Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Las afirmaciones de equivalencia FedRAMP no resisten el escrutinio de la BOD 26-04. La autorización real sí.

Las afirmaciones de equivalencia FedRAMP no resisten el escrutinio de la BOD 26-04. La autorización real sí.

by Paul Sechser updated junio 23, 2026 Cumplimiento CMMC
Reading Time: 15 minutes

Las agencias de la Rama Ejecutiva Civil Federal (FCEB) que evalúan proveedores de servicios en la nube se enfrentan a un mercado que se ha dividido silenciosamente en dos categorías: proveedores con autorización FedRAMP real —una certificación rigurosa, evaluada de forma independiente y monitoreada continuamente, emitida a través del programa oficial FedRAMP— y proveedores que afirman tener «equivalencia FedRAMP», una postura autoafirmada que no tiene validez en el FedRAMP Marketplace oficial ni verificación independiente. Hasta hace poco, la diferencia entre ambas categorías era una matiz de cumplimiento. La Directiva Operativa Vinculante 26-04 de CISA la convierte en un riesgo operativo.

BOD 26-04 aplica exclusivamente a agencias FCEB. Exige plazos específicos para aplicar parches a vulnerabilidades explotadas conocidas y refuerza los requisitos de autorización continua para los servicios en la nube que implementan esas agencias. Para los equipos de seguridad y adquisiciones de las agencias FCEB, la directiva genera presión que los proveedores autorizados por FedRAMP ya están preparados para abordar, ya que el monitoreo continuo, la documentación de la velocidad de aplicación de parches y las cadencias de respuesta a incidentes son requisitos de la propia autorización FedRAMP. Los proveedores que afirman equivalencia no han asumido compromisos ante ninguna autoridad independiente. Cuando una agencia FCEB pregunta si un proveedor en la nube puede demostrar cumplimiento con BOD 26-04, «equivalente» no es una respuesta válida.

No se trata de una abstracción de adquisiciones. Es una dinámica real del mercado. Muchos proveedores de servicios en la nube que trabajan con el sector federal han decidido no buscar la autorización FedRAMP debido a la inversión que requiere: organizaciones evaluadoras de terceros, obligaciones de monitoreo continuo, respuesta a incidentes documentada, pruebas de penetración anuales. En su lugar, se dirigen a clientes federales usando términos como «equivalente a FedRAMP», «listo para FedRAMP» o «cumple con los estándares FedRAMP». Ninguna de esas afirmaciones es lo que realmente otorga el programa FedRAMP: una Autorización para Operar o una Autorización Provisional para Operar de un funcionario federal autorizado. BOD 26-04 endurece las consecuencias prácticas de esa diferencia para las agencias FCEB que han confiado en afirmaciones de equivalencia.

Para los contratistas de la Base Industrial de Defensa (DIB) que operan bajo CMMC, BOD 26-04 es una autoridad separada y no añade requisitos de cumplimiento. El cumplimiento DIB depende del DoD y de 32 CFR Parte 170, no de CISA. El lenguaje relevante para los clientes en la vía CMMC es NIST 800-171 SI-2, que ya exige la aplicación oportuna de parches; ahora los parámetros federales de cumplimiento definen qué significa «oportuno» en la práctica operativa. Este artículo se centra en la vía FCEB.

Puntos clave

1. La presión de BOD 26-04 favorece la autorización FedRAMP verificada

Los servicios en la nube de FCEB ahora enfrentan requisitos de plazos para parches y autorización continua que solo los proveedores con estatus FedRAMP Autorizado pueden cumplir operativamente.

2. La equivalencia FedRAMP no tiene validez en el programa oficial

El FedRAMP Marketplace muestra tres categorías —Autorizado, En Proceso y Listo— y la equivalencia no está entre ellas, por lo que es solo una afirmación de marketing autoafirmada sin verificación independiente.

3. El monitoreo continuo es lo que la autorización prueba en la práctica

Los CSP autorizados por FedRAMP presentan escaneos de vulnerabilidades mensuales, resultados anuales de pruebas de penetración y POA&M abiertos a los funcionarios autorizadores; quienes afirman equivalencia no mantienen ningún registro similar.

4. Las entradas del catálogo KEV activan requisitos documentados de velocidad de parches

Cuando una vulnerabilidad explotada conocida aparece en el catálogo de CISA, las agencias FCEB necesitan pruebas del plazo de parches de su proveedor en la nube; solo la autorización FedRAMP puede proporcionar esa evidencia.

5. Los equipos de adquisiciones deben verificar el estatus en el Marketplace directamente

Ir a marketplace.fedramp.gov y confirmar el estatus autorizado antes de que surja una brecha de cumplimiento con BOD 26-04 es una mejor administración de riesgos que descubrir el problema bajo presión de auditoría.

Cumplimiento CMMC 2.0 Hoja de ruta para contratistas DoD

Leer ahora

Lo que realmente exige la autorización FedRAMP

El proceso de cumplimiento FedRAMP no es una lista de verificación. Es un compromiso operativo continuo, y esa diferencia importa al evaluar lo que realmente demuestra la autorización.

La autorización FedRAMP exige que los proveedores de servicios en la nube contraten una Organización Evaluadora de Terceros (3PAO), un evaluador acreditado e independiente del proveedor, para evaluar los controles de seguridad implementados según la línea base FedRAMP (Bajo, Moderado o Alto, según el nivel de impacto de los datos procesados). La evaluación genera un Informe de Evaluación de Seguridad que un funcionario federal autorizado revisa antes de emitir una Autorización para Operar. Una ATO Provisional del Joint Authorization Board de FedRAMP otorga una autorización a nivel gubernamental que las agencias pueden usar.

Después de la autorización, comienzan las obligaciones de monitoreo continuo. Los CSP autorizados deben presentar informes mensuales de escaneo de vulnerabilidades, notificaciones trimestrales de cambios significativos y evaluaciones de seguridad anuales. Mantienen un POA&M que documenta vulnerabilidades conocidas, plazos de remediación y estatus. Los funcionarios autorizadores de la agencia y la Oficina de Gestión del Programa FedRAMP revisan esta documentación. No es autoafirmada: es revisada de forma independiente y puede ser auditada.

El proceso de evaluación de la 3PAO por sí solo separa a los proveedores autorizados de quienes afirman equivalencia. Una 3PAO debe estar acreditada por la American Association for Laboratory Accreditation (A2LA) bajo el Programa de Acreditación 3PAO de FedRAMP. El equipo de evaluación revisa los planes de seguridad del sistema, prueba controles técnicos, entrevista al personal y produce hallazgos independientes. El proveedor no puede redactar su propio informe de evaluación. Esa independencia —la garantía de que los hallazgos no están filtrados por intereses del proveedor— es la integridad estructural de la autorización. Está completamente ausente en cualquier afirmación de equivalencia, sin importar cuán detallada sea la documentación de autoevaluación del proveedor.

Esta infraestructura operativa es lo que realmente ponen a prueba los requisitos de plazos de parches de BOD 26-04. Un CSP autorizado tiene evidencia documentada de su cadencia de escaneo de vulnerabilidades, velocidad de implementación de parches y Planes de Acción para hallazgos abiertos. Cuando una agencia FCEB pregunta a un proveedor de MFT seguro o de uso compartido seguro de archivos Kiteworks autorizado por FedRAMP si puede demostrar cumplimiento con BOD 26-04, el proveedor puede presentar el paquete de monitoreo continuo que responde a la pregunta. Un proveedor que afirma equivalencia no puede.

La línea base de autorización FedRAMP Moderado cubre 325 controles derivados de NIST 800-53 Rev 5. Estos controles abarcan control de acceso, concienciación y capacitación, auditoría y responsabilidad, administración de configuración, planificación de contingencias, identificación y autenticación, respuesta a incidentes, mantenimiento, protección de medios, protección física y ambiental, planificación, seguridad del personal, evaluación de riesgos, protección de sistemas y comunicaciones, e integridad de sistemas e información. Los controles de remediación de fallos SI-2 —los más relevantes para los plazos de parches de BOD 26-04— son evaluados por la 3PAO y documentados en el paquete de monitoreo continuo. Un proveedor que afirma «cumplir con los estándares FedRAMP Moderado» no ha tenido ninguno de esos controles evaluados de forma independiente.

ABAC y registros de auditoría son dos dominios de control adicionales donde la diferencia entre autorización y equivalencia tiene consecuencias operativas directas para las agencias FCEB. Las plataformas autorizadas mantienen registros de auditoría en formatos y con periodos de retención validados según requisitos federales. Las implementaciones de ABAC se prueban según la línea base de control de acceso. No son ejercicios de documentación: son evaluaciones operativas de control que terceros han verificado de forma independiente. Las afirmaciones de equivalencia no pueden sustituir esa verificación, y las implicaciones de auditoría de BOD 26-04 hacen que la brecha sea relevante.

El mercado de la equivalencia y cómo creció

La categoría de «equivalencia FedRAMP» surgió porque la autorización FedRAMP es costosa y lleva tiempo. Una autorización FedRAMP Moderado completa suele requerir de 12 a 24 meses y varios millones de dólares en costos de evaluación, remediación y documentación. Muchos proveedores de servicios en la nube —especialmente los más pequeños y aquellos sin prácticas federales dedicadas— encontraron más fácil posicionar su postura de seguridad como equivalente a los requisitos FedRAMP sin pasar por el proceso de autorización.

El FedRAMP Marketplace publica la lista oficial de servicios autorizados, servicios en proceso y servicios que han logrado la designación FedRAMP Ready. «FedRAMP Ready» significa que una 3PAO ha validado que las capacidades de seguridad del proveedor son consistentes con los requisitos FedRAMP y que probablemente logrará la autorización; es una designación de preparación para el mercado, no una autorización. Los servicios que no aparecen en una de esas categorías en el Marketplace oficial no tienen estatus FedRAMP oficial, sin importar lo que digan sus materiales de marketing.

El problema para las agencias FCEB es que los procesos de adquisición no siempre detectan la diferencia. Un oficial de contratación que revisa la documentación de arquitectura de confianza cero y las declaraciones de seguridad de un proveedor puede no tener el tiempo para verificar el estatus en el Marketplace para cada servicio en la nube considerado. Las afirmaciones de equivalencia están diseñadas para pasar esa revisión. Se redactan para sonar como afirmaciones de autorización sin serlo realmente.

Varios factores del mercado reforzaron este patrón a lo largo de los años. Primero, la acumulación de solicitudes de autorización FedRAMP —en ciertos momentos, la cola para la revisión del Joint Authorization Board se extendía por años— generó presión sobre las agencias para aceptar soluciones no autorizadas mientras los proveedores esperaban la autorización. Algunos proveedores usaron ese periodo de espera para establecer relaciones con agencias basadas en afirmaciones de equivalencia, y luego permitieron que esas relaciones continuaran después de que se despejara la acumulación en vez de completar el proceso de autorización. Segundo, la complejidad del sistema federal de adquisiciones crea oportunidades para que afirmaciones ambiguas sobrevivan al escrutinio. El lenguaje de las RFP que exige «cumplimiento FedRAMP» puede ser respondido con una afirmación de equivalencia si el oficial de contratación no sabe que debe revisar el Marketplace. Tercero, algunas afirmaciones de equivalencia van acompañadas de documentación de seguridad detallada —informes SOC 2 Tipo II, certificaciones ISO 27001, resultados de pruebas de penetración— que genera una impresión de rigor sin cumplir los requisitos específicos del programa FedRAMP.

Ninguna de esa documentación sustituye la autorización FedRAMP. SOC 2 evalúa controles relevantes para los compromisos de servicio y requisitos del sistema del proveedor, no la línea base de controles FedRAMP. ISO 27001 es un estándar de sistema de gestión de seguridad de la información con diferente alcance y requisitos de control. Los resultados de pruebas de penetración que no son realizados por una 3PAO acreditada siguiendo la guía de pruebas de penetración FedRAMP no son equivalentes a las pruebas de penetración FedRAMP. El encuadre de equivalencia FedRAMP Moderado que algunos proveedores usan no cambia esto: las afirmaciones de equivalencia basadas en marcos de cumplimiento alternativos siguen sin tener validez en el programa FedRAMP y tampoco generan el registro de monitoreo continuo que exige el cumplimiento de BOD 26-04.

BOD 26-04 cambia la consecuencia operativa de la brecha de equivalencia. Los plazos de parches obligatorios para las agencias FCEB se vuelven obligatorios para los servicios en la nube de los que dependen esas agencias. Una agencia no puede cumplir con los requisitos de parches de BOD 26-04 si su proveedor en la nube no puede demostrar la velocidad de aplicación de parches dentro de los plazos requeridos. Un proveedor que afirma equivalencia no se ha comprometido con esos plazos. Un proveedor con autorización FedRAMP sí lo ha hecho, y tiene evidencia documentada de que mantiene los procesos operativos para cumplirlos.

Cómo BOD 26-04 cambia el cálculo de adquisiciones federales

Las Directivas Operativas Vinculantes de CISA aplican a las agencias FCEB y generan obligaciones operativas que impactan la tecnología de la agencia. Una agencia FCEB que recibe un requerimiento BOD 26-04 para remediar una vulnerabilidad explotada conocida no puede remediarla en un sistema gestionado por un proveedor en la nube que carece de documentación de monitoreo continuo y procesos de gestión de parches.

El catálogo de Vulnerabilidades Explotadas Conocidas de CISA —que determina los plazos de parches de BOD— ha incluido vulnerabilidades en software empresarial ampliamente utilizado, incluyendo plataformas de transferencia de archivos y colaboración de contenido. En junio de 2026, una vulnerabilidad crítica en SolarWinds Serv-U MFT entró al catálogo KEV con explotación activa confirmada. Las agencias FCEB que usan cualquier plataforma de MFT seguro o correo electrónico seguro Kiteworks necesitan la certeza de que la postura de parches de su proveedor puede cumplir con los plazos exigidos por BOD.

Para los proveedores autorizados por FedRAMP, la respuesta está documentada en su paquete de monitoreo continuo. Los registros de auditoría de escaneos de vulnerabilidades, implementaciones de parches y Planes de Acción son un registro vivo que los funcionarios autorizadores de la agencia revisan. Para quienes afirman equivalencia, la respuesta es lo que el proveedor decida entregar ante una consulta de la agencia.

La implicación para adquisiciones es directa. El cumplimiento FedRAMP —autorización real, no equivalencia afirmada— es ahora la base técnicamente defendible para la adquisición de servicios en la nube FCEB en un entorno BOD 26-04. Las agencias que han confiado en afirmaciones de equivalencia deben revisar su portafolio de servicios en la nube en el FedRAMP Marketplace oficial e identificar cualquier servicio que carezca de estatus de autorización oficial.

El riesgo operativo de las afirmaciones de equivalencia no verificadas va más allá de los plazos de parches. BOD 26-04 también refuerza los requisitos de autorización continua, lo que significa que las agencias FCEB deben asegurar que sus servicios en la nube mantengan la autorización durante todo el ciclo de vida del servicio, no solo al inicio del contrato. Una afirmación de equivalencia hecha al adjudicar el contrato no tiene mecanismo de revalidación. La autorización FedRAMP, en cambio, exige entregables continuos de monitoreo. Si la postura de seguridad de un proveedor autorizado por FedRAMP se degrada, esa degradación aparecerá en el registro de monitoreo continuo. Si la postura de seguridad de quien afirma equivalencia se degrada, la agencia no tiene mecanismo independiente para detectarlo.

Los auditores federales e Inspectores Generales han comenzado a incluir el estatus de autorización de servicios en la nube en sus revisiones de los programas de seguridad de las agencias. Los hallazgos de que una agencia opera funciones críticas en servicios en la nube no autorizados —servicios que no aparecen en ninguna lista oficial y no han asumido compromisos verificables con los estándares federales de seguridad— generan exposición a auditoría que los CISOs y funcionarios autorizadores de las agencias cada vez están menos dispuestos a aceptar. La combinación de riesgo de auditoría, aplicación de BOD y el creciente catálogo KEV fortalece significativamente el caso para la autorización FedRAMP verificada en comparación con hace dos años.

El cumplimiento CMMC 2.0 y la autorización FedRAMP responden a marcos y poblaciones de clientes diferentes, pero comparten un principio común: la verificación independiente de los controles de seguridad es lo que distingue un compromiso de una simple afirmación. Para las agencias FCEB, la autorización FedRAMP es esa verificación independiente. Es el único documento que demuestra que un proveedor en la nube ha cumplido el estándar federal, ha sido evaluado de forma independiente y mantiene esa postura bajo supervisión continua.

La brecha de monitoreo continuo

La diferencia más significativa desde el punto de vista operativo entre la autorización FedRAMP y la equivalencia afirmada no es la evaluación inicial. Es la infraestructura de monitoreo continuo que exige la autorización y que las afirmaciones de equivalencia omiten por completo.

Los requisitos de monitoreo continuo de FedRAMP exigen que los CSP autorizados mantengan un inventario actualizado de la implementación de sus controles de seguridad, identifiquen y documenten vulnerabilidades mediante escaneos regulares, generen informes mensuales para revisión de la agencia y actualicen sus Planes de Acción en una cadencia definida. Esto crea un registro auditable de la postura de seguridad del proveedor a lo largo del tiempo, no solo en el momento de la evaluación.

Para una agencia FCEB que responde a un requerimiento BOD 26-04, ese paquete de monitoreo continuo es evidencia. Demuestra que los procesos de gestión de parches del proveedor en la nube son reales, están documentados y sujetos a supervisión. Permite al funcionario autorizador de la agencia evaluar si los compromisos de plazos de remediación del proveedor son creíbles. Y proporciona la documentación que los auditores federales e Inspectores Generales esperan ver al examinar la postura de seguridad en la nube de la agencia.

Quienes afirman equivalencia no tienen paquete de monitoreo continuo porque no tienen autorización que mantener. Cualquier documentación de seguridad que generen es interna, no revisada por ninguna autoridad independiente ni sujeta a verificación continua. Eso representa un perfil de riesgo fundamentalmente distinto al de los servicios autorizados, y los plazos de BOD 26-04 hacen que la diferencia sea tangible.

La brecha de monitoreo continuo tiene implicaciones prácticas más allá de BOD 26-04. Las obligaciones de gobernanza de datos, los requisitos de manejo de CUI y los marcos de cumplimiento ITAR dependen de la capacidad de la agencia para demostrar que las plataformas que gestionan CUI sensible y datos controlados por exportación operan bajo controles de seguridad verificados. La autorización FedRAMP, con su infraestructura de monitoreo continuo, proporciona esa demostración. Las afirmaciones de equivalencia no lo hacen. Cuando el propio programa de gobernanza de datos de una agencia exige rendir cuentas sobre dónde fluyen los datos sensibles y qué controles los rigen, «nuestro proveedor afirma equivalencia» no es una respuesta suficiente. Los programas de clasificación de datos que identifican dónde reside la información gubernamental sensible son un requisito previo para asegurar que las plataformas autorizadas por FedRAMP gobiernen cada flujo de datos que requiere ese nivel de protección.

La infraestructura de monitoreo continuo también respalda los requisitos de arquitectura de confianza cero que las agencias FCEB están implementando bajo la estrategia federal de confianza cero. La confianza cero exige verificación continua del estado de dispositivos y usuarios, lo que depende de que la plataforma en la nube mantenga controles de seguridad actualizados, configuraciones documentadas y una postura en tiempo real validada de forma independiente. La arquitectura de monitoreo continuo de FedRAMP se alinea con los principios de confianza cero de maneras que una autoevaluación puntual de equivalencia no puede replicar.

Kiteworks cuenta con cumplimiento FedRAMP a nivel Moderado: una Autorización para Operar real, no una equivalencia afirmada. Kiteworks también posee la certificación CMMC Nivel 2 para la vía CMMC (clientes DIB), proporcionando una postura de seguridad verificada de forma independiente para el marco de cumplimiento DoD. La autorización FedRAMP Moderado significa que Kiteworks mantiene la infraestructura de monitoreo continuo, la documentación de gestión de parches y los registros de evaluación de terceros que exige el cumplimiento de BOD 26-04. Las agencias FCEB que evalúan plataformas de intercambio de contenido —MFT seguro, correo electrónico seguro Kiteworks y uso compartido seguro de archivos Kiteworks— pueden verificar el estatus de autorización de Kiteworks directamente en el FedRAMP Marketplace, no en materiales de marketing del proveedor. La arquitectura de Red de Datos Privados que sustenta estas capacidades es la misma infraestructura verificada de forma independiente que ofrece controles de acceso alineados con FedRAMP y registros de auditoría en todos los canales de comunicación de contenido.

Pasos prácticos para que las agencias FCEB verifiquen la autorización en la nube

La diferencia entre la autorización FedRAMP y las afirmaciones de equivalencia no siempre es visible en los materiales del proveedor. Los equipos de adquisiciones que quieren cerrar esa brecha antes de que surja un hallazgo de auditoría BOD 26-04 tienen disponibles pasos de verificación sencillos.

El primer paso es una consulta directa en el Marketplace. Todo servicio en la nube con estatus FedRAMP oficial —Autorizado, En Proceso o Listo— aparece en marketplace.fedramp.gov. Las agencias deben confirmar que la oferta del proveedor aparece bajo la categoría Autorizado, no solo En Proceso o Listo, y que el nivel de impacto (Bajo, Moderado o Alto) coincide con los datos que la agencia planea procesar. Un proveedor con autorización FedRAMP Moderado no está autorizado para operar en el nivel de impacto Alto. Un proveedor que solo aparece como En Proceso aún no tiene una autorización que cumpla los requisitos FedRAMP.

El segundo paso es solicitar la carta de autorización. La carta de autorización identifica al funcionario autorizador —ya sea el Joint Authorization Board para un P-ATO o un funcionario de agencia para un Agency ATO— y la fecha de vigencia. Un proveedor que no puede presentar una carta de autorización de un funcionario federal autorizado no tiene autorización FedRAMP, sin importar lo que digan sus materiales de marketing.

El tercer paso es revisar la postura de monitoreo continuo. Para el cumplimiento de BOD 26-04 específicamente, las agencias deben solicitar el POA&M más reciente del proveedor y el resumen más reciente de escaneo de vulnerabilidades. Estos documentos muestran la postura actual de gestión de vulnerabilidades del proveedor: qué hallazgos abiertos existen, cuáles son los plazos de remediación y si el proveedor está cumpliendo esos plazos. Un proveedor que no puede presentar un POA&M actualizado no ha mantenido las obligaciones de monitoreo continuo que exige la autorización FedRAMP, lo que es una preocupación separada de la cuestión de equivalencia.

El cuarto paso es confirmar el alcance de la autorización. Las autorizaciones FedRAMP se aplican a sistemas y ofertas de servicio específicos. Un proveedor con una plataforma autorizada por FedRAMP que ofrece un producto o servicio distinto fuera del límite del sistema autorizado no ha extendido su autorización para cubrir esa oferta. Las agencias deben confirmar que el servicio específico que adquieren está dentro del límite del sistema autorizado documentado en el paquete de autorización del proveedor.

El quinto paso es establecer compromisos contractuales para el mantenimiento del monitoreo continuo. La autorización FedRAMP no es permanente; requiere cumplimiento continuo con las obligaciones de monitoreo. Las agencias deben incluir cláusulas contractuales que exijan al proveedor mantener el estatus de autorización FedRAMP durante toda la vigencia del contrato, notificar a la agencia si la autorización es suspendida o revocada y proporcionar entregables de monitoreo continuo al funcionario autorizador de la agencia según el calendario requerido por FedRAMP. Aplicar disciplinas de gestión de riesgos de la cadena de suministro al estatus de autorización del proveedor en la nube —incluida la reverificación periódica en el Marketplace— asegura que la deriva de equivalencia no ocurra silenciosamente durante el ciclo de vida del contrato.

Estos pasos no son burocracia innecesaria. Son la base operativa para que una agencia pueda demostrar cumplimiento con BOD 26-04 cuando los auditores pregunten si los servicios en la nube en el entorno de la agencia están debidamente autorizados. Los registros de auditoría, los registros de monitoreo continuo y la documentación de autorización son la evidencia que responde a esa pregunta, y la autorización FedRAMP es el único marco que produce esa evidencia bajo supervisión independiente.

Para saber más sobre cómo la autorización FedRAMP Moderado responde a los requisitos de cumplimiento de BOD 26-04 para agencias FCEB, solicita una demo personalizada hoy mismo.

Preguntas frecuentes

El programa FedRAMP reconoce tres categorías oficiales. FedRAMP Autorizado significa que un servicio en la nube ha recibido una Autorización Provisional para Operar del Joint Authorization Board (P-ATO) o una Autorización para Operar (ATO) de un funcionario federal autorizado, tras una evaluación de seguridad completa por una Organización Evaluadora de Terceros acreditada. FedRAMP Ready significa que una 3PAO ha validado que el proveedor está preparado para buscar la autorización y la PMO de FedRAMP ha confirmado que el servicio probablemente la obtendrá; es una designación de preparación para el mercado, no una autorización. Ambas categorías aparecen en el FedRAMP Marketplace oficial. «FedRAMP Equivalente» no tiene validez oficial. No es una designación del programa FedRAMP. Es una afirmación de marketing de proveedores que no han completado el proceso de autorización. Los proveedores que afirman equivalencia no han pasado por la evaluación de una 3PAO, no tienen autorización de un funcionario federal, no mantienen un paquete de monitoreo continuo y no figuran en el FedRAMP Marketplace. Para las agencias FCEB, la diferencia importa bajo BOD 26-04, porque la documentación de velocidad de parches y monitoreo continuo que exige el cumplimiento BOD solo existe para proveedores autorizados. El cumplimiento FedRAMP para plataformas de intercambio de contenido significa autorización real, verificable en el Marketplace. Comprender las afirmaciones de equivalencia FedRAMP Moderado requiere reconocer que ningún marco de cumplimiento alternativo —SOC 2, ISO 27001 o autoafirmación NIST— sustituye la evaluación independiente y los requisitos de supervisión continua del programa FedRAMP. Las organizaciones también deben revisar la visión general del programa FedRAMP para entender cómo los niveles de autorización se relacionan con la sensibilidad de los datos y la tolerancia al riesgo de la agencia.

No. Las Directivas Operativas Vinculantes emitidas por CISA aplican exclusivamente a agencias de la Rama Ejecutiva Civil Federal. No aplican a contratistas DoD, organizaciones DIB ni a entidades reguladas bajo CMMC. El cumplimiento de contratistas DIB está regulado por el DoD y se rige por 32 CFR Parte 170, el programa CMMC. El requisito relevante de gestión de parches para el cumplimiento CMMC 2.0 es NIST 800-171 Rev 2, SI-2, que exige a las organizaciones que gestionan CUI identificar, informar y corregir fallos en los sistemas de información, instalar actualizaciones de software relevantes para la seguridad dentro de los plazos definidos por la organización e incorporar la remediación de fallos en el proceso de gestión de configuración organizacional. El resultado práctico es similar: la aplicación oportuna de parches para vulnerabilidades conocidas es obligatoria bajo ambos marcos, pero la autoridad, el mecanismo de aplicación y la documentación de cumplimiento son completamente separados. Las organizaciones no deben afirmar cumplimiento con BOD 26-04 ante clientes DIB/CMMC, ni usar lenguaje de BOD 26-04 en evaluaciones CMMC. El encuadre correcto para clientes DIB es NIST 800-171 SI-2. Para requisitos de cumplimiento ITAR que se superponen con ambas vías, la autoridad relevante es el International Traffic in Arms Regulations, separado tanto de BOD 26-04 como de CMMC, aunque las plataformas autorizadas por FedRAMP que ofrecen controles de gobernanza de datos sobre contenido controlado por exportación trabajan tanto para clientes FCEB como para los regulados por ITAR.

El catálogo de Vulnerabilidades Explotadas Conocidas de CISA es la fuente autorizada de vulnerabilidades que CISA ha confirmado que están siendo explotadas activamente. Para las agencias FCEB, BOD 26-04 crea plazos obligatorios de parches vinculados a las entradas del catálogo KEV; las agencias deben remediar las vulnerabilidades listadas en el catálogo dentro de los plazos especificados. La implicación práctica para adquisiciones en la nube es que una agencia FCEB no puede cumplir sus obligaciones de parches BOD para una vulnerabilidad KEV que afecte a una plataforma en la nube a menos que su proveedor pueda demostrar la implementación de parches dentro de esos mismos plazos. Los proveedores autorizados por FedRAMP mantienen paquetes de monitoreo continuo —incluyendo resultados de escaneos de vulnerabilidades y registros de implementación de parches— que proporcionan la documentación que necesitan las agencias FCEB. Cuando una vulnerabilidad entra en el catálogo KEV, como ocurrió con la vulnerabilidad de SolarWinds Serv-U MFT en junio de 2026, las agencias FCEB que usan plataformas de MFT seguro pueden verificar el estatus de parches de su proveedor a través del registro de monitoreo continuo. Los registros de auditoría que mantienen los CSP autorizados por FedRAMP crean un registro verificable del momento de implementación de parches, que es la evidencia que exige el cumplimiento de BOD 26-04. Los proveedores que afirman equivalencia no tienen documentación análoga. Revisar el FedRAMP Marketplace para verificar el estatus de cumplimiento FedRAMP antes de que una entrada KEV obligue a plantear la cuestión es mejor administración de riesgos que esperar a que una brecha de cumplimiento BOD surja en una auditoría. Las agencias también deben confirmar que los requisitos de autorización FedRAMP High aplican a cualquier sistema que procese datos de orden público, servicios de emergencia u otros datos de alto impacto; los plazos de parches KEV aplican igualmente en ese nivel.

Los equipos de adquisiciones FCEB deben comenzar con una consulta directa en el FedRAMP Marketplace en marketplace.fedramp.gov. El Marketplace lista todos los servicios FedRAMP Autorizados (P-ATO y Agency ATO), servicios En Proceso y servicios con la designación FedRAMP Ready. Cualquier proveedor que afirme estatus FedRAMP y no aparezca en una de esas categorías en el Marketplace está haciendo una afirmación no oficial sin validez en el proceso federal de autorización. Para servicios autorizados, los equipos de adquisiciones deben solicitar la carta de Autorización, que identifica al funcionario autorizador y la fecha de autorización, y el resumen más reciente de monitoreo continuo, que muestra la postura actual de gestión de vulnerabilidades del proveedor. Para el cumplimiento de BOD 26-04 específicamente, los equipos deben solicitar el POA&M actual del proveedor y los resultados más recientes de escaneo de vulnerabilidades, ambos entregables de monitoreo continuo que mantienen los proveedores autorizados por FedRAMP. Las plataformas de intercambio de contenido —correo electrónico seguro Kiteworks, MFT seguro, uso compartido seguro de archivos Kiteworks— deben cumplir con este mismo estándar de verificación que cualquier otro servicio en la nube. Los equipos de adquisiciones también deben confirmar que los requisitos de arquitectura de confianza cero que implementa la agencia están respaldados por la configuración autorizada por FedRAMP de la plataforma, no solo por afirmaciones del proveedor sobre compatibilidad con confianza cero. Las implementaciones de ABAC y los registros de auditoría deben verificarse contra el alcance de la autorización FedRAMP para confirmar que están dentro del límite del sistema autorizado. Una revisión del Plan de Seguridad del Sistema confirma la definición del límite y la implementación de controles documentada por el proveedor.

Los niveles de autorización FedRAMP reflejan el nivel de impacto de los datos procesados. FedRAMP Bajo cubre sistemas donde la pérdida de confidencialidad, integridad o disponibilidad tendría efectos adversos limitados. La autorización FedRAMP Moderado cubre sistemas donde el impacto sería grave, incluyendo la mayoría de los datos operativos de agencias gubernamentales, información personal identificable, registros financieros e información sensible pero no clasificada. FedRAMP High cubre sistemas donde una brecha tendría efectos graves o catastróficos, incluyendo sistemas que procesan datos de orden público, servicios de emergencia y datos de sistemas financieros. La mayoría de las plataformas de intercambio de contenido usadas por agencias FCEB para compartir documentos, transferir archivos y comunicarse operan en el nivel de impacto Moderado. El cumplimiento FedRAMP en Moderado significa que la plataforma ha sido evaluada contra el conjunto completo de controles Moderados —325 controles— por una 3PAO acreditada, autorizada por un funcionario federal y está sujeta a monitoreo continuo en esa misma línea base. La autorización FedRAMP Moderado es el estándar aplicable para plataformas de intercambio de contenido seguro usadas en entornos FCEB que procesan información sensible pero no clasificada, datos controlados por exportación y registros operativos de agencias. Los requisitos de arquitectura de confianza cero que las agencias están implementando bajo la estrategia federal de confianza cero también se alinean con la línea base de controles Moderados para servicios en la nube. Los programas de gobernanza de datos que exigen a las agencias rendir cuentas sobre los flujos de datos sensibles deben usar el nivel de impacto FedRAMP como umbral: los datos procesados con sensibilidad Moderada requieren una plataforma autorizada en el nivel Moderado o superior, y las afirmaciones de equivalencia no sustituyen esa autorización sin importar el nivel de impacto que se afirme.

Recursos adicionales

  • Artículo del Blog
    Cumplimiento CMMC para pequeñas empresas: desafíos y soluciones
  • Artículo del Blog
    Guía de Cumplimiento CMMC para proveedores DIB
  • Artículo del Blog
    Requisitos de auditoría CMMC: lo que los evaluadores necesitan ver al medir tu preparación CMMC
  • Guía
    Mapeo de Cumplimiento CMMC 2.0 para comunicaciones de contenido sensible
  • Artículo del Blog
    El costo real del cumplimiento CMMC: lo que los contratistas de defensa deben presupuestar

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks