¿Qué es el CMMC (certificación de seguridad de la defensa de EE. UU.)?
El CMMC (Cybersecurity Maturity Model Certification) es el programa del Departamento de Defensa de los Estados Unidos que exige un nivel comprobado de ciberseguridad a quien quiere proveer al sector de defensa estadounidense. Protege dos clases de información del gobierno, la FCI y la CUI, y organiza la exigencia en tres niveles, del más básico al más riguroso. No es solo para empresas estadounidenses: cualquier proveedor de la cadena de defensa, incluidos los subcontratistas fuera de EE. UU., debe alcanzar el nivel exigido en el contrato. La regla final entró en vigor en diciembre de 2024 y pasó a valer en los contratos a partir de noviembre de 2025.
Cómo funciona el CMMC en la práctica
El CMMC ata el derecho a ganar un contrato de defensa a una prueba de ciberseguridad. El proveedor no elige el nivel: viene del tipo de información que el contrato involucra. El ciclo tiene cuatro pasos.
Descubrir el nivel que exige el contrato
Si el trabajo involucra solo información de contrato (FCI), el Nivel 1 basta; si involucra información controlada no clasificada (CUI), entra en juego el Nivel 2 o 3.
Implementar los controles del nivel
El Nivel 2 se apoya en los 110 controles del NIST SP 800-171; el Nivel 3 agrega controles del NIST SP 800-172 para los programas más críticos.
Ser evaluado en el rigor correcto
El Nivel 1 admite autoevaluación; el Nivel 2 suele exigir la evaluación de un tercero acreditado (C3PAO); el Nivel 3 lo evalúa el propio gobierno.
Afirmar y mantener
El cumplimiento se reafirma periódicamente y se registra. Perder el nivel en medio del contrato pone en riesgo el propio contrato.
Fuente: U.S. Department of Defense, regla final del CMMC (32 CFR Parte 170) y NIST SP 800-171 / 800-172.
Los tres niveles del CMMC
- Nivel 1 (Fundamental) Protege la información de contrato (FCI) con 15 requisitos básicos de protección. Admite autoevaluación anual.
- Nivel 2 (Avanzado) Protege la información controlada no clasificada (CUI) con los 110 controles del NIST SP 800-171. Suele exigir la evaluación de un tercero acreditado.
- Nivel 3 (Especialista) Para los programas más críticos, suma controles del NIST SP 800-172 a los 110 del Nivel 2, con una evaluación conducida por el gobierno.
Por qué el CMMC se volvió puerta de entrada, no un ítem opcional
El CMMC convirtió la ciberseguridad en un prerrequisito de negocio: sin el nivel exigido, el proveedor simplemente no puede cerrar el contrato de defensa. El alcance es grande, el Departamento de Defensa estima entre 220 mil y 300 mil empresas en su cadena de suministro, de las cuales cerca de 80 mil necesitarán la certificación de Nivel 2 por evaluación independiente. Y la cadena es global: una empresa de tecnología, ingeniería o logística fuera de EE. UU. que atienda a un contratista de defensa enfrenta la misma exigencia. Como el nivel se propaga por la cadena, el contratista principal exige el CMMC a sus subcontratistas, lo que empuja la exigencia a empresas que ni siquiera tratan directamente con el gobierno.
Cómo se prepara una empresa para el CMMC
Prepararse para el CMMC es menos un certificado de último momento y más operar los controles de base antes de que el contrato lo exija. El camino más directo:
- Sepa si toca FCI o CUIEs lo que define el nivel. Muchos proveedores lo subestiman y descubren tarde que manejan CUI, lo que exige el Nivel 2.
- Implemente los 110 controles del NIST 800-171Son la columna del Nivel 2: control de acceso, respuesta a incidentes, protección de medios y otros dominios que también elevan la seguridad general de la empresa.
- Cierre las brechas con un plan registradoLo que aún no está listo entra en un plan de acción con plazo. El evaluador quiere ver la brecha siendo tratada, no escondida.
- Trátelo como postura continuaEl nivel debe sostenerse durante todo el contrato, con evidencia recolectada de forma continua, no montada a las apuradas la víspera de la evaluación.
En la práctica
La pregunta que revela el riesgo real: ¿la empresa sabe hoy si algún contrato que atiende involucra CUI, o lo descubriría solo cuando el contratista principal pida el certificado de Nivel 2?
Cómo trata Zamak el cumplimiento del CMMC
Zamak Technologies apoya el camino del CMMC y del NIST SP 800-171 como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de los 110 controles, recolección continua de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.