Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês
Seguridad de Datos
Gobernanza de AlGestión de la Postura de Seguridad de DatosGobernanza del Acceso a DatosPrevención de Pérdida de DatosDescubrimiento y Clasificación de Datos
Seguridad de Identidad
Detección y Respuesta a Amenazas de IdentidadGobernanza y Administración de IdentidadGestión de la Postura de Seguridad de IdentidadGestión de Acceso PrivilegiadoSeguridad del Directorio

El futuro de la seguridad de datos

La Plataforma Netwrix 1Secure™

Explorar
Soluciones
Casos de Uso Destacados Ver todos los casos de uso
Seguridad de Active DirectoryDefensa de Identidad No HumanaGestión de DerechosImplementación en las instalacionesDetección y Análisis de Riesgos de IdentidadDescubrimiento y limpieza de privilegiosFusiones, Adquisiciones y DesinversionesCumplimiento NormativoSeguridad de Microsoft 365Cero Confianza
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint ProtectorNetwrix Privilege SecureAdministrador de Identidad de Netwrix

El checkout de autoservicio está disponible para organizaciones de hasta 150 empleados

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Comprar Ahora Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinarsMicrosoft Alliance
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Protección de CUI: Manejo seguro de información controlada no clasificada

Protección de CUI: Manejo seguro de información controlada no clasificada

Mar 19, 2026

La protección de la información no clasificada controlada (CUI) requiere una identificación, marcaje, salvaguarda y gobernanza de acceso consistentes en cada sistema que toque datos federales. Con la Fase 1 de CMMC en marcha y la regla FAR CUI en vigor, el cumplimiento es ahora un requisito contractual.

La información no clasificada controlada (CUI) es información sensible pero no clasificada que requiere salvaguardias o controles de difusión bajo la ley federal, regulación o política gubernamental. Para las agencias federales y contratistas en defensa, energía, atención médica y otros sectores regulados, la obligación de manejar adecuadamente la CUI conlleva importantes implicaciones de cumplimiento y contractuales.

Sin embargo, muchas organizaciones aún carecen de los procedimientos, controles del sistema y visibilidad necesarios para cumplir con los requisitos federales. Con la implementación de CMMC Fase 1 en marcha y el gobierno avanzando hacia requisitos de manejo de contratistas más uniformes a través de la regla FAR CUI, el cumplimiento de CUI ya no es aspiracional. Es un requisito previo del contrato.

Las organizaciones que no pueden demostrar una identificación, marcaje, salvaguarda y controles de difusión adecuados para CUI corren el riesgo de hallazgos adversos en auditorías, retrasos en contratos y pérdida de elegibilidad para futuros premios.

Esta guía desglosa qué es realmente CUI, cómo son los requisitos de protección y cómo construir un enfoque práctico para manejarlo de manera segura.

¿Qué es la información no clasificada controlada (CUI)?

La información controlada no clasificada es información que el gobierno federal crea o posee, o que una entidad crea o posee en nombre del gobierno, que requiere controles de salvaguarda o difusión consistentes con las leyes, regulaciones y políticas gubernamentales aplicables.

Como una categoría formal de información, CUI fue establecida por la Orden Ejecutiva 13556 y codificada en 32 CFR Parte 2002. Reemplazó un mosaico de marcas heredadas como FOUO, LES y SBU con un marco único y consistente para salvaguardar información sensible pero no clasificada en agencias federales y sus contratistas.

Un principio clave fundamenta todo el programa: solo la información que requiere protección de acuerdo con la ley federal, la regulación o la política gubernamental puede ser designada como CUI. Las agencias no pueden crear categorías de CUI basadas únicamente en preferencias administrativas.

CUI se divide en dos categorías de manejo:

  • CUI Básico es el predeterminado. Aplica estándares uniformes de 32 CFR Parte 2002 a todo CUI a menos que el Registro CUI de NARA anote específicamente una categoría como CUI Especificado. Las marcas de banner se ven como CUI o CUI//PRVCY.
  • CUI Especificado se aplica cuando la ley o regulación autorizadora contiene controles de manejo específicos que difieren de los valores predeterminados de CUI Básico. Estas categorías llevan un prefijo "SP-", como CUI//SP-CTI.

La diferencia se refiere a la fuente de los controles, no al nivel de sensibilidad; CUI Basic llena cualquier vacío donde la autoridad específica esté en silencio.

El Registro CUI de NARA es la fuente autorizada, que cubre más de 125 categorías. Es donde los contratistas deben ir para determinar la clasificación, el marcado y el manejo adecuados para cualquier CUI que encuentren.

Ejemplos comunes de CUI

No todos los datos sensibles son CUI; debe estar vinculado a una autoridad listada en el Registro CUI. Aquí hay ejemplos comunes de CUI en las principales categorías:

  • Defensa (CTI): La información técnica controlada (CTI) incluye esquemas técnicos, documentos de diseño de sistemas y código fuente desarrollado para aplicaciones militares, marcado como CUI//SP-CTI bajo la autoridad de DFARS 252.204-7012.
  • Control de exportación: Los dibujos técnicos para artículos de defensa en la Lista de Municiones de EE. UU. y los datos técnicos sujetos a licencia de exportación están cubiertos por las categorías de control de exportación del Registro CUI.
  • Aplicación de la ley: La información de los registros de antecedentes penales, los perfiles de ADN y los datos de identificación de informantes aparecen bajo las categorías de CUI relacionadas con la aplicación de la ley.
  • Privacidad: Números de Seguro Social, números de cuentas financieras, datos biométricos y HIPAAla información de salud cubierta se maneja bajo categorías de CUI relacionadas con la privacidad/salud.
  • Infraestructura crítica:La información sobre vulnerabilidades de terrorismo químico, información sobre infraestructura energética crítica e información sobre vulnerabilidades de sistemas de información aparecen bajo categorías de infraestructura crítica.

Estos ejemplos son representativos, no definitivos. Siempre valide la categoría específica, la autoridad y las marcas requeridas en el Registro CUI y el lenguaje de su contrato antes de establecer las reglas de manejo.

Requisitos clave de protección de CUI

Proteger la CUI no se trata solo de bloquear archivos. Implica marcar, salvaguardar física y digitalmente, y controlar quién puede acceder y compartir información. Cada una de estas áreas conlleva requisitos federales específicos, y una brecha en cualquiera de ellas puede socavar toda su postura de cumplimiento. Esto es lo que necesita hacer bien en los tres pilares fundamentales de protección.

Marcado y etiquetado de CUI

Las marcas inconsistentes son una de las formas más rápidas de fallar en una evaluación de cumplimiento. Las marcas impulsan toda la cadena de manejo de CUI: indican a los titulares autorizados quién puede acceder a la información, cómo se puede compartir y qué protecciones se aplican.

Ejemplos de marcado estándar:

  • CUI Básico sin categoría: CUI
  • CUI Especificado: CUI//SP-CTI
  • CUI especificado con control de difusión: CUI//SP-SGI//FEDONLY

En la práctica, las marcas de banner precisas más el etiquetado coherente en los canales posteriores (asuntos de correo electrónico, encabezados de archivos, hojas de portada y repositorios) son lo que evita que CUI se filtre en canales no controlados.

Cada documento CUI debe incluir un indicador de designación que identifique a la agencia controladora. La guía también recomienda aplicar marcas de banner CUI en las líneas de asunto de los correos electrónicos y en los cuerpos de los mensajes cuando los correos electrónicos contengan CUI.

Protección y entornos controlados

CUI debe ser manejado en entornos controlados con suficientes controles de acceso y protecciones contra la visualización o escucha no autorizada.

NIST SP 800-171 Rev. 1 estableció la línea base: el valor de impacto de confidencialidad para CUI no es menor que el moderado de FIPS 199. Según FIPS 199, moderado significa que la pérdida de confidencialidad "podría esperarse que tuviera un efecto adverso grave en las operaciones organizacionales, los activos organizacionales o los individuos."

Las organizaciones deben describir el límite de su sistema CUI en un Plan de Seguridad del Sistema (SSP), incluyendo el entorno operativo, cómo se implementan los requisitos y las conexiones a otros sistemas.

Los requisitos de seguridad física incluyen limitar el acceso a individuos autorizados, acompañar a los visitantes, mantener registros de auditoría de acceso y hacer cumplir las salvaguardias en sitios de trabajo alternativos.

Controles de acceso y controles de difusión

El acceso a CUI sigue un principio claro: solo los usuarios autorizados con una necesidad legítima de conocer y la capacitación adecuada pueden acceder a él.

NIST SP 800-171 Rev. 3 fortaleció la gestión de cuentas para requerir la definición de tipos de cuentas permitidos, autorizando el acceso basado en la necesidad válida y el uso previsto, y el monitoreo continuo del uso de cuentas del sistema.

Por 32 CFR 2002.16, la difusión debe cumplir con las leyes que establecieron la categoría CUI, además de un propósito gubernamental legítimo, y no debe estar restringida por un control de difusión limitado autorizado.

Antes de compartir CUI con partes externas, verifique que el destinatario tenga una necesidad legítima de conocer, entienda los requisitos de CUI y pueda proteger la información adecuadamente.

La capacitación también es importante aquí. La regla FAR CUI de enero de 2025 establece que los contratistas no pueden permitir que ningún empleado maneje CUI a menos que ese empleado haya completado la capacitación adecuada, y los contratistas deben proporcionar evidencia de capacitación a solicitud.

CUI y marcos de ciberseguridad

Las obligaciones de protección de CUI no existen en un vacío. Se sitúan dentro de una pila de capas de marcos federales de ciberseguridad que traducen los requisitos de política en controles de seguridad específicos y auditables.

Entender cómo se conectan estos marcos es esencial para construir un entorno conforme, especialmente cuando diferentes contratos hacen referencia a diferentes revisiones o líneas base.

NIST SP 800-171 y CUI

NIST SP 800-171 traduce las obligaciones de protección de CUI en requisitos de seguridad específicos para sistemas no federales. La versión actual, Rev. 3, contiene 97 requisitos de seguridad en 17 familias de controles. La Rev. 2 tenía 110 requisitos en 14 familias.

Los dominios clave que afectan directamente el manejo de CUI incluyen:

  • Control de acceso: gestión de cuentas, privilegio mínimo, separación de funciones, control del flujo de información
  • Auditoría y responsabilidad: registros de auditoría que capturan el tipo de evento, tiempo, fuente, resultado e identidad; retención alineada con los requisitos de la organización y del contrato
  • Respuesta a incidentes: capacidad de manejo operativo, seguimiento y pruebas a una frecuencia definida por la organización
  • Protección de medios: saneamiento antes de la eliminación, protección criptográfica durante el transporte

Tomados en conjunto, estos dominios definen los controles operativos diarios que los auditores buscan cuando evalúan si el manejo de CUI se aplica realmente, no solo se documenta.

Niveles de impacto FIPS 199 y CUI

La cascada de cumplimiento funciona así: FIPS 199 categoriza los niveles de impacto, FIPS 200 establece requisitos mínimos de seguridad y la selección de controles se extrae de las líneas base de control de seguridad de NIST. Esas líneas base se adaptan luego a NIST SP 800-171 para organizaciones no federales que manejan CUI.

Las implicaciones prácticas son significativas:

  • Alojamiento en la nube: Para los sistemas CUI en entornos de nube, FedRAMP Moderate se considera ampliamente como la línea base mínima apropiada para sistemas de información de impacto moderado.
  • Cifrado: Los módulos criptográficos deben estar validados por FIPS 140-2, no solo utilizar algoritmos aprobados por FIPS. La guía CMVP de NIST también señala que la criptografía no validada se considera que no proporciona protección.
  • Protecciones de red: La línea base moderada abarca el control de acceso, la protección de fronteras, la segregación de redes, la confidencialidad e integridad de la transmisión, y la monitorización de redes.

Para CUI asociada con programas críticos o Activos de Alto Valor, NIST SP 800-172 proporciona requisitos de seguridad mejorados, pero estos solo se aplican cuando se designan explícitamente en el lenguaje del contrato.

Mejores prácticas para manejar CUI de manera segura

Las siguientes mejores prácticas traducen las obligaciones de cumplimiento de CUI en pasos concretos que su equipo puede llevar a cabo, desde el descubrimiento inicial de datos hasta la gobernanza de acceso, la encriptación y la respuesta a incidentes.

1. Identificar y clasificar CUI con precisión

Solo las agencias federales pueden designar información como CUI. Cuando los contratistas se encuentren con CUI potencialmente no marcado, deben informarlo al oficial de contratación para una determinación oficial, no marcarlo ellos mismos. La regla FAR CUI requiere informar el descubrimiento de CUI potencial dentro de las ocho horas.

Comience con una revisión contrato por contrato. Mapee las categorías de CUI especificadas en cada contrato contra sus flujos de información reales. Los errores comunes de alcance incluyen:

  • Sistemas faltantes: ignorando sistemas que procesan CUI fuera de su entorno principal
  • Puntos ciegos de terceros: no tener en cuenta a los proveedores de servicios que manejan CUI en su nombre
  • Shadow IT: olvidando las herramientas de colaboración y los servicios en la nube, donde CUI puede terminar

La capacitación es igualmente importante y debe realizarse en tres niveles:

  • Conciencia universal: para cualquier persona que pueda encontrar CUI
  • Capacitación específica para el rol: para empleados que manejan regularmente CUI
  • Capacitación técnica avanzada: para administradores de sistemas que gestionan entornos CUI

Esta inversión en capacitación es crítica porque el factor humano sigue siendo una de las principales vulnerabilidades; según el Informe de Tendencias de Seguridad Híbrida de Netwrix 2024, el 47% de los profesionales de TI citan errores y negligencia de los empleados como un desafío de seguridad importante.

El desafío del descubrimiento es igualmente generalizado; una encuesta de 2025 SANS Attack Surface Management (ASM) patrocinada por Netwrix reveló que solo el 28% de las organizaciones cree que sus plataformas ASM identifican eficazmente archivos sensibles, y otro 41% dice que lo hacen solo parcialmente.

Aquí es donde las herramientas marcan una verdadera diferencia. Por ejemplo, First National Bank Minnesota usó Netwrix Auditor y Netwrix Data Classification para descubrir, clasificar y mover datos sensibles a ubicaciones seguras, y completó una reconstrucción de Active Directory en 3 semanas en lugar de 6 meses.

2. Gobernar el acceso a nivel de objeto

Los permisos a nivel de carpeta y a nivel de sitio no son lo suficientemente granulares para CUI. NIST SP 800-171 reconoce que los mecanismos de aplicación de acceso se pueden implementar a nivel de aplicación y servicio para aumentar la protección de CUI.

El control de acceso basado en atributos (ABAC), como se define en NIST SP 800-162, evalúa los atributos del usuario, los datos y el entorno en función de las reglas de política definidas en cada solicitud de acceso. La ventaja para CUI es el privilegio mínimo dinámico:

  • Cambios de rol: cuando cambia la asignación de misión de alguien, su acceso a CUI que ya no se necesita se revoca automáticamente a través de atributos de sujeto actualizados
  • Cambios en la clasificación: cuando la clasificación de datos cambia, las restricciones de acceso se ajustan para todos los usuarios afectados sin reconfiguración manual

3. Cifrar CUI en tránsito y en reposo

NIST SP 800-171 requiere cifrado para CUI transmitido o almacenado fuera de entornos controlados. Dentro de entornos protegidos, otras salvaguardas pueden satisfacer el requisito, pero cualquier CUI que salga de ese límite debe ser cifrado

El requisito crítico es que los módulos de cifrado deben estar validados por FIPS 140-2, con números de certificado documentados. Simplemente usar AES-256 no es suficiente si el módulo específico no ha pasado por el Programa de Validación de Módulos Criptográficos de NIST.

La gestión de claves merece la misma atención, por lo que debe ser tratada como una infraestructura fundamental, no como una idea secundaria.

4. Monitorear, registrar y responder a incidentes

NIST SP 800-171 requiere registros de auditoría que capturen el tipo de evento, el momento, la ubicación, la fuente, el resultado y la identidad asociada. Las acciones individuales de los usuarios deben ser rastreables de manera única, y la retención de registros de auditoría debe alinearse con los requisitos definidos por la organización y los requisitos definidos por el contrato.

En la respuesta a incidentes, los plazos se están acortando. Se aplican diferentes obligaciones de informes según su sector:

  • Regla FAR CUI: una ventana de ocho horas para informar sobre incidentes de CUI sospechosos o confirmados
  • DFARS 252.204-7012: Los contratistas del DoD informan a través de DIBNet
  • CIRCIA: las entidades de infraestructura crítica informan a CISA dentro de 72 horas

Cumplir con estos plazos exige capacidades forenses y procedimientos de investigación preestablecidos, no solo detección.

Correlacionar los datos de actividad con los permisos de acceso da sus frutos aquí. En el mundo real, incluso un solo pico sospechoso en los cambios de archivos puede convertirse en una búsqueda de días si su equipo tiene que unir respuestas de registros desconectados.

Cómo Netwrix ayuda a las organizaciones a proteger CUI

Ningún proceso o lista de verificación única hace que el cumplimiento de CUI ocurra de la noche a la mañana. El desafío para los contratistas es conectar los puntos entre el descubrimiento de datos, la gobernanza de acceso y la preparación para auditorías, sin unir herramientas desconectadas que dejan brechas que un evaluador encontrará.

Si su entorno se ejecuta en infraestructura de Microsoft con una mezcla de servidores de archivos locales, Active Directory y Microsoft 365, necesita una plataforma que cubra todo eso desde un solo lugar.

La plataforma 1Secure proporciona descubrimiento automatizado a través de sistemas de archivos, bases de datos, plataformas de colaboración y almacenamiento en la nube, para que puedas encontrar datos relevantes de CUI antes de que lo haga un evaluador.

Puede poner en cuarentena archivos sensibles en ubicaciones inseguras, moverlos a áreas seguras, eliminar permisos excesivos e incrustar etiquetas de clasificación en los archivos, convirtiendo semanas de inventario manual en un proceso automatizado y repetible.

Pero el descubrimiento por sí solo no es suficiente. La pregunta más difícil es: ¿quién puede acceder a esos datos, es apropiado ese acceso y puedes probarlo? La plataforma 1Secure informa sobre objetos de datos sensibles sobreexpuestos, estructuras de permisos detalladas sobre contenido clasificado y actividades relacionadas con archivos y carpetas sensibles.

Eso significa que puedes identificar dónde se encuentra CUI con permisos excesivos y remediar antes de que se convierta en un hallazgo de auditoría.

Netwrix Endpoint Protector extiende esa cobertura a la capa de endpoint, evitando que CUI salga de entornos controlados a través de canales no autorizados. Bloquea transferencias a dispositivos USB no aprobados, monitorea y controla las cargas a través de navegadores, clientes de correo electrónico y aplicaciones de almacenamiento en la nube. También aplica cifrado en medios extraíbles aprobados, abordando directamente los riesgos de exfiltración que los requisitos de manejo de CUI están diseñados para prevenir.

Los informes de cumplimiento preconstruidos muestran quién accedió a los datos, qué cambió y cuándo, mientras que la búsqueda interactiva te ayuda a responder las preguntas de los auditores en minutos en lugar de días.

Solicitar una demostración de Netwrix para ver cómo una plataforma te ayuda a descubrir, proteger y demostrar el cumplimiento para CUI en tu entorno híbrido.

Preguntas frecuentes sobre la protección de CUI

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Netwrix Team

Aprende más sobre este tema

Diez comandos de PowerShell más útiles para Office 365

Cómo copiar una configuración en ejecución de Cisco a la configuración de inicio para preservar los cambios de configuración

Cómo implementar cualquier script con MS Intune

RBAC frente a ABAC: ¿Cuál elegir?

Una guía práctica para implementar y gestionar soluciones de acceso remoto

Últimos blogs

Protección de CUI: Manejo seguro de información controlada no clasificada

Fin de vida (EOL) de Varonis en 2026: Lo que significa y tus opciones

Mejores herramientas de descubrimiento de datos sensibles para entornos híbridos en 2026

Las mejores soluciones DLP para la protección de datos empresariales en 2026

Alternativas a ManageEngine: Herramientas de Gestión y Seguridad de AD

7 alternativas a BeyondTrust: soluciones de acceso privilegiado para evaluar en 2026

8 mejores herramientas de clasificación de datos para el descubrimiento automatizado en 2026

Prevención de pérdida de datos (DLP): Cómo construir un programa que reduzca el riesgo

Microsoft Entra ID: Lo que los equipos de seguridad necesitan saber

7 mejores soluciones de Privileged Access Management (PAM) en 2026

Nuestros artículos más destacados

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Descargue e instale PowerShell 7

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Variables de entorno de PowerShell

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Cómo ejecutar un script de PowerShell

Una visión general del ciberataque MGM

Tipos comunes de dispositivos de red y sus funciones

Powershell Delete File If Exists

Tutorial de PowerShell para crear archivos: Una guía paso a paso