Ir al contenido
Gobernanza y Conformidad

¿Qué es el CMMC (certificación de seguridad de la defensa de EE. UU.)?

El CMMC (Cybersecurity Maturity Model Certification) es el programa del Departamento de Defensa de los Estados Unidos que exige un nivel comprobado de ciberseguridad a quien quiere proveer al sector de defensa estadounidense. Protege dos clases de información del gobierno, la FCI y la CUI, y organiza la exigencia en tres niveles, del más básico al más riguroso. No es solo para empresas estadounidenses: cualquier proveedor de la cadena de defensa, incluidos los subcontratistas fuera de EE. UU., debe alcanzar el nivel exigido en el contrato. La regla final entró en vigor en diciembre de 2024 y pasó a valer en los contratos a partir de noviembre de 2025.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona el CMMC en la práctica

El CMMC ata el derecho a ganar un contrato de defensa a una prueba de ciberseguridad. El proveedor no elige el nivel: viene del tipo de información que el contrato involucra. El ciclo tiene cuatro pasos.

1

Descubrir el nivel que exige el contrato

Si el trabajo involucra solo información de contrato (FCI), el Nivel 1 basta; si involucra información controlada no clasificada (CUI), entra en juego el Nivel 2 o 3.

2

Implementar los controles del nivel

El Nivel 2 se apoya en los 110 controles del NIST SP 800-171; el Nivel 3 agrega controles del NIST SP 800-172 para los programas más críticos.

3

Ser evaluado en el rigor correcto

El Nivel 1 admite autoevaluación; el Nivel 2 suele exigir la evaluación de un tercero acreditado (C3PAO); el Nivel 3 lo evalúa el propio gobierno.

4

Afirmar y mantener

El cumplimiento se reafirma periódicamente y se registra. Perder el nivel en medio del contrato pone en riesgo el propio contrato.

Fuente: U.S. Department of Defense, regla final del CMMC (32 CFR Parte 170) y NIST SP 800-171 / 800-172.

Los tres niveles del CMMC

  • Nivel 1 (Fundamental) Protege la información de contrato (FCI) con 15 requisitos básicos de protección. Admite autoevaluación anual.
  • Nivel 2 (Avanzado) Protege la información controlada no clasificada (CUI) con los 110 controles del NIST SP 800-171. Suele exigir la evaluación de un tercero acreditado.
  • Nivel 3 (Especialista) Para los programas más críticos, suma controles del NIST SP 800-172 a los 110 del Nivel 2, con una evaluación conducida por el gobierno.

Por qué el CMMC se volvió puerta de entrada, no un ítem opcional

220 mil+
empresas en la base industrial de defensa de EE. UU. están en el alcance del CMMC (estimación del DoD)
~80 mil
de ellas necesitarán la certificación de Nivel 2 por evaluación independiente (estimación inicial del DoD)
110
controles del NIST SP 800-171 forman la base del Nivel 2 del CMMC (DoD, 32 CFR 170)

El CMMC convirtió la ciberseguridad en un prerrequisito de negocio: sin el nivel exigido, el proveedor simplemente no puede cerrar el contrato de defensa. El alcance es grande, el Departamento de Defensa estima entre 220 mil y 300 mil empresas en su cadena de suministro, de las cuales cerca de 80 mil necesitarán la certificación de Nivel 2 por evaluación independiente. Y la cadena es global: una empresa de tecnología, ingeniería o logística fuera de EE. UU. que atienda a un contratista de defensa enfrenta la misma exigencia. Como el nivel se propaga por la cadena, el contratista principal exige el CMMC a sus subcontratistas, lo que empuja la exigencia a empresas que ni siquiera tratan directamente con el gobierno.

Cómo se prepara una empresa para el CMMC

Prepararse para el CMMC es menos un certificado de último momento y más operar los controles de base antes de que el contrato lo exija. El camino más directo:

  1. Sepa si toca FCI o CUIEs lo que define el nivel. Muchos proveedores lo subestiman y descubren tarde que manejan CUI, lo que exige el Nivel 2.
  2. Implemente los 110 controles del NIST 800-171Son la columna del Nivel 2: control de acceso, respuesta a incidentes, protección de medios y otros dominios que también elevan la seguridad general de la empresa.
  3. Cierre las brechas con un plan registradoLo que aún no está listo entra en un plan de acción con plazo. El evaluador quiere ver la brecha siendo tratada, no escondida.
  4. Trátelo como postura continuaEl nivel debe sostenerse durante todo el contrato, con evidencia recolectada de forma continua, no montada a las apuradas la víspera de la evaluación.

En la práctica

La pregunta que revela el riesgo real: ¿la empresa sabe hoy si algún contrato que atiende involucra CUI, o lo descubriría solo cuando el contratista principal pida el certificado de Nivel 2?

Cómo trata Zamak el cumplimiento del CMMC

Zamak Technologies apoya el camino del CMMC y del NIST SP 800-171 como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de los 110 controles, recolección continua de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.

Preguntas frecuentes sobre el CMMC

¿El CMMC aplica solo a empresas de EE. UU.?
No. Aplica a cualquier empresa que quiera proveer al sector de defensa estadounidense, incluidos los subcontratistas fuera de EE. UU. Si el contrato exige un nivel de CMMC, el proveedor debe alcanzarlo, esté donde esté.
¿Cuál es la diferencia entre FCI y CUI?
La FCI (Federal Contract Information) es la información de contrato no pública; la CUI (Controlled Unclassified Information) es la información controlada más sensible, sin ser clasificada. Tocar CUI exige un nivel más alto de CMMC.
¿Cuál es la relación entre el CMMC y el NIST SP 800-171?
El Nivel 2 del CMMC es, en la práctica, la implementación de los 110 controles del NIST SP 800-171, con una evaluación formal por encima. Quien ya sigue el 800-171 tiene gran parte del camino recorrido.
¿Necesito una evaluación de tercero o puedo autoevaluarme?
Depende del nivel. El Nivel 1 admite autoevaluación; el Nivel 2 suele exigir un evaluador tercero acreditado (C3PAO); el Nivel 3 lo evalúa el gobierno.
¿Una empresa pequeña también necesita CMMC?
Sí, si está en la cadena de defensa. El nivel exigido depende de la información que la empresa toca, no de su tamaño. Los pequeños subcontratistas que manejan FCI necesitan al menos el Nivel 1.
¿El CMMC es lo mismo que el NIST CSF?
No. El NIST CSF es una guía voluntaria de gestión de riesgo cibernético; el CMMC es una exigencia contractual específica de la defensa de EE. UU., con evaluación formal y certificación. Se complementan, pero cumplen papeles distintos.

Términos relacionados

Amenazas y Ataques
Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake