Tres términos aparecen constantemente en las adquisiciones de servicios en la nube para el gobierno federal de EE. UU.: FedRAMP Authorized, FedRAMP Compliant y FedRAMP Equivalent. Suenan intercambiables, pero no lo son. Uno tiene reconocimiento federal, otro es un término informal y el tercero es una frase de marketing sin definición oficial. Cuál de ellos aplica a su proveedor de nube determina si la postura de cumplimiento de su organización es real o simplemente está documentada.

Esta guía explica qué es FedRAMP, cómo funciona realmente el proceso de autorización, qué cambió con la reestructuración del programa en 2026 y cómo evaluar las afirmaciones de los proveedores, incluida la del término «equivalente», que se ha convertido en la distinción más determinante en las adquisiciones de nube para el gobierno federal.

Cumplimiento y Certificación FedRAMP | Por Qué Es Importante

Resumen ejecutivo

Idea principal: FedRAMP es el marco de autorización de seguridad en la nube del gobierno federal de EE. UU. Los términos «FedRAMP Authorized», «FedRAMP Compliant» y «FedRAMP Equivalent» suenan similares, pero tienen un peso legal y operativo fundamentalmente distinto. Conocer la diferencia determina si su proveedor de nube realmente cumple con sus requisitos de cumplimiento normativo, o solo afirma hacerlo.

Por qué debería importarle: Las evaluaciones de CMMC 2.0 están acelerándose. La Directiva Operativa Vinculante 26-04 de CISA ha endurecido la aplicación de normas para las agencias civiles federales. Y el propio FedRAMP atravesó una importante reestructuración con CR26 en mayo de 2026. Si su proveedor dice ser «FedRAMP equivalente», necesita entender exactamente qué significa eso, y qué no significa, antes de que se convierta en una brecha detectada durante una evaluación.

Puntos clave

1. FedRAMP es un programa federal de autorización de seguridad en la nube, no una certificación que se autoproclama.

El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en inglés) exige una evaluación independiente por parte de una Organización de Evaluación Externa acreditada (3PAO, por sus siglas en inglés), controles de seguridad documentados y una Autorización para Operar (ATO) emitida por un funcionario federal autorizante. El FedRAMP Marketplace incluye solo tres designaciones oficiales: Authorized (Autorizado), In Process (En proceso) y Ready (Listo). Esas son las únicas tres. «Equivalente» no figura entre ellas.

2. «FedRAMP Authorized» y «FedRAMP Compliant» no son lo mismo.

Authorized (Autorizado) significa que un funcionario federal autorizante revisó una evaluación independiente realizada por un 3PAO y emitió una ATO, y que el servicio figura en el FedRAMP Marketplace como Authorized. Compliant (conforme) es un término informal sin definición federal. Un proveedor que se autodenomina «FedRAMP Compliant» puede contar con autorización real, o simplemente estar afirmando que sus prácticas de seguridad se asemejan a los requisitos de FedRAMP. La única forma de verificarlo es consultar directamente el Marketplace.

3. «FedRAMP Equivalent» es un término de marketing, no un estatus federal.

No tiene definición en el NIST 800-53, no forma parte del proceso de autorización de FedRAMP y no aparece listado en el FedRAMP Marketplace. Un memorando del Departamento de Defensa de enero de 2024 aclaró que incluso una afirmación legítima de equivalencia requiere la implementación del 100 % de los controles de FedRAMP Moderate, evaluados por un 3PAO acreditado, un estándar que la mayoría de los proveedores que usan el término no ha cumplido. Cuando un proveedor afirma ser «equivalente», el trabajo de cumplimiento que se saltó se convierte en su brecha de cumplimiento.

4. CR26, lanzado en mayo de 2026, reestructura los niveles de autorización de FedRAMP.

Las conocidas categorías Low/Moderate/High están siendo reemplazadas por un sistema de clases con letras. La Clase C corresponde al antiguo Moderate, el nivel que abarca la mayoría de las cargas de trabajo y sistemas de agencias federales que manejan Información No Clasificada Controlada (CUI). La Clase D corresponde al antiguo High. Los requisitos ahora se publican como declaraciones MUST/MUST NOT (DEBE/NO DEBE) legibles por máquina, en lugar de documentos en prosa, lo que elimina las inconsistencias interpretativas entre evaluadores y proveedores.

5. Usar una plataforma FedRAMP Authorized transfiere una herencia de controles documentada. Usar una plataforma «equivalente» no lo hace.

Cuando su proveedor de nube cuenta con una autorización real de FedRAMP, su evaluador puede confirmar controles que un evaluador federal independiente ya verificó. Su carga de cumplimiento se reduce de forma medible. Cuando un proveedor afirma ser «equivalente», no existe una evaluación de un 3PAO a la cual remitirse, ni revisión por parte de una agencia, ni presencia en el Marketplace: el trabajo de cumplimiento que el proveedor se saltó es ahora trabajo que su equipo debe realizar.

Qué es FedRAMP y por qué existe

FedRAMP fue creado por la Oficina de Administración y Presupuesto (OMB) en 2011, en el marco de la política federal «Cloud First». El problema que resolvió era real: cada agencia federal realizaba sus propias evaluaciones de seguridad en la nube de forma independiente, generando resultados inconsistentes y duplicando esfuerzos en cientos de decisiones de adquisición.

El principio de «autorizar una vez, usar muchas veces» cambió esa dinámica. Un proveedor de nube evaluado y autorizado una sola vez podía ser utilizado por cualquier agencia federal sin necesidad de una nueva evaluación completa. Cualquier servicio en la nube que almacene, procese o transmita datos federales cae bajo la jurisdicción de FedRAMP, incluidos los servicios utilizados por contratistas de defensa que manejan Información de Defensa Cubierta (CDI) bajo DFARS 252.204-7012.

Cómo funciona realmente la autorización FedRAMP

El proceso de autorización se desarrolla en cuatro etapas.

Preparación. El proveedor de servicios en la nube documenta su postura de seguridad en un Plan de Seguridad del Sistema (SSP), realiza un inventario de todos los componentes del sistema y mapea la implementación de los controles de seguridad.

Evaluación. Un 3PAO acreditado, independiente del proveedor y con reconocimiento federal, lleva a cabo una evaluación completa de los controles de seguridad del proveedor frente a la línea base de FedRAMP aplicable. La evaluación produce un Informe de Evaluación de Seguridad (SAR) que documenta hallazgos, brechas y resultados de la validación de controles.

Autorización. El paquete de evaluación se envía a un funcionario federal autorizante, quien lo revisa y emite una Autorización para Operar (ATO). Este es el paso que convierte la autorización en algo real: es un funcionario federal, no el proveedor, quien toma la decisión.

Monitoreo. La autorización no es un logro puntual. Los proveedores autorizados envían de forma continua escaneos mensuales de vulnerabilidades, resultados anuales de pruebas de penetración y Planes de Acción e Hitos (POA&M) abiertos a los funcionarios autorizantes. Este registro de monitoreo continuo es lo que permite a las agencias verificar la postura de seguridad de un proveedor en cualquier momento, no solo en el momento de la autorización inicial.

Vale la pena señalar un dato estructural: la Junta de Autorización Conjunta (JAB), que anteriormente emitía las ATO provisionales de alcance gubernamental, fue suspendida en 2023 como parte de la modernización de FedRAMP. Las ATO específicas de cada agencia son ahora la vía de autorización principal.

Los tres términos que realmente importan

Esta es la distinción que la mayoría de las conversaciones sobre adquisiciones pasan por alto, y es exactamente donde se genera una exposición real en materia de cumplimiento.

FedRAMP Authorized es el único término con reconocimiento federal. Significa que un 3PAO validó de forma independiente los controles de seguridad del proveedor, que un funcionario federal autorizante revisó la evaluación y emitió una ATO, y que el servicio figura en marketplace.fedramp.gov como Authorized. El monitoreo continuo está en curso, documentado y es reportable. Cuando una agencia o contratista necesita evidencia de la postura de seguridad de un proveedor (plazos de parcheo, resultados de escaneos de vulnerabilidades, hallazgos abiertos), un proveedor autorizado puede proporcionarla.

FedRAMP Compliant es un término informal sin definición federal oficial. Algunos proveedores lo usan para indicar que cuentan con autorización. Otros lo usan para dar a entender que su programa de seguridad se asemeja a los requisitos de FedRAMP. El término en sí no le dice nada. Cuando vea «compliant», verifique en el Marketplace si el estatus real es «authorized».

FedRAMP Equivalent es una frase de marketing que surgió porque obtener una autorización real de FedRAMP resulta costoso y lento: una autorización completa de nivel Moderate suele requerir entre 12 y 24 meses, y varios millones de dólares en costos de evaluación, remediación y documentación. Muchos proveedores, especialmente los más pequeños sin una práctica dedicada al sector federal, encontraron más sencillo describir su postura de seguridad como «equivalente» en lugar de buscar la autorización real. La frase no tiene definición en el NIST 800-53, no forma parte del proceso de autorización de FedRAMP y no aparece listada en el Marketplace.

Un memorando del Departamento de Defensa de enero de 2024 abordó este tema de forma directa. Aclaró que incluso una afirmación legítima de equivalencia (una que satisfaga los requisitos de DFARS 7012) exige que el proveedor de servicios en la nube implemente el 100 % de los controles de seguridad vigentes de FedRAMP Moderate, se someta a una evaluación por parte de un 3PAO reconocido por FedRAMP, y proporcione un conjunto completo de evidencias que incluya el SSP, el SAP, el SAR y el POA&M. Lograr una equivalencia genuina bajo ese estándar suele ser más complicado que obtener la autorización real de FedRAMP Moderate, porque la equivalencia carece de procesos estandarizados y requiere una revisión personalizada. La mayoría de los proveedores que usan el término no ha cumplido ninguno de estos requisitos.

La consecuencia práctica: cuando un proveedor afirma ser «equivalente» en lugar de contar con autorización real, el trabajo de cumplimiento que se saltó se convierte en trabajo suyo. No hay una evaluación de un 3PAO a la que remitirse, ni revisión por parte de una agencia, ni aceptación por parte de la PMO, ni presencia en el Marketplace. Lo que existe es un documento técnico del proveedor que afirma que sus controles son «probablemente» comparables a la línea base de FedRAMP Moderate. Esa palabra —probablemente— pesa mucho en su postura de cumplimiento cuando un evaluador C3PAO está frente a usted.

Para profundizar en cómo se manifiesta esto en las evaluaciones de CMMC y bajo la BOD 26-04, consulte FedRAMP Equivalent vs. Authorized: What’s at Stake y Why Empty Claims of FedRAMP Equivalency Put CMMC Compliance at Risk.

Qué cambió con CR26 en FedRAMP durante 2026

FedRAMP lanzó las Reglas Consolidadas 2026 (CR26) en vista previa pública el 4 de mayo de 2026, con lanzamiento final programado para fines de junio. Se trata del cambio estructural más significativo del programa desde su creación.

El cambio más profundo es la forma en que se expresan los requisitos. FedRAMP siempre se ha basado en requisitos, pero estos vivían en archivos de Word, PDF y hojas de cálculo que evaluadores y proveedores interpretaban de forma distinta, generando inconsistencias entre evaluaciones y prolongando los plazos de autorización. CR26 reemplaza esa prosa por declaraciones MUST/MUST NOT (DEBE/NO DEBE) publicadas como datos estructurados y legibles por máquina en GitHub. Los requisitos ahora están versionados y son consultables; evaluadores y proveedores ya no pueden discrepar sobre su significado.

La estructura de niveles también cambia. Low/Moderate/High es reemplazado por las Clases A a D. La Clase C es el nivel operativo para la mayoría de las implementaciones en la nube del gobierno federal: corresponde al antiguo Moderate y cubre la mayoría de los sistemas que manejan CUI y las cargas de trabajo de agencias civiles. La Clase D corresponde al antiguo High. La estructura es acumulativa: cada clase incluye todos los controles de la clase anterior, más requisitos adicionales.

Para las organizaciones que ya cuentan con autorización FedRAMP Moderate, los controles no cambian de forma fundamental: la tarea consiste en mapear la documentación actual del SSP a la nueva estructura de Clase C. Para las organizaciones que evalúan proveedores, «Class C Authorized» es el equivalente de lo que antes se denominaba «FedRAMP Moderate Authorized».

Una implicación que vale la pena destacar: el término «FedRAMP equivalente» pierde aún más sentido bajo CR26. No existe ninguna vía de equivalencia dentro del sistema de clases. El Marketplace sigue listando únicamente Authorized, In Process y Ready, y nada más.

Para conocer en detalle CR26 y lo que significa para su hoja de ruta de autorización, consulte FedRAMP CR26: What It Actually Means for Your Authorization.

Qué significan los niveles de autorización de FedRAMP para su organización

El nivel de autorización adecuado depende de la sensibilidad de los datos involucrados y del impacto que causaría una brecha de seguridad.

FedRAMP Moderate (Clase C) cubre la mayoría de los casos de uso de nube en el gobierno federal, aproximadamente el 80 %, e involucra datos sensibles pero no clasificados donde una brecha causaría un daño grave. Esto incluye CUI, registros rutinarios de agencias, PII y la mayoría de los sistemas orientados a contratistas que manejan datos de la cadena de suministro, esquemas técnicos e información de adquisiciones. Es también el nivel de autorización exigido por DFARS 252.204-7012 para los servicios en la nube que manejan Información de Defensa Cubierta, y la línea base sobre la que se construye CMMC 2.0 para los contratistas de defensa.

FedRAMP High (Clase D) está reservado para los datos no clasificados más sensibles del gobierno: sistemas donde un compromiso de seguridad podría provocar pérdida de vidas, amenazas a la seguridad nacional o daños catastróficos. Esto incluye servicios de emergencia, inteligencia de las fuerzas del orden, especificaciones de armamento reguladas por ITAR y sistemas financieros de alcance nacional.

Para los contratistas de defensa en particular: DFARS 252.204-7012 exige que cualquier servicio en la nube que maneje Información de Defensa Cubierta cumpla con los requisitos de FedRAMP Moderate. CMMC 2.0 amplía este requisito e incorpora la obligatoriedad de una evaluación por parte de terceros. Usar un proveedor con afirmaciones de equivalencia no verificadas crea una brecha de cumplimiento que sale a la luz durante la evaluación C3PAO, y bajo la Iniciativa de Fraude Cibernético Civil del Departamento de Defensa, las tergiversaciones en materia de ciberseguridad conllevan exposición bajo la Ley de Reclamaciones Falsas (False Claims Act).

Para las organizaciones reguladas del sector privado (salud, servicios financieros, sector legal), FedRAMP Moderate se ha convertido en un referente de seguridad de facto incluso sin un mandato federal. El régimen de evaluación independiente y monitoreo continuo ofrece una garantía que ninguna autodeclaración puede replicar.

Cómo verificar el estatus FedRAMP de un proveedor

Tres pasos, en este orden.

Consulte directamente el Marketplace. Ingrese a marketplace.fedramp.gov. Busque al proveedor. Authorized, In Process y Ready son las únicas tres categorías que existen. Si el servicio del proveedor no aparece bajo Authorized, ese proveedor no está autorizado por FedRAMP, sin importar lo que digan sus materiales de marketing.

Confirme la oferta de servicio específica, no solo el nombre de la empresa. Un proveedor puede contar con autorización para un servicio, pero no para otro. El listado en el Marketplace identifica la oferta de servicio en la nube específica, el nivel de autorización, la agencia autorizante y la fecha de autorización. Verifique que el servicio que está evaluando sea el que figura en el listado.

Solicite la documentación de la evaluación. Un proveedor autorizado puede proporcionar el Informe de Evaluación de Seguridad (SAR), el Plan de Seguridad del Sistema (SSP) vigente y su paquete de monitoreo continuo. Quien afirma ser «equivalente» generalmente no puede hacerlo. Si un proveedor duda en entregar la documentación que habría generado una evaluación de un 3PAO, esa duda ya dice mucho.

Cómo aborda Kiteworks FedRAMP

Kiteworks cuenta con la Autorización FedRAMP Moderate, evaluada de forma independiente por Coalfire y monitoreada de forma continua desde junio de 2017, y ha alcanzado el estatus FedRAMP High In Process para su Secure Gov Cloud desde febrero de 2025.

La autorización Moderate abarca 325 controles del NIST SP 800-53 Rev. 5 orientados a datos CUI y de riesgo moderado en todos los canales de intercambio de Kiteworks: correo electrónico seguro, uso compartido seguro de archivos, transferencia gestionada de archivos, SFTP y formularios web seguros. El estatus High In Process de Secure Gov Cloud abarca 421 controles orientados a datos altamente sensibles y críticos: servicios de emergencia, fuerzas del orden y comunicaciones de defensa reguladas por ITAR.

Distinciones clave más allá del nivel de autorización en sí: Kiteworks se somete a una rigurosa auditoría anual de más de 300 controles para mantener su autorización. Se aplica cifrado validado bajo FIPS 140-3 en todos los datos, tanto en reposo como en tránsito. Las claves de cifrado son propiedad del cliente, lo que significa que Kiteworks es técnicamente incapaz de descifrar los datos del cliente. Y para las organizaciones en la ruta de CMMC, la herencia de controles de FedRAMP Moderate reduce el alcance de la evaluación C3PAO, reemplazando afirmaciones de proveedores no verificadas por evidencia documentada de forma independiente.

En Kiteworks, la autorización no es un logro puntual. El escaneo mensual de vulnerabilidades, el monitoreo continuo y la certificación permanente de empleados son la línea base operativa, no la excepción. Ese registro continuo es lo que las agencias y contratistas pueden consultar cuando necesitan demostrar la postura de seguridad de su proveedor de nube, no solo en el momento de la adquisición, sino en cualquier punto durante la vigencia del contrato.

Para ver cómo la autorización FedRAMP de Kiteworks se aplica a sus requisitos específicos de cumplimiento, visite la página de Autorización FedRAMP de Kiteworks o solicite una demostración personalizada.

Preguntas frecuentes

FedRAMP Authorized tiene una definición federal específica: un 3PAO ha evaluado de forma independiente el servicio en la nube, un funcionario federal autorizante ha revisado la evaluación y emitido una Autorización para Operar, y el servicio figura en el FedRAMP Marketplace como Authorized. FedRAMP Compliant es un término informal sin definición federal oficial. Un proveedor que se autodenomina «FedRAMP Compliant» puede contar con autorización real, o simplemente estar afirmando que sus prácticas de seguridad se alinean con los requisitos de FedRAMP. La única forma de confirmarlo es consultar marketplace.fedramp.gov y verificar el estatus Authorized. Si el servicio no aparece allí, el proveedor no está autorizado por FedRAMP, sin importar el lenguaje que utilice.

«FedRAMP equivalente» es un término de marketing sin validez alguna en el proceso de autorización federal. No tiene definición en el NIST 800-53, no forma parte del proceso de autorización de FedRAMP y no aparece listado en el FedRAMP Marketplace. El término surgió porque obtener una autorización real de FedRAMP Moderate suele requerir entre 12 y 24 meses y varios millones de dólares, una barrera que muchos proveedores más pequeños optaron por evitar describiendo su postura de seguridad como «equivalente». Un memorando del Departamento de Defensa de enero de 2024 aclaró que incluso una afirmación legítima de equivalencia bajo DFARS 7012 requiere la implementación del 100 % de los controles de FedRAMP Moderate, evaluados por un 3PAO reconocido por FedRAMP, un estándar que la mayoría de los proveedores que usan el término no ha alcanzado. Para los contratistas de defensa que utilizan una plataforma «equivalente» no verificada para manejar CUI, la brecha de cumplimiento sale a la luz durante la evaluación C3PAO. Consulte FedRAMP Moderate Equivalency: Overview, Requirements and Limitations para un desglose completo.

Las Reglas Consolidadas 2026 de FedRAMP (CR26), lanzadas en mayo de 2026, reemplazaron la estructura de niveles Low/Moderate/High por un sistema de clases con letras: de la Clase A a la Clase D. La Clase C es el nivel operativo para la mayoría de las implementaciones en la nube del gobierno federal y corresponde al antiguo Moderate. La Clase D corresponde al antiguo High. CR26 también reemplazó la documentación de cumplimiento en prosa por requisitos MUST/MUST NOT legibles por máquina, publicados en GitHub, eliminando las inconsistencias interpretativas entre evaluadores y proveedores. Para las organizaciones que ya cuentan con autorización Moderate, los controles subyacentes no cambian de forma sustancial: la tarea consiste en mapear la documentación actual a la estructura de Clase C. Para más detalles, consulte FedRAMP CR26: What It Actually Means for Your Authorization.

Los contratistas de defensa no necesitan obtener ellos mismos la autorización FedRAMP, pero DFARS 252.204-7012 exige que cualquier servicio en la nube que utilicen para almacenar, procesar o transmitir Información de Defensa Cubierta cumpla con los requisitos de FedRAMP Moderate, ya sea mediante una autorización real de FedRAMP Moderate o mediante una equivalencia genuina según lo define el memorando del Departamento de Defensa de enero de 2024. CMMC 2.0 se construye sobre este requisito y añade la obligatoriedad de una evaluación por parte de terceros a través de los C3PAO. Utilizar una plataforma con autorización real FedRAMP Moderate es el camino más claro: los controles validados de forma independiente se transfieren a su programa de cumplimiento mediante herencia documentada, reduciendo el alcance de la evaluación C3PAO. Utilizar una plataforma «equivalente» no verificada crea una brecha que los evaluadores identificarán. Consulte Kiteworks CMMC compliance para más información sobre cómo funciona en la práctica la herencia de autorización.

Ingrese a marketplace.fedramp.gov y busque el servicio del proveedor. El Marketplace lista tres categorías oficiales: Authorized, In Process y Ready. Authorized es el único estatus que significa que un funcionario federal autorizante ha emitido una ATO. Confirme que la oferta de servicio específica que está evaluando sea la que figura en el listado, no solo el nombre de la empresa. Luego, solicite al proveedor su Informe de Evaluación de Seguridad y su Plan de Seguridad del Sistema vigente: un proveedor autorizado puede proporcionar ambos. Si un proveedor no puede o no quiere entregar la documentación de evaluación de un 3PAO, esa es una señal que vale la pena tomar en serio.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Compartir
Twittear
Compartir
Explore Kiteworks