específicos de cada programa.

En la vía de autorizaciones: los controles de acceso basados en roles aplican el principio de necesidad de saber a nivel de sistema. SafeEDIT DRM permite colaboración sin posesión: proveedores, socios y aliados extranjeros bajo licencia de exportación pueden ver y anotar documentos técnicos CUI e ITAR sin que los archivos salgan del perímetro de seguridad del contratista. Un registro de auditoría unificado e inmutable rastrea todos los movimientos de CUI y FCI en uso compartido, MFT, SFTP, correo electrónico y formularios web, visible a través del Panel del CISO, exportable a tu SIEM y directamente compatible con evaluaciones C3PAO. Kiteworks cubre casi el 90% de los requisitos CMMC 2.0 Nivel 2 de forma nativa, reduciendo drásticamente los plazos y costes de certificación.

Para saber más sobre el cumplimiento de soberanía de datos para contratistas de defensa, agenda una demo personalizada hoy.

Preguntas Frecuentes

GDPR y HIPAA son marcos geográficos y basados en derechos: regulan dónde reside la información y qué derechos tienen los individuos sobre ella. Defensa añade una segunda vía sin equivalente civil: las restricciones de ITAR basadas en la persona, que prohíben el acceso de extranjeros a datos técnicos controlados, sin importar la geografía. Los contratistas de defensa también enfrentan consecuencias de elegibilidad contractual, no solo sanciones económicas, y deben demostrar cumplimiento de soberanía en toda la cadena de suministro. El stack de cumplimiento normativo —CMMC, ITAR, FedRAMP y DFARS— opera simultáneamente, no como alternativas.

Probablemente no por sí solo. La ubicación nacional del centro de datos cumple la dimensión de residencia, pero aplican tres requisitos adicionales: el proveedor debe estar autorizado por FedRAMP al nivel adecuado; el cifrado gestionado por el cliente debe cerrar la brecha del CLOUD Act (si el proveedor tiene tus claves, un requerimiento gubernamental puede acceder a tu CUI); y la plantilla y relaciones con subprocesadores del proveedor no deben crear exposición de personas extranjeras ITAR a nivel de infraestructura.

La regla de exportación implícita de ITAR considera que el acceso de un empleado extranjero a datos técnicos controlados por ITAR es legalmente equivalente a exportarlos a su país de origen, incluso en tu oficina en EE. UU. Esto requiere aplicación técnica: los controles de acceso basados en roles deben impedir el acceso a nivel de sistema, no solo mediante políticas de RRHH. Necesitas clasificación y etiquetado de contenido para que el sistema identifique qué está controlado por ITAR, junto con controles de acceso basados en identidad ligados al estatus de persona estadounidense.

Sí, de forma significativa. Bajo DFARS 252.204-7012 y CMMC, los contratistas principales deben trasladar los requisitos de seguridad a los subcontratistas que manejen CUI. La certificación del principal no lo protege de una brecha de soberanía de un subcontratista; si la CUI pasa a un subcontratista que usa infraestructura no conforme, has creado una ruptura en la cadena de custodia que afecta tu propio cumplimiento. Consulta la lista de verificación de cumplimiento CMMC para los requisitos completos de la cadena de suministro.

Abordan capas diferentes del mismo stack de soberanía. El cumplimiento FedRAMP valida la infraestructura de nube en sí: certifica que los controles, prácticas de residencia y gestión de accesos del proveedor cumplen los estándares federales para alojar CUI. La certificación CMMC valida las prácticas de seguridad del propio contratista: cómo la organización maneja, almacena y transfiere la CUI en sus operaciones y cadena de suministro. FedRAMP es un requisito para la herramienta; CMMC es un requisito para la organización que la usa. Ambos son necesarios para el cumplimiento total de soberanía.

Recursos adicionales 

  • Artículo del Blog
    Soberanía de los datos: ¿mejor práctica o requisito regulatorio?
  • eBook
    Soberanía de los datos y GDPR
  • Artículo del Blog
    Evita estos errores en soberanía de datos
  • Artículo del Blog &
    Mejores prácticas en soberanía de datos
  • Artículo del Blog
    Soberanía de los datos y GDPR [Entendiendo la seguridad de los datos]

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks