• 3 min de lectura
La pausa de CMMC expone una brecha mayor en los datos de defensa
La suspensión de la Fase II de CMMC eliminó las verificaciones de terceros, no las obligaciones de los contratistas. Eso desplaza la atención a si la IA y los flujos automatizados están gobernados en

Imagen: TechRepublic
La suspensión de la Fase II del CMMC parece menos un contratiempo de calendario y más una prueba de gobernanza para los contratistas de defensa. El Departamento de Guerra suspendió el requisito de evaluación por terceros para contratistas de Nivel 2 porque demasiadas organizaciones necesitan revisiones y hay muy pocas C3PAO acreditadas disponibles para realizarlas.
Como dijo la CIO del Departamento de Guerra, Kirsten Davies, la suspensión «no elimina la exigencia de que las empresas protejan los datos federales». La obligación subyacente de DFARS 252.204-7012 sigue vigente, al igual que las autocertificaciones de NIST 800-171 existentes. Lo que desapareció fue la verificación independiente que podría haber expuesto debilidades antes de que lo hiciera el Departamento de Justicia.
Para muchas organizaciones, esa debilidad ya no se limita a empleados que manejan mal la Información no clasificada controlada (CUI). Los programas de cumplimiento se construyeron en gran medida en torno al acceso humano: recuperación de documentos, intercambio de archivos, colaboración, autenticación, registro de auditorías y respuesta a incidentes. Pero los entornos de defensa ahora incluyen agentes de IA, canalizaciones automatizadas, herramientas integradas con LLM y flujos de trabajo con agentes que mueven datos entre sistemas, a veces más allá del perímetro donde se aplican los controles centrados en humanos.
Ese cambio importa porque los atacantes ya se han movido allí. El Informe Mundial de Amenazas 2026 de CrowdStrike detectó un aumento interanual del 89% en ataques habilitados por IA. Un modelo de gobernanza que cubre a las personas pero no a los sistemas automatizados es, en el mejor de los casos, incompleto.
Aplicación del DOJ y el problema de la autogobernanza
El artículo señala la Iniciativa Civil contra el Fraude Cibernético del DOJ, lanzada en octubre de 2021, que utiliza la Ley de Reclamaciones Falsas para perseguir representaciones falsas sobre ciberseguridad por parte de contratistas del gobierno. Un análisis de Mayer Brown de marzo de 2026 identificó 15 acciones de cumplimiento resueltas desde su lanzamiento, la mayoría ocurridas en el año fiscal 2025. Según la fuente, esos casos no requerían una violación: solo un desajuste entre lo que los contratistas declararon y lo que la evidencia mostraba que realmente existía.

Recomendado
La IA todavía no reemplazará a los pentesters
Eso hace que la suspensión actual sea significativa: durante la misma, las organizaciones de la Base Industrial de Defensa se autogobiernan efectivamente su postura de cumplimiento sin verificación externa. Las preguntas clave son sencillas:
- ¿Se aplican también a los flujos de trabajo automatizados los controles que protegen el acceso humano a la CUI?
- ¿Existe una pista de auditoría unificada que cubra tanto el acceso humano como el de los agentes?
- ¿Sostendría esa evidencia un escrutinio?
Qué deben hacer los contratistas en los próximos 60 días
La fuente desaconseja construir una pila de cumplimiento separada para la IA. En su lugar, recomienda una arquitectura de gobernanza unificada que aplique la misma capa de políticas —controles de acceso, registro, manejo de datos y cumplimiento— a cada identidad que toque datos sensibles, ya sea humana o de máquina.
Destaca tres pasos inmediatos para los líderes tecnológicos:
- Auditar el panorama completo de acceso mapeando cada entidad humana y automatizada que recupera, procesa o enruta CUI.
- Generar pruebas de forma continua en lugar de confiar en preparaciones para evaluaciones puntuales.
- Extender la aplicación de políticas a todas las identidades bajo una única capa de control.
Ese enfoque podría importar en la próxima versión del modelo de cumplimiento. La solicitud de información (RFI) del Departamento de Guerra, con fecha límite el 14 de agosto en SAM.gov, pregunta explícitamente cómo deben reconocerse las herramientas comerciales de seguridad existentes. Los contratistas que puedan demostrar gobernanza continua tanto del acceso humano como del acceso por agentes podrían estar mejor posicionados cuando se reanude el proceso de auditoría —y mejor protegidos si la aplicación llega primero.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía TechRepublic


