Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Requisitos de cumplimiento de IA para contratistas federales: lo que necesitas saber

Requisitos de cumplimiento de IA para contratistas federales: lo que necesitas saber

by Danielle Barbour updated marzo 30, 2026 Cumplimiento Regulatorio
Reading Time: 10 minutes

Los contratistas federales se enfrentan a uno de los entornos de cumplimiento de IA más exigentes del mercado empresarial. El conjunto normativo bajo el que operan —CMMC 2.0, NIST 800-171, FedRAMP, ITAR, FISMA y un creciente cuerpo de directrices ejecutivas específicas de IA— fue diseñado para regular el acceso humano a datos gubernamentales sensibles. Los agentes de IA que operan en ese entorno heredan todas las obligaciones que aplican a los humanos a quienes reemplazan o complementan.

El desafío principal: la mayoría de las herramientas de IA no fueron diseñadas pensando en los requisitos de cumplimiento federal. Implementarlas en un entorno de contratación gubernamental sin una gobernanza sistemática genera responsabilidad bajo las cláusulas DFARS, pone en riesgo la adjudicación de contratos y —en el peor de los casos— expone a los contratistas a sanciones bajo la Ley de Reclamaciones Falsas por certificar un cumplimiento que no pueden demostrar.

Resumen Ejecutivo

Idea principal: Los contratistas federales que implementan IA deben cumplir un entorno de cumplimiento multinivel que aplica los requisitos existentes de protección de datos, control de acceso, cifrado y auditoría a los sistemas de IA con el mismo rigor que a los empleados humanos, además de abordar nuevas obligaciones específicas de IA derivadas de órdenes ejecutivas, directrices de agencias y la aplicación del CMMC.

Por qué te interesa: Los sistemas de IA que acceden a CUI o FCI sin cumplir los requisitos de CMMC, NIST 800-171 y DFARS exponen a los contratistas a la terminación del contrato, hallazgos de auditoría y responsabilidad bajo la Ley de Reclamaciones Falsas. La Base Industrial de Defensa (DIB) es un objetivo prioritario para la explotación adversaria de IA, por lo que la gobernanza de datos de IA es un asunto de seguridad nacional además de cumplimiento.

Puntos Clave

  1. Los agentes de IA que acceden a CUI o FCI están sujetos a la totalidad de CMMC, NIST SP 800-171 y DFARS: no existe una exención para IA ni distinción entre acceso humano o de máquina en la aplicación de estas obligaciones.
  2. La aplicación de CMMC 2.0 está activa: los contratistas que certifican cumplimiento sin implementar gobernanza de IA para flujos de trabajo que tocan CUI enfrentan exposición bajo la Ley de Reclamaciones Falsas a través de la Iniciativa Civil de Ciberfraude del DOJ.
  3. Se requiere autorización FedRAMP para herramientas de IA en la nube utilizadas en sistemas federales: incluyendo IA integrada en software de productividad, y los controles base apropiados deben cumplirse antes de la implementación.
  4. ITAR impone restricciones independientes sobre sistemas de IA que procesan datos técnicos controlados: restricciones que aplican independientemente de si CMMC también es aplicable y que conllevan sanciones penales por infracciones.
  5. La orientación federal emergente específica de IA —requisitos de EO, principios éticos de IA del DoD, adopción del NIST AI RMF— converge en el mismo estándar de gobernanza a nivel de datos: acceso autenticado, aplicación de políticas, cifrado FIPS y registros de auditoría a prueba de manipulaciones.

Panorama de Cumplimiento de IA para Contratistas Federales

CMMC 2.0 y NIST SP 800-171. CMMC es el marco de certificación de ciberseguridad del DoD para contratistas que manejan CUI. El cumplimiento de CMMC 2.0 en el Nivel 2 exige la implementación completa de las 110 prácticas de NIST SP 800-171, que abarcan control de acceso, auditoría y responsabilidad, identificación y autenticación, respuesta a incidentes y protección de sistemas y comunicaciones. Cada dominio de práctica aplica directamente a sistemas de IA que acceden a CUI: un agente de IA que se autentica en un repositorio de documentos, accede a datos de contratos o genera resultados a partir de CUI debe cumplir los mismos controles que un empleado autorizado realizando la misma tarea. La Regla Final de CMMC exige evaluación de terceros por parte de C3PAOs para contratos de Nivel 2, lo que significa que la gobernanza de IA será examinada directamente por auditores externos y no solo mediante autoevaluación.

DFARS y la Ley de Reclamaciones Falsas. La cláusula DFARS 252.204-7012 exige la protección de información de defensa cubierta y la notificación de incidentes cibernéticos. Cuando los contratistas certifican cumplimiento CMMC, esa certificación cubre todos los sistemas que manejan CUI, incluyendo sistemas de IA. La Iniciativa Civil de Ciberfraude del DOJ ha dejado claro que las certificaciones de ciberseguridad falsas de manera consciente generan responsabilidad bajo la Ley de Reclamaciones Falsas. Una implementación de IA que accede a CUI sin cumplir los requisitos de CMMC mientras la organización certifica cumplimiento es precisamente el escenario que la iniciativa busca sancionar.

FedRAMP. Cualquier servicio basado en la nube utilizado en un sistema federal —incluyendo herramientas de IA integradas en entornos comerciales en la nube— debe estar autorizado por FedRAMP en el nivel base correspondiente: Bajo, Moderado o Alto. Muchas herramientas comerciales de IA no cuentan con autorización FedRAMP en ningún nivel. Los contratistas que las usan en trabajos federales operan fuera de los requisitos de cumplimiento y puede que no lo sepan.

ITAR y EAR. El cumplimiento de ITAR regula artículos de defensa, servicios y datos técnicos en la Lista de Municiones de EE. UU. Los sistemas de IA que procesan datos técnicos controlados por ITAR —especificaciones de diseño, procesos de fabricación, documentación de sistemas de armas— están sujetos a restricciones ITAR independientemente del alcance de CMMC. Usar una herramienta comercial de IA para analizar datos controlados por ITAR puede constituir una exportación no autorizada si la herramienta enruta datos a través de infraestructura fuera del control de EE. UU. Este riesgo ha surgido más rápido de lo que la regulación ha podido adaptarse, y las sanciones —procesos penales, inhabilitación— son severas.

FISMA. Las agencias federales y sus contratistas que operan sistemas de información federales deben cumplir con FISMA, lo que requiere la implementación de controles NIST SP 800-53. Para los contratistas con sistemas operados por agencias en alcance, FISMA aplica a los sistemas de IA dentro de esos entornos con la misma fuerza que a cualquier otro componente del sistema.

Tabla 1: Requisitos de Cumplimiento de IA por Marco para Contratistas Federales
Marco Disparador para IA Requisito Clave Específico de IA Mecanismo de Aplicación
CMMC 2.0 / NIST 800-171 El sistema de IA accede, procesa o transmite CUI Implementación completa de las 110 prácticas que cubren autenticación de agentes de IA, control de acceso, registros de auditoría y cifrado Evaluación de terceros C3PAO; denegación de adjudicación de contrato; responsabilidad bajo la Ley de Reclamaciones Falsas por certificación falsa
DFARS 252.204-7012 El sistema de IA maneja información de defensa cubierta Notificación de incidentes por brechas relacionadas con IA; seguridad adecuada para el acceso a datos de IA Aplicación de cláusulas contractuales; Iniciativa Civil de Ciberfraude del DOJ
FedRAMP Herramienta de IA en la nube utilizada en sistema federal Autorización en el nivel base apropiado (Bajo/Moderado/Alto) antes de la implementación en entorno federal Proceso ATO de agencia; requisitos contractuales; hallazgos de uso no autorizado
ITAR / EAR El sistema de IA procesa datos técnicos controlados por ITAR No exportación no autorizada; infraestructura controlada por EE. UU. para procesamiento de datos ITAR; restricciones de acceso para personas no estadounidenses Aplicación DDTC/BIS; sanciones penales; inhabilitación
FISMA / NIST SP 800-53 El sistema de IA opera dentro de un sistema de información federal Implementación de controles NIST 800-53 incluyendo controles de acceso, auditoría y configuración específicos de IA Supervisión de agencia; auditorías IG; denegación de ATO

Dónde la IA Genera las Brechas de Cumplimiento Más Significativas

Los contratistas federales que han implementado IA —a menudo de forma rápida, por presión competitiva para demostrar capacidad de IA ante agencias— suelen presentar el mismo conjunto de brechas de cumplimiento. Entender dónde se concentran estas brechas ayuda a priorizar el trabajo de gobernanza necesario para cerrarlas.

Acceso no controlado de IA a repositorios de CUI. La brecha más común y grave: agentes de IA con acceso amplio a sistemas de archivos o repositorios de documentos que contienen CUI, operando sin los controles de acceso a nivel de operación que exigen CMMC AC.2.006 (mínimo privilegio) y NIST 800-171 AC.1.001/AC.1.002. Un agente de IA que puede acceder a cualquier documento en un entorno SharePoint con CUI —porque los permisos de carpeta no restringen su alcance— opera fuera de los requisitos de CMMC, independientemente de la postura general de la organización. Se requiere aplicación de ABAC a nivel de operación: lo que el agente puede leer, descargar, mover o transmitir debe estar autorizado explícitamente antes del acceso.

Ausencia de registros de auditoría para interacciones de IA con datos. CMMC AU.2.041 y AU.2.042 exigen registros de auditoría que capturen la actividad de usuarios en sistemas CUI —y «usuario» aplica a agentes de IA igual que a usuarios humanos. Los registros de sesión que muestran que se usó una herramienta de IA no cumplen estos controles. El registro de auditoría a prueba de manipulaciones que alimenta un SIEM y captura qué agente accedió a qué CUI, qué operación realizó y quién la autorizó es lo que los evaluadores de CMMC examinarán —y lo que la mayoría de los contratistas no ha implementado para la actividad de agentes de IA.

Cifrado no conforme para datos procesados por IA. CMMC SC.3.177 y NIST 800-171 SC.3.177 requieren criptografía validada FIPS para proteger CUI. Muchas herramientas comerciales de IA usan TLS estándar para datos en tránsito pero no proporcionan cifrado validado FIPS 140-3 Nivel 1 en tránsito y en reposo. Una herramienta de IA que ingiere CUI sin cifrado validado FIPS crea una brecha directa de cumplimiento CMMC, independientemente de los controles de infraestructura subyacentes de la organización.

Exposición ITAR mediante herramientas comerciales de IA. El riesgo menos valorado para contratistas de defensa: las herramientas comerciales de IA pueden enrutar datos a través de infraestructura que no está bajo control estadounidense y que puede implicar acceso por personas no estadounidenses. Bajo ITAR, esto constituye una exportación de datos técnicos controlados que requiere licencia o excepción. La mayoría de los contratistas no ha evaluado el uso de sus herramientas comerciales de IA para cumplimiento ITAR, y el riesgo conlleva sanciones penales e inhabilitación potencial.

¿Qué estándares de cumplimiento de datos importan?

Read Now

Orientación Federal Específica de IA: Qué Está Surgiendo

Más allá de los marcos ya establecidos, ha surgido un conjunto de directrices federales específicas de IA que afecta directamente cómo los contratistas deben gobernar la IA en sus operaciones.

Política ejecutiva de IA. La Orden Ejecutiva sobre IA de la administración Biden de octubre de 2023 ordenó a las agencias federales adoptar estándares de gobernanza de IA y exigió a los contratistas que suministran sistemas de IA cumplir requisitos emergentes de seguridad, protección y transparencia. Las acciones ejecutivas sobre IA de la administración Trump mantuvieron el énfasis en la seguridad de IA, ajustando el equilibrio de la política de innovación. El efecto práctico: los sistemas de IA vendidos u operados en nombre de agencias federales deben cumplir ahora requisitos de gobernanza de IA específicos de la agencia que aparecen en licitaciones y contratos.

Ética de IA y IA Responsable en el DoD. El Departamento de Defensa ha publicado principios éticos para IA —responsable, equitativa, trazable, confiable y gobernable— que aplican a sistemas de IA desarrollados para o utilizados dentro de programas del DoD. «Trazable» aborda directamente la brecha de gobernanza que enfrentan la mayoría de los contratistas: los sistemas de IA del DoD deben contar con una línea de datos y registros de decisiones explícitos, documentados y auditables. Los contratistas que desarrollen o implementen IA para el DoD deben demostrar esta trazabilidad ante los responsables de programas y auditores.

Adopción del NIST AI RMF. El Marco de Gestión de Riesgos de IA del NIST es cada vez más citado en las adquisiciones federales como expectativa base para contratistas que entregan sistemas habilitados con IA o usan IA en la ejecución de contratos. Sus funciones de Gobernar y Administrar se alinean directamente con los requisitos de gobernanza de datos, registros de auditoría y supervisión humana que exigen CMMC y FISMA, por lo que un programa alineado con el NIST AI RMF es un camino eficiente para cumplir múltiples requisitos federales simultáneamente.

Memorandos de política de IA de OMB. La orientación de OMB que exige a las agencias federales inventariar el uso de IA, evaluar riesgos e implementar prácticas mínimas de gobernanza está trasladándose a los contratistas mediante modificaciones contractuales y nuevos requisitos en licitaciones. Los contratistas sin programas de gobernanza de IA alineados con los estándares federales pueden verse incapaces de competir por contratos habilitados con IA a medida que estos requisitos se multiplican.

Cómo Construir un Programa de IA Conforme para Contratación Federal

Los requisitos de cumplimiento de IA que enfrentan los contratistas federales no constituyen un marco nuevo que deba crearse desde cero; son una extensión de las obligaciones existentes de gobernanza de datos a una nueva categoría de usuario de datos. Los mismos controles que regulan el acceso de empleados autorizados a CUI regulan el acceso de agentes de IA a CUI. La diferencia es que la mayoría de las herramientas de IA no implementan estos controles por defecto y la mayoría de los contratistas no ha extendido sus programas de gobernanza existentes para cubrir agentes de IA.

Comienza con un inventario de IA en alcance de CUI. Antes de que cualquier trabajo de cumplimiento de IA sea relevante, los contratistas deben identificar cada sistema de IA —incluyendo IA integrada en herramientas comerciales y productos SaaS— que pueda alcanzar sistemas o datos que contengan CUI o FCI. Esto incluye funciones de IA en herramientas de productividad, almacenamiento en la nube y software de colaboración. Cualquier componente de IA con una ruta de datos hacia CUI está en alcance para CMMC. Un análisis de distancia de CMMC que no incluya rutas de acceso de IA a CUI está incompleto.

Implementa controles de acceso a nivel de operación para agentes de IA. Las prácticas de control de acceso en NIST 800-171 —mínimo privilegio (AC.1.002), separación de funciones (AC.2.006), acceso solo autorizado (AC.1.001)— deben implementarse a nivel de operación para agentes de IA. Un agente de IA debe autenticarse con una identidad específica, estar autorizado para realizar operaciones concretas sobre clasificaciones de datos específicas y estar bloqueado para cualquier acceso fuera de ese alcance. La aplicación de políticas ABAC es el mecanismo técnico que satisface estos requisitos.

Establece registros de auditoría a prueba de manipulaciones para todas las interacciones IA-CUI. Los requisitos de auditoría de CMMC (AU.2.041, AU.2.042) exigen registros de actividad de usuarios en sistemas CUI suficientes para detectar e investigar incidentes. Para agentes de IA, esto significa registros de auditoría a nivel de operación —no registros de sesión— que capturen qué agente accedió a qué CUI, qué operación realizó y qué humano autorizó la acción, alimentando el SIEM del contratista.

Verifica el estado FedRAMP y el cumplimiento FIPS de cada herramienta de IA. Antes de usar cualquier herramienta de IA en relación con datos federales, verifica su estado de autorización FedRAMP en el nivel base apropiado y confirma cifrado validado FIPS 140-3 Nivel 1 para datos en tránsito y en reposo. Exige documentación —cartas de autorización y certificados de validación FIPS—, no solo afirmaciones del proveedor.

Realiza una evaluación de exposición ITAR. Para contratistas que manejan datos técnicos controlados por ITAR, evalúa cada herramienta de IA que pudiera acceder a esos datos para garantizar control por personas estadounidenses en el enrutamiento y almacenamiento de datos. Dadas las sanciones penales asociadas con infracciones ITAR, esta evaluación debe involucrar asesoría en control de exportaciones.

Kiteworks AI conforme: diseñado para el entorno de contratación federal

Los contratistas federales necesitan infraestructura de gobernanza de IA diseñada para satisfacer los estándares probatorios específicos que evaluadores CMMC, auditores de DCSA y responsables de programas del DoD examinarán, no herramientas de cumplimiento genéricas adaptadas a un contexto de contratación de defensa.

Kiteworks AI conforme ofrece exactamente eso dentro de la Red de datos privados:

  • Cada agente de IA se autentica con una identidad vinculada a un autorizador humano antes de acceder a cualquier CUI;
  • La política ABAC aplica el mínimo privilegio a nivel de operación, cumpliendo NIST 800-171 AC.1.001, AC.1.002 y AC.2.006;
  • El cifrado validado FIPS 140-3 Nivel 1 protege CUI en tránsito y en reposo, cumpliendo SC.3.177;
  • Un registro de auditoría a prueba de manipulaciones de cada interacción de agente alimenta el SIEM del contratista, cumpliendo AU.2.041 y AU.2.042.

Kiteworks cubre cerca del 90% de los requisitos de CMMC Nivel 2 desde el inicio, lo que significa que la infraestructura de gobernanza de IA que provee ya está alineada con los criterios de evaluación que aplicarán las C3PAO.

Para los contratistas federales que necesitan demostrar cumplimiento de IA para ganar y mantener contratos gubernamentales, Kiteworks proporciona la base probatoria que la autoevaluación no puede ofrecer.

Contáctanos para descubrir cómo Kiteworks respalda tu hoja de ruta de cumplimiento CMMC 2.0 para implementaciones de IA.

Preguntas frecuentes

Sí. CMMC 2.0 aplica a cualquier sistema que procese, almacene o transmita CUI; el marco no distingue entre usuarios humanos y agentes de IA. Un sistema de IA que accede a CUI como parte del flujo de trabajo de un contratista debe cumplir los mismos requisitos de control de acceso, auditoría, autenticación y cifrado de CMMC que cualquier otro componente que maneje esos datos. Esto incluye herramientas de IA integradas en software comercial de productividad si esas herramientas pueden acceder a repositorios de CUI. Los contratistas que han implementado controles CMMC para su personal humano pero no han extendido esos controles a agentes de IA tienen una brecha de cumplimiento que los evaluadores C3PAO identificarán durante la evaluación de terceros.

El nivel de autorización FedRAMP requerido depende de la sensibilidad de los datos que la herramienta de IA procesará. Las herramientas que procesan información federal de bajo impacto requieren autorización FedRAMP Bajo; las que procesan datos de impacto moderado —que cubre la mayoría de CUI— requieren autorización FedRAMP Moderado; las que procesan datos de alto impacto requieren autorización FedRAMP Alto. Muchas herramientas comerciales de IA no cuentan con autorización FedRAMP en ningún nivel, y los contratistas que las usan en trabajos federales operan fuera de los requisitos de cumplimiento. Los contratistas deben verificar el estado de autorización FedRAMP a través del FedRAMP Marketplace antes de implementar cualquier herramienta de IA en la nube en un entorno de contratación federal.

ITAR restringe la exportación de artículos de defensa, servicios y datos técnicos en la Lista de Municiones de EE. UU. a personas extranjeras sin licencia o excepción aplicable. Usar una herramienta comercial de IA para procesar datos técnicos controlados por ITAR puede constituir una exportación no autorizada si la herramienta enruta esos datos a través de infraestructura accesible para personas no estadounidenses, incluyendo infraestructura en la nube operada por entidades extranjeras o accesible a empleados no estadounidenses del proveedor de IA. Los contratistas de defensa que manejan datos controlados por ITAR deben evaluar cada herramienta de IA en cuanto a enrutamiento de datos, almacenamiento y prácticas de acceso de personal, y deben obtener revisión de asesoría en exportaciones antes de usar cualquier herramienta de IA que no pueda garantizar control por personas estadounidenses de los datos ITAR durante todo su ciclo de procesamiento.

La Iniciativa Civil de Ciberfraude del DOJ permite al gobierno perseguir responsabilidad bajo la Ley de Reclamaciones Falsas contra contratistas federales que presenten certificaciones de ciberseguridad falsas de manera consciente. Cuando un contratista certifica cumplimiento CMMC 2.0 —como se exige para un número creciente de contratos del DoD— esa certificación cubre todos los sistemas que manejan CUI, incluyendo sistemas de IA. Un contratista que ha implementado agentes de IA que acceden a CUI sin los controles de acceso, registros de auditoría y cifrado requeridos, mientras certifica cumplimiento CMMC, enfrenta posible responsabilidad bajo la Ley de Reclamaciones Falsas. El riesgo no es teórico: la Iniciativa Civil de Ciberfraude ya ha producido acuerdos e investigaciones, y las brechas de gobernanza de IA son un área emergente de enfoque.

El NIST AI RMF y CMMC comparten una estructura significativamente similar: ambos requieren identificación sistemática de riesgos, gobernanza de acceso, mantenimiento de registros de auditoría y monitoreo continuo. Los contratistas que ya han implementado controles CMMC pueden construir un programa de gobernanza de IA alineado con el NIST AI RMF de manera eficiente mapeando sus controles CMMC existentes a las funciones Map, Measure, Manage y Govern del RMF. Los controles de acceso, auditoría y cifrado que exige CMMC satisfacen muchos de los requisitos técnicos de gobernanza que especifica la función Manage del RMF. El trabajo adicional requerido es específico de IA: construir el inventario de sistemas de IA, evaluar dimensiones de riesgo propias de IA (opacidad del modelo, exposición de datos de entrenamiento, riesgo de decisiones automatizadas) y establecer la frecuencia de monitoreo que requiere la función Govern del RMF. Un análisis de distancia de CMMC que incluya sistemas de IA es un punto de partida natural para este trabajo.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    El 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks