Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > El Gobierno Federal acaba de decirte que su proceso de seguridad en la nube está roto

El Gobierno Federal acaba de decirte que su proceso de seguridad en la nube está roto

by Paul Sechser updated marzo 24, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

El 18 de marzo de 2026, ProPublica publicó una investigación que debería alertar a cualquier organización que confía en la autorización FedRAMP como señal de confianza en la seguridad en la nube. La historia es clara: los revisores federales de ciberseguridad pasaron casi cinco años intentando —sin éxito— verificar cómo Microsoft protege los datos confidenciales del gobierno dentro de GCC High, su suite en la nube diseñada para manejar información no clasificada de máxima sensibilidad para el gobierno.

Puntos clave

  1. FedRAMP autorizó Microsoft GCC High a pesar de casi cinco años de preocupaciones de seguridad sin resolver — porque el producto ya estaba demasiado integrado en el gobierno federal como para rechazarlo. Los revisores federales dedicaron 480 horas y 18 análisis técnicos detallados, pero concluyeron que tenían «falta de confianza» en la postura general de seguridad del producto.
  2. Microsoft no pudo mostrar a FedRAMP cómo cifra los datos confidenciales del gobierno en tránsito — un requisito básico que Amazon y Google documentaron de forma rutinaria. Los revisores nunca pasaron de un solo servicio, Exchange Online, antes de que la evaluación se viniera abajo.
  3. Las firmas independientes contratadas para evaluar GCC High informaron en privado a FedRAMP que no podían validar completamente el producto — mientras que sus informes oficiales decían lo contrario. Tanto Coalfire como Kratos transmitieron preocupaciones por canales informales que no quisieron dejar por escrito para el cliente que les pagaba.
  4. Los recortes presupuestarios de DOGE redujeron FedRAMP a unas dos docenas de empleados centrados en emitir autorizaciones a un ritmo récord — no en realizar revisiones de seguridad significativas. El presupuesto anual del programa, de 10 millones de dólares, es el más bajo en una década, justo cuando las agencias aceleran la adopción de herramientas de IA en la nube.
  5. Las etiquetas de cumplimiento no son seguridad — las organizaciones necesitan arquitecturas en la nube que ofrezcan protección continua y verificable, sin importar quién firme el certificado. El informe Kiteworks 2026 Data Security and Compliance Risk Forecast reveló que el 38% de las organizaciones gubernamentales aún dependen de procesos de cumplimiento manuales o periódicos.

Lo autorizaron de todos modos. No porque respondieran a sus preguntas. No porque la revisión estuviera completa. Sino porque el producto ya estaba demasiado arraigado en el Departamento de Justicia, el Departamento de Energía y la base industrial de defensa como para decir que no.

Un miembro del equipo de revisión de FedRAMP resumió la documentación de seguridad que proporcionó Microsoft en términos que cualquiera puede entender. Otro revisor dijo al DOJ que ni siquiera podían cuantificar los aspectos desconocidos que quedaban. Tony Sager, ex científico informático de la NSA con tres décadas de experiencia en el gobierno, usó cinco palabras que deberían zanjar el debate sobre lo que realmente significa la autorización FedRAMP: «Esto no es seguridad. Esto es teatro de seguridad».

Lo que Microsoft no pudo — o no quiso — mostrar

El problema central era engañosamente simple. FedRAMP quería diagramas de flujo de datos: ilustraciones técnicas que mostraran cómo se mueve la información del Punto A al Punto B y, lo más importante, cómo se cifra en cada etapa. Cuando los datos viajan por la infraestructura en la nube —saltando entre servidores, balanceadores de carga y capas de almacenamiento— el cifrado en tránsito evita la interceptación. Verificar este cifrado requiere ver el recorrido completo.

Microsoft calificó la solicitud como demasiado desafiante. FedRAMP cedió y propuso empezar solo con un servicio: Exchange Online. Microsoft entregó un documento técnico sobre su estrategia de cifrado, pero omitió los detalles específicos sobre dónde ocurre realmente el cifrado y el descifrado. Esa omisión significó que FedRAMP no pudo verificar si la protección existía en absoluto.

Otros grandes proveedores de nube —entre ellos Amazon y Google— proporcionaron este nivel de documentación de manera rutinaria. El 2026 CrowdStrike Global Threat Report deja clara la urgencia: el 82% de las detecciones ya no involucran malware, lo que significa que los atacantes eluden las defensas tradicionales mediante el abuso de identidades y el robo de credenciales. En ese entorno, el cifrado y la visibilidad de los flujos de datos no son lujos opcionales. Son la última línea de defensa.

El problema, según personas familiarizadas con la tecnología de Microsoft, es de arquitectura. Los servicios en la nube de la compañía se construyeron sobre código heredado de décadas. Un revisor de FedRAMP comparó los recorridos de los datos con un enredo caótico: la información viajando de Washington a Nueva York en autobús, ferry y avión en vez de tomar una ruta directa. Cada salto adicional es una oportunidad más para la interceptación si los datos no están correctamente cifrados.

El conflicto del evaluador del que nadie habla

Existe un problema estructural en FedRAMP que la historia de GCC High hace imposible ignorar. Las firmas de evaluación independientes encargadas de analizar los productos en la nube son contratadas y pagadas por las propias empresas de la nube.

En 2020, ambas evaluadoras de Microsoft —Coalfire y Kratos— informaron en privado a FedRAMP que no podían obtener la información necesaria para evaluar completamente GCC High. Lo hicieron a través de un canal confidencial, no en sus informes oficiales. FedRAMP finalmente puso a Kratos en un plan de acción correctiva por no presionar lo suficiente a Microsoft.

Esto equivale a que un inspector de edificios, pagado por el promotor, encuentre grietas en los cimientos y susurre sus hallazgos a la ciudad mientras firma el permiso. El 2026 Black Kite Third-Party Breach Report cuantifica el resultado a gran escala: entre los 50 proveedores de terceros más conectados, el 70% tenía una vulnerabilidad listada por CISA KEV, el 84% tenía vulnerabilidades críticas con una puntuación CVSS de 8 o más, y el 62% tenía credenciales corporativas circulando en registros de stealer logs. Altas puntuaciones de cumplimiento y graves brechas de seguridad conviven sin problema, y el propio modelo de evaluación es parte de la causa.

El World Economic Forum’s 2026 Global Cybersecurity Outlook confirma que la gestión de riesgos en la cadena de suministro se trata como una simple lista de verificación de cumplimiento, no como un proceso dinámico. Solo el 27% de las organizaciones simula incidentes cibernéticos o realiza ejercicios de recuperación con socios de la cadena de suministro. Solo el 33% mapea integralmente sus ecosistemas de cadena de suministro. El modelo de evaluadores alimenta esta complacencia al producir certificaciones que parecen autoritativas pero no exigen el nivel de evidencia que requiere la verdadera seguridad.

De «demasiado grande para caer» a «demasiado integrado para rechazar»

La historia de GCC High no trata solo de un producto. Trata de lo que ocurre cuando la adopción de la nube supera la validación de la seguridad.

Cuando Melinda Rogers, del DOJ, autorizó GCC High a principios de 2020, el producto ingresó al FedRAMP Marketplace como «en proceso». Ese listado —en un sitio web gubernamental utilizado por equipos de adquisiciones de todo el gobierno federal— funcionó como un aval implícito. Otras agencias lo adoptaron. El Pentágono exigió a sus contratistas cumplir los estándares FedRAMP, y Microsoft promocionó GCC High ante empresas de defensa como Boeing como producto que cumplía esos requisitos, incluso sin autorización completa.

Cuando el equipo de revisión de FedRAMP concluyó que el producto tenía problemas fundamentales, retirarlo habría interrumpido a varias agencias federales y a innumerables contratistas de defensa. El propio resumen de FedRAMP reconoció la realidad: no autorizarlo «afectaría a varias agencias que ya usan GCC-H». Así que lo autorizaron con condiciones — una advertencia de «compra bajo tu propio riesgo» que trasladó la responsabilidad a cada agencia.

El informe Kiteworks 2025 MFT Survey Report mostró que el 72% de las organizaciones afirma evaluar exhaustivamente la seguridad de los proveedores, pero la tasa de incidentes sigue en el 59%. Una evaluación exhaustiva no cierra las brechas de seguridad si la evaluación se basa en información incompleta. Y cuando el proveedor es demasiado grande y está demasiado integrado como para rechazarlo, la evaluación se vuelve académica.

Los recortes de DOGE empeoraron la situación

Si el proceso FedRAMP ya estaba bajo presión, el Departamento de Eficiencia Gubernamental lo dejó sin capacidad estructural. El personal del programa fue recortado, el presupuesto reducido a 10 millones de dólares —el más bajo en una década— y los aproximadamente dos docenas de empleados restantes recibieron la orden de centrarse en emitir autorizaciones a máxima velocidad.

El informe Kiteworks 2026 Data Security and Compliance Risk Forecast encontró que las organizaciones gubernamentales tienen una brecha de 24 puntos entre modelos formales de gobernanza (86% de adopción) y la aplicación automatizada del cumplimiento (62% de adopción). Esa brecha significa que la documentación existe, pero la infraestructura para actuar sobre ella no. FedRAMP tras los recortes de DOGE es la versión institucional de este mismo problema: el programa existe, pero su capacidad para hacer un trabajo significativo ha sido vaciada.

Esto importa mucho más allá de Microsoft. A medida que el gobierno federal acelera la adopción de herramientas de IA en la nube —herramientas que requieren acceso a enormes volúmenes de datos confidenciales— el programa encargado de validar la seguridad en la nube tiene menos recursos, menos experiencia y más presión para aprobar rápido que nunca antes en su historia. La Casa Blanca de Biden emitió un memorando diciendo que FedRAMP «debe ser capaz de realizar revisiones rigurosas». La GSA de la administración actual respondió que el trabajo de FedRAMP «no es determinar si un servicio en la nube es lo suficientemente seguro», sino «asegurar que las agencias tengan suficiente información para tomar esas decisiones de riesgo». Es una reducción significativa de la ambición. Y la mayoría de las agencias no tiene el personal para cubrir ese vacío.

La puerta giratoria que completa el panorama

La investigación de ProPublica documentó otro aspecto que merece atención: el movimiento de los principales responsables de decisiones entre el gobierno y Microsoft. Melinda Rogers, la funcionaria del DOJ que autorizó GCC High y luego se sentó junto al enlace de Microsoft en una reunión presionando a FedRAMP para aprobar el producto, fue contratada por Microsoft en 2025. Lisa Monaco, la vicefiscal general que lanzó la iniciativa del DOJ para responsabilizar a los contratistas gubernamentales por fraude de ciberseguridad, dejó el gobierno en enero de 2025. Microsoft la contrató como presidenta de asuntos globales.

Microsoft afirmó que ambas contrataciones cumplieron todas las normas éticas. Puede que sea cierto. Pero la imagen —sumada a los cinco años de deferencia que FedRAMP mostró a una empresa cuyos productos estuvieron en el centro de dos de los peores ciberataques contra el gobierno de EE. UU.— ilustra una dinámica más amplia. Las empresas evaluadas, quienes hacen las evaluaciones y quienes hacen cumplir las reglas forman parte del mismo ecosistema. La independencia en ese entorno requiere salvaguardias estructurales, no solo buenas intenciones.

Arquitectura antes que autorización: el enfoque de Kiteworks para la seguridad en la nube federal

El caso de GCC High muestra lo que sucede cuando las organizaciones tratan la autorización de cumplimiento como un sustituto de la seguridad. Kiteworks adopta el enfoque opuesto: construir primero la arquitectura de seguridad y dejar que la evidencia de cumplimiento surja de los propios controles.

Kiteworks ha mantenido la Autorización FedRAMP Moderate de forma continua desde junio de 2017 — casi nueve años de validación federal ininterrumpida. Su Secure Gov Cloud ha avanzado a FedRAMP High In Process, con una agencia asociada revisando el paquete de seguridad para la Autorización de Operación en el nivel de impacto High. La progresión —Moderate desde 2017, High Ready en febrero de 2025, High In Process en 2026— refleja un historial comprobado, no una simple afirmación de marketing.

Donde el caso GCC High expuso brechas en la documentación de cifrado y visibilidad de flujos de datos, Kiteworks ofrece un dispositivo virtual reforzado de tenencia única con controles de seguridad integrados — firewall de red, firewall de aplicaciones web, detección de intrusiones — que no requieren configuración por parte del cliente. El cifrado doble en reposo utiliza claves separadas a nivel de archivo y de disco. Los módulos criptográficos validados FIPS 140-3 cumplen los estándares que exigen el 69% de los encuestados gubernamentales y el 59% de los de servicios financieros, según datos de encuestas de Kiteworks. Cada intercambio de datos confidenciales —correo electrónico, uso compartido de archivos, SFTP, MFT, formularios de datos, APIs— genera un registro de auditoría completo y en tiempo real, sin limitaciones ni retrasos.

La diferencia arquitectónica importa. Donde los revisores de FedRAMP de Microsoft describieron un sistema en el que no podían ver el interior, Kiteworks ofrece visibilidad total de cada flujo de datos en todos los canales de intercambio. Donde los evaluadores externos tuvieron dificultades para obtener una visión completa, los paneles de cumplimiento diseñados por Kiteworks mapean controles a más de 14 marcos regulatorios desde una sola plataforma.

Qué deben hacer las organizaciones ahora — sin esperar a que FedRAMP se arregle

Primero, deja de tratar la autorización FedRAMP como una garantía de seguridad. Es solo un insumo en una evaluación de riesgos, no una conclusión. Cualquier proveedor en la nube que maneje datos confidenciales debe poder demostrar la arquitectura de cifrado, la visibilidad de los flujos de datos y la integridad de los registros de auditoría con un nivel de detalle que tu equipo de seguridad pueda verificar de forma independiente.

Segundo, exige documentación de flujos de datos a tus proveedores en la nube. El hecho de que Microsoft haya tardado cinco años en producir lo que Amazon y Google entregan de forma rutinaria debería cambiar la forma en que evalúas la postura de seguridad de tus proveedores. Si un proveedor no puede mostrarte exactamente cómo se cifra tu información en tránsito y en reposo, eso es un hallazgo, no una conversación.

Tercero, audita tus relaciones con los evaluadores. La dinámica informal entre Coalfire, Kratos y FedRAMP revela un conflicto sistémico de intereses. Según el World Economic Forum, solo el 33% de las organizaciones mapea integralmente sus ecosistemas de cadena de suministro para entender la exposición a amenazas. Tu programa de riesgos de terceros debe incluir una verificación independiente que no dependa de los propios evaluadores del proveedor.

Cuarto, evalúa la arquitectura en la nube para identificar riesgos de concentración de proveedores. El 2026 Black Kite Third-Party Breach Report identificó 136 incidentes verificados de brechas de terceros que afectaron a unas 26,000 empresas. Cuando un solo proveedor en la nube se vuelve demasiado integrado como para rechazarlo —como ocurrió con GCC High— tu organización hereda cada brecha de seguridad que ese proveedor arrastra.

Quinto, prioriza la monitorización continua del cumplimiento sobre las evaluaciones periódicas. Los datos de Kiteworks Forecast muestran que el 25% de las organizaciones aún utiliza el cumplimiento manual o periódico como enfoque principal. En un entorno de amenazas donde el tiempo promedio de irrupción de eCrime es de 29 minutos, según el 2026 CrowdStrike Global Threat Report, las revisiones trimestrales de cumplimiento ya son cosa del pasado.

El caso GCC High no creó la brecha entre cumplimiento y seguridad. Solo la hizo imposible de negar. Las organizaciones que actúen con esta información —exigiendo pruebas arquitectónicas en lugar de etiquetas de autorización— estarán en una posición fundamentalmente mejor que aquellas que esperan a la próxima investigación para enterarse de lo que ya deberían saber.

Preguntas frecuentes

La autorización FedRAMP no es una garantía de seguridad — es un proceso de revisión estandarizado con limitaciones estructurales. La investigación de ProPublica demostró que los productos pueden ser autorizados a pesar de dudas de seguridad sin resolver. Las agencias federales deben tratar FedRAMP como un insumo más en las decisiones de riesgo, no como un veredicto final, y verificar de forma independiente el cifrado, la arquitectura de flujos de datos y la integridad de los registros de auditoría.

Los contratistas de defensa que usan GCC High deben revisar las condiciones del informe de cobertura de FedRAMP y evaluar si cumplen completamente los requisitos CMMC. Según datos de encuestas de Kiteworks/Coalfire, solo el 46% de las organizaciones de la DIB se consideran listas para CMMC y el 62% carece de controles de gobernanza adecuados. Verifica de forma independiente que tu entorno en la nube proporcione el cifrado, los registros y los controles de acceso que exige el CMMC nivel 2.

Exige diagramas de flujo de datos que muestren exactamente dónde ocurre el cifrado y el descifrado en cada servicio que maneje tu información. El caso GCC High reveló que Microsoft no pudo producir esto ni para un solo servicio en cinco años, mientras que competidores como Amazon y Google lo entregan de forma rutinaria. El 2026 Thales Data Threat Report encontró que solo el 33% de las organizaciones tiene visibilidad completa sobre la ubicación de sus datos — no permitas que tu proveedor en la nube comparta ese punto ciego.

El modelo de evaluador pagado por el proveedor genera conflictos inherentes, como demostró el caso GCC High cuando los evaluadores transmitieron preocupaciones por canales informales mientras sus informes oficiales quedaban limpios. El 2026 Black Kite Third-Party Breach Report halló que el 53,77% de las organizaciones monitoreadas tenía vulnerabilidades críticas a pesar de ostentar altos puntajes cibernéticos. Complementa las evaluaciones de los proveedores con validación técnica independiente y monitorización continua.

La investigación sobre GCC High resalta la complejidad arquitectónica de los entornos multi-tenant como un riesgo clave de seguridad. Los revisores de FedRAMP describieron los recorridos de datos de Microsoft como opacos y difíciles de verificar. Las arquitecturas de tenencia única como Kiteworks eliminan la exposición a vulnerabilidades entre inquilinos y ofrecen visibilidad total de los flujos de datos, brindando seguridad verificable en vez de depender de la promesa del proveedor de que el cifrado ocurre en algún lugar dentro de una caja negra.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks