Si envía cualquier cosa al Departamento de Defensa —desde piezas mecanizadas hasta software, desde servicios logísticos hasta planos de ingeniería— hay un reloj en marcha para su negocio. El programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) entró oficialmente en los contratos del DoD el 10 de noviembre de 2025, y la fase de certificación por terceros que sigue el 10 de noviembre de 2026 descalificará silenciosamente a miles de pequeños subcontratistas que asumieron que tenían más tiempo.
El hecho más incómodo sobre el CMMC es que no es realmente un libro de reglas nuevo. Es un mecanismo de verificación para los requisitos de ciberseguridad que han estado integrados en el Suplemento del Reglamento de Adquisiciones Federales de Defensa (DFARS) desde 2017. Las encuestas de la industria aún muestran que menos del 15 por ciento de los contratistas de defensa han implementado completamente esos controles subyacentes de NIST SP 800-171. Esa es la brecha que el CMMC está diseñado para exponer —y la brecha que ahora es contractualmente material para decidir si gana o pierde una licitación.
Esta guía es para propietarios, directores de operaciones y responsables de TI de pequeñas empresas que de repente se ven en la necesidad de traducir un marco de 110 controles, una guía de evaluación de 320 objetivos y un modelo de certificación de tres niveles en algo que puedan presupuestar, planificar y entregar antes de que se cierre la próxima licitación.
Los tres niveles en lenguaje sencillo
El CMMC 2.0 simplifica el modelo original de cinco niveles a tres. El nivel que necesita viene determinado por el tipo de información gubernamental que maneja, no por el tamaño de su empresa o el valor en dólares de su contrato.
Nivel 1 (Fundamental) se aplica si su única información relacionada con el DoD es la Información de Contratos Federales (FCI) —la información no pública generada bajo o para un contrato que el gobierno no ha designado para su publicación. Piense en órdenes de compra, calendarios de entrega, datos básicos de enunciados de trabajo. El Nivel 1 se corresponde con los 17 controles básicos de salvaguarda de la cláusula FAR 52.204-21 y se cumple mediante una autoevaluación anual con la afirmación de un alto directivo en el Sistema de Riesgo de Desempeño del Proveedor (SPRS) del DoD.
Nivel 2 (Avanzado) se aplica en el momento en que cualquier Información No Clasificada Controlada (CUI) entra en su entorno. La CUI es una categoría más amplia que incluye datos técnicos controlados por exportación, información técnica controlada, información de propulsión nuclear naval, ciertos tipos de información de identificación personal y otras categorías definidas en el Registro de CUI. El Nivel 2 requiere la implementación de los 110 controles de NIST SP 800-171 Revisión 2, evaluados frente a los 320 objetivos de evaluación de NIST SP 800-171A. La mayoría de los contratos de Nivel 2 requieren una evaluación trienal por parte de una Organización de Evaluadores Externos Certificada (C3PAO). Un pequeño grupo de contratos de "CUI no crítica" puede permitir la autoevaluación anual, pero no debe asumir que su contrato califica a menos que el oficial de contrataciones lo indique explícitamente.
Nivel 3 (Experto) está reservado para contratistas que manejan CUI asociada con los programas de mayor prioridad del DoD. Añade 24 controles de NIST SP 800-172 por encima de los 110 de 800-171, y es evaluado por el Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC). Si no sabe ya que es de Nivel 3, es casi seguro que no lo sea.
La implicación práctica: si su empresa alguna vez recibe planos técnicos, especificaciones marcadas como CUI, datos controlados por ITAR o cualquier cosa que el contratista principal describa como "controlada", usted es un taller de Nivel 2 y debe presupuestar en consecuencia.
Qué cambió en la regla final
La enmienda del DFARS que codifica el CMMC entró en vigor el 10 de noviembre de 2025, con un despliegue gradual de cuatro años. Tres piezas de la regla merecen atención porque suelen malinterpretarse.
Primero, la cláusula DFARS 252.204-7019 —el requisito independiente de realizar una autoevaluación básica de NIST SP 800-171 y publicar una puntuación en el SPRS— se ha integrado en las cláusulas de CMMC y ya no existe como una disposición separada. Muchas pequeñas empresas todavía operan bajo el supuesto de que publicar una puntuación de autoevaluación es el fin de su obligación de cumplimiento. Después del 10 de noviembre de 2025, es el mínimo indispensable para licitar, y después del 10 de noviembre de 2026, dejará de ser suficiente para la mayoría de los contratos con CUI.
Segundo, la cláusula DFARS 252.204-7021 convierte la certificación CMMC en una condición para la adjudicación del contrato y exige que el contratista mantenga dicha certificación durante todo el periodo de ejecución. Esto significa que su certificación no puede caducar silenciosamente a mitad del contrato; si lo hace, tendrá un problema de cumplimiento que se trasladará por la cadena de suministro hasta el contratista principal.
Tercero, la cláusula DFARS 252.204-7012 —la cláusula de notificación de incidentes que ha estado en vigor desde 2017— permanece intacta. Sigue teniendo 72 horas para informar de un incidente cibernético que afecte a la información de defensa cubierta, y sigue teniendo que proporcionar medios para el análisis forense si se le solicita.
Las 14 familias de controles, simplificadas
Los 110 controles del Nivel 2 se organizan en 14 familias que reflejan la estructura de la norma NIST SP 800-171. Leerlos en un lenguaje sencillo ayuda a entender dónde reside realmente el trabajo.
Control de acceso (22 controles) regula quién puede iniciar sesión, qué puede ver y qué puede hacer una vez dentro. Se debe prever un inventario de cada usuario, rol y cuenta compartida en su entorno.
Concientización y capacitación (3 controles) requiere capacitación documentada en concientización de seguridad para todos los usuarios y capacitación basada en roles para usuarios privilegiados. Los módulos genéricos de phishing no son suficientes por sí solos.
Auditoría y rendición de cuentas (9 controles) exige que sus sistemas produzcan, protejan y revisen registros (logs) suficientes para reconstruir lo sucedido durante un incidente. Muchas empresas pequeñas fallan aquí no porque no puedan generar registros, sino porque nadie los revisa.
Gestión de la configuración (9 controles) le pide establecer líneas base para cada sistema que maneje CUI (Información No Clasificada Controlada) y gestionar los cambios en esas líneas base. Aquí es donde el software no autorizado y la "shadow IT" se convierten en un hallazgo de auditoría.
Identificación y autenticación (11 controles) es la familia de la autenticación de múltiples factores (MFA). El MFA en cuentas privilegiadas no es negociable. El MFA en todas las cuentas que acceden a CUI es la interpretación práctica que aplican los auditores.
Respuesta a incidentes (3 controles) requiere una capacidad de respuesta a incidentes probada con procedimientos documentados, capacitación y presentación de informes. El plazo de 72 horas de DFARS 7012 hace que esto sea concreto.
Mantenimiento (6 controles) controla cómo realiza el mantenimiento en los sistemas que manejan CUI, incluyendo el mantenimiento remoto y la supervisión de proveedores que intervienen en su entorno.
Protección de medios (9 controles) cubre el etiquetado, transporte, saneamiento y destrucción de medios que contienen CUI — sí, incluyendo esa unidad USB que contiene copias de seguridad de datos de ingeniería.
Seguridad del personal (2 controles) requiere una investigación previa antes de otorgar acceso a CUI y garantiza que el acceso se revoque cuando finalice el empleo.
Protección física (6 controles) rige el acceso físico a las instalaciones donde se procesa CUI, incluyendo registros de visitantes y salvaguardas de equipos.
Evaluación de riesgos (3 controles) requiere evaluaciones de riesgo periódicas y escaneos de vulnerabilidades de sus sistemas dentro del alcance.
Evaluación de seguridad (4 controles) exige un Plan de Seguridad del Sistema (SSP) documentado y un Plan de Acción e Hitos (POA&M) — los dos artefactos que todo asesor abre primero.
Protección de sistemas y comunicaciones (16 controles) cubre la protección de perímetros, el cifrado en tránsito, el cifrado en reposo y la separación arquitectónica de la CUI de otros datos.
Integridad de sistemas e información (7 controles) cubre la remediación de fallas, la protección contra código malicioso y el monitoreo.
Los 110 controles se expanden en 320 objetivos de evaluación en NIST SP 800-171A. Cada objetivo es una pregunta discreta de sí o no que el asesor formulará, y cada uno requiere evidencia: una política, una captura de pantalla de configuración, una muestra de registro, un reconocimiento firmado. Los desarrolladores de repositorios de evidencia de cumplimiento estiman típicamente entre 600 y 1,200 piezas individuales de evidencia para una evaluación limpia de Nivel 2.
¿Cuánto le cuesta esto realmente a una pequeña empresa?
El propio análisis de impacto regulatorio del Departamento de Defensa (DoD) estima que aproximadamente 229,818 de las 337,968 entidades afectadas son pequeñas empresas. La realidad de los costos varía más de lo que admitirá cualquier presentación de ventas de proveedores.
Las evaluaciones de brechas (Gap assessments) de consultores independientes oscilan entre aproximadamente $3,500 en el extremo inferior y $20,000 para una revisión exhaustiva de la Rev. 2 que incluya un borrador del SSP. Este es el mejor dinero que puede invertir antes de comprometerse con la remediación, porque le indica la magnitud real del proyecto.
Los costos de remediación para las pequeñas empresas suelen situarse entre $35,000 y $115,000, dependiendo de la brecha. Los elementos costosos suelen ser: un entorno (tenant) Microsoft 365 GCC High que cumpla con las normas (o el equivalente), detección y respuesta de endpoints (EDR), autenticación de múltiples factores en todas partes, un servicio gestionado de gestión de eventos e información de seguridad (SIEM) y la mano de obra para redactar y operar las políticas requeridas.
Las tarifas de evaluación de C3PAO para la certificación de Nivel 2 suelen oscilar entre $20,000 y $75,000 para un entorno pequeño, y son más elevadas para entornos más grandes o complejos. Los tiempos de espera son actualmente de 3 a 6 meses y van en aumento: hay menos de 100 C3PAO autorizados que atienden a unos 80,000 contratistas de Nivel 2, y el flujo de trabajo aún no satisface la demanda.
Los costos operativos continuos — servicios gestionados, capacitación, herramientas, tiempo del personal interno — suelen añadir entre $10,000 y $20,000 al año para una pequeña empresa, cada año, de forma indefinida.
El costo total de propiedad (TCO) para una pequeña empresa de Nivel 2, incluyendo el primer ciclo de certificación, suele situarse entre $80,000 y $250,000 durante tres años. El Nivel 1 es drásticamente más económico, a menudo alcanzable por menos de $10,000 si su entorno ya está moderadamente bien gestionado.
Estas cifras son incómodas. También son presupuestables. Si sus contratos no pueden absorberlas, esa es una pregunta estratégica que vale la pena responder antes de pasar otro trimestre buscando trabajo en el DoD.
El resquicio del Plan de Acción y Objetivos (POA&M)
La regla final preserva un mecanismo limitado de POA&M para el Nivel 2. Puede obtener una certificación condicional con elementos pendientes, siempre que:
- Su puntuación SPRS sea de 88 o superior (de un total de 110).
- Los elementos pendientes no figuren en la lista de controles de alto valor que deben cumplirse plenamente en el momento de la evaluación (autenticación de múltiples factores, criptografía validada por FIPS, monitoreo continuo de seguridad y algunos otros).
- Cierre cada elemento pendiente en un plazo de 180 días, momento en el que una evaluación de cierre convertirá su estado condicional en definitivo.
Los POA&M son útiles, pero no sustituyen la preparación. Una certificación condicional con una evaluación de cierre fallida a los 180 días es materialmente peor que una evaluación inicial retrasada, ya que puede dar lugar a la pérdida de la certificación a mitad del contrato.
Un camino de 90 días para un pequeño contratista que empieza ahora
Si está leyendo esto a mediados de 2026 y aún no ha empezado, aquí tiene un cronograma comprimido realista. Se asume que el Nivel 2 es su objetivo y que su entorno es representativo de una pequeña empresa con entre 10 y 50 empleados.
Días 1 a 14: Alcance e Inventario. Identifique cada sistema, cuenta de usuario y flujo de datos que interactúe con CUI (Información No Clasificada Controlada). La mayoría de las pequeñas empresas sobreestiman drásticamente el alcance de la CUI en su entorno; el objetivo es el enclave defendible más pequeño posible que cumpla con las obligaciones contractuales. Decida si utilizará un enclave de CUI dedicado (un tenant separado de Microsoft 365 GCC High o equivalente) o si intentará el cumplimiento en toda la empresa. Los enclaves casi siempre son más económicos para las empresas pequeñas.
Días 15 a 30: Evaluación de brechas. Contrate a una organización de profesionales registrados (RPO) o a un consultor cualificado para realizar una evaluación de brechas de NIST SP 800-171 Rev. 2 frente a los 110 controles y 320 objetivos. Exija un informe escrito con hallazgos control por control, remediación recomendada y un borrador del SSP (Plan de Seguridad del Sistema).
Días 31 a 60: Sprints de remediación. Aborde primero los controles de alto valor, ya que estos no pueden incluirse en un POA&M. Implemente MFA en cada cuenta que toque CUI. Migre las cargas de trabajo de CUI a un tenant que cumpla con la normativa. Despliegue EDR. Establezca la recopilación centralizada de registros. Redacte o adquiera los 14 documentos de política que espera la guía de evaluación.
Días 61 a 75: Documentación y formación. Finalice el SSP, complete la formación de seguridad basada en roles, realice su primer ejercicio de simulación de respuesta a incidentes y actualice su puntuación SPRS. Cree el repositorio de evidencias que solicitará el evaluador.
Días 76 a 90: Preevaluación y reserva. Realice una simulación de evaluación interna utilizando NIST SP 800-171A como rúbrica. Cierre cualquier brecha restante. Envíe una solicitud para programar una C3PAO, y acepte que la evaluación real puede tardar entre 90 y 180 días desde la fecha de la solicitud. Utilice el tiempo de espera para operar los controles; los evaluadores buscan evidencia de una operación sostenida, no políticas recién creadas.
Este plan es agresivo. Es alcanzable para una organización con compromiso ejecutivo, un alcance honesto y disposición a invertir. Las organizaciones que intentan adaptar el cumplimiento a un entorno extenso y no documentado suelen tardar entre 9 y 12 meses.
Contabilidad para el proyecto de cumplimiento
Dos errores de gestión financiera complican habitualmente los proyectos de CMMC en las pequeñas empresas.
El primero es tratar el gasto en cumplimiento como un bloque único. Un plan de cuentas limpio separa los costos de remediación por única vez (capitalizables en muchos casos), las suscripciones recurrentes de software (gastos operativos), la mano de obra del personal interno (a menudo prorrateable entre varios programas) y las tarifas de evaluación (un costo a nivel de contrato que puede ser admisible bajo tasas de costos indirectos para trabajos bajo reembolso de costos). Los contratistas de defensa con sistemas contables relevantes para la DCAA necesitan rastrear estas categorías con precisión; una clasificación errónea puede aparecer años después como costos cuestionados.
El segundo es no realizar un seguimiento de los costos de CMMC por contrato. Si su inversión en cumplimiento fue impulsada por un requisito contractual específico, es posible que pueda recuperar una parte a través de costos admisibles o en el precio de futuras adjudicaciones. Si no puede señalar qué contrato respaldó cada dólar invertido, no podrá justificar el caso.
La contabilidad en texto plano y controlada por versiones se adapta bien a este entorno precisamente porque deja un rastro auditable. Cada transacción es legible por humanos, cada cambio está en el control de versiones y los propios libros pueden ser revisados por un auditor de la DCAA sin necesidad de herramientas especializadas de un proveedor. Varios controles de NIST SP 800-171 —especialmente en las familias de Auditoría y Rendición de Cuentas y Gestión de Configuración— exigen propiedades similares en los sistemas de TI, y hay una elegancia discreta en que los registros financieros cumplan con el mismo estándar.
Modos de falla comunes que se deben evitar
Algunos patrones se repiten en los pequeños contratistas que fallan en su primera evaluación.
Tratar MFA como opcional. La autenticación de múltiples factores en cuentas privilegiadas es el fallo de control más común. También es el más barato de solucionar. Resuelva esto en la primera semana.
Clasificación errónea de CUI. Ya sea marcar demasiado como CUI (ampliando el alcance y el costo innecesariamente) o marcar muy poco (creando una exposición real). Presione a su oficial de contrataciones para obtener claridad sobre las categorías de CUI antes de definir el alcance del proyecto.
Confundir la seguridad de TI con el cumplimiento de la ciberseguridad. Un proveedor de servicios gestionados que mantiene sus portátiles actualizados no es lo mismo que una RPO o C3PAO. Las habilidades se solapan, pero el trabajo de documentación, evidencia y preparación para la evaluación es una disciplina diferente.
Subestimar la documentación. Los evaluadores no dan crédito por explicaciones verbales. Cada control necesita evidencia que exista hoy, no evidencia que la empresa podría producir si se le solicita. Construya el repositorio de evidencias a medida que realiza la remediación.
Creer que el contratista principal se encargará. Los contratistas principales (Primes) derivan sus requisitos de cumplimiento a través de los subcontratos. No son su evaluador ni su auditor, pero sin duda se alejarán de un subcontratista que ponga en riesgo su certificación.
Mantenga sus costos de cumplimiento visibles y auditables
El cumplimiento de la ciberseguridad es ahora una partida que todo contratista de defensa mantendrá durante el resto de la vida del programa. Realizar un seguimiento claro de esos costos —por contrato, por familia de controles, por remediación frente a gastos operativos— es la diferencia entre un proyecto que se puede defender en una auditoría de la DCAA y un proyecto que erosiona silenciosamente su margen. Beancount.io ofrece contabilidad en texto plano que le brinda transparencia total y control de versiones sobre cada registro financiero, sin dependencia de proveedores y sin informes de caja negra. Comience gratis y aporte a sus libros la misma preparación para auditorías que el CMMC exige a su entorno de TI.