Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês
Seguridad de Datos
Gobernanza de AlGestión de la Postura de Seguridad de DatosGobernanza del Acceso a DatosPrevención de Pérdida de DatosDescubrimiento y Clasificación de Datos
Seguridad de Identidad
Detección y Respuesta a Amenazas de IdentidadGobernanza y Administración de IdentidadGestión de la Postura de Seguridad de IdentidadGestión de Acceso PrivilegiadoSeguridad del Directorio

El futuro de la seguridad de datos

La Plataforma Netwrix 1Secure™

Explorar
Soluciones
Casos de Uso Destacados Ver todos los casos de uso
Seguridad de Active DirectoryDefensa de Identidad No HumanaPreparación de CopilotImplementación en las instalacionesDetección y Análisis de Riesgos de IdentidadProveedores de Servicios GestionadosFusiones, Adquisiciones y DesinversionesCumplimiento NormativoSeguridad de Microsoft 365Cero Confianza
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint ProtectorNetwrix Privilege SecureAdministrador de Identidad de Netwrix

El checkout de autoservicio está disponible para organizaciones de hasta 150 empleados

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Comprar Ahora Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinarsMicrosoft Alliance
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Protección de CUI: Manejo seguro de información no clasificada controlada

Protección de CUI: Manejo seguro de información no clasificada controlada

Apr 20, 2026

La protección de la información no clasificada controlada (CUI) requiere una identificación, marcado, salvaguardia y gobernanza de acceso consistentes en todos los sistemas que manejan datos federales. Con la Fase 1 de CMMC en marcha y la regla FAR CUI en vigor, el cumplimiento es ahora un requisito previo para el contrato.

La información no clasificada controlada (CUI) es información sensible pero no clasificada que requiere controles de protección o difusión según la ley federal, regulación o política gubernamental general. Para las agencias federales y contratistas en defensa, energía, salud y otros sectores regulados, la obligación de manejar correctamente la CUI conlleva importantes implicaciones de cumplimiento y contractuales.

Sin embargo, muchas organizaciones aún carecen de los procedimientos, controles del sistema y visibilidad necesarios para cumplir con los requisitos federales. Con la implementación de CMMC Phase 1 en marcha y el gobierno avanzando hacia requisitos más uniformes para el manejo de contratistas mediante la regla FAR CUI, el cumplimiento de CUI ya no es aspiracional. Es un requisito previo para el contrato.

Las organizaciones que no pueden demostrar controles adecuados de identificación, marcado, protección y difusión para CUI corren el riesgo de hallazgos adversos en auditorías, retrasos en contratos y pérdida de elegibilidad para futuras adjudicaciones.

Esta guía explica qué es realmente el CUI, cómo son los requisitos de protección y cómo construir un enfoque práctico para manejarlo de forma segura.

¿Qué es la información no clasificada controlada (CUI)?

La información no clasificada controlada es información que el gobierno federal crea o posee, o que una entidad crea o posee en nombre del gobierno, que requiere salvaguardas o controles de difusión consistentes con las leyes, regulaciones y políticas gubernamentales aplicables.

Como categoría formal de información, CUI fue establecida por Executive Order 13556 y codificada en 32 CFR Part 2002. Reemplazó un conjunto fragmentado de marcas heredadas como FOUO, LES y SBU con un marco único y coherente para proteger información sensible pero no clasificada en agencias federales y sus contratistas.

Un principio clave sustenta todo el programa: solo la información que requiere protección conforme a la ley federal, regulación o política gubernamental general puede designarse como CUI. Las agencias no pueden crear categorías de CUI basándose únicamente en preferencias administrativas.

CUI se divide en dos categorías de manejo:

  • CUI Básico es el predeterminado. Aplica normas uniformes del 32 CFR Parte 2002 a todo CUI a menos que el Registro CUI de NARA anote específicamente una categoría como CUI Especificado. Las marcas de banner se ven como CUI o CUI//PRVCY.
  • CUI Especificado se aplica cuando la ley o regulación autorizante contiene controles específicos de manejo que difieren de los valores predeterminados de CUI Basic. Estas categorías llevan un prefijo "SP-", como CUI//SP-CTI.

La diferencia radica en la fuente de los controles, no en el nivel de sensibilidad; CUI Basic cubre cualquier vacío donde la autoridad específica no se pronuncia.

El NARA CUI Registry es la fuente autorizada, que cubre más de 125 categorías. Es donde los contratistas deben acudir para determinar la clasificación, el marcado y el manejo adecuados de cualquier CUI que encuentren.

Ejemplos comunes de CUI

No todos los datos sensibles son CUI; deben estar vinculados a una autoridad listada en el Registro CUI. Aquí hay ejemplos comunes de CUI en las principales categorías:

  • Defensa (CTI): La información técnica controlada (CTI) incluye esquemas técnicos, documentos de diseño del sistema y código fuente desarrollado para aplicaciones militares, marcado como CUI//SP-CTI bajo la autoridad de DFARS 252.204-7012.
  • Control de exportación: Los dibujos técnicos de artículos de defensa en la Lista de Municiones de EE. UU. y los datos técnicos sujetos a licencias de exportación están cubiertos bajo las categorías de control de exportación del Registro CUI.
  • Fuerzas del orden: La información de antecedentes penales, perfiles de ADN y datos de identificación de informantes aparecen bajo categorías de CUI relacionadas con las fuerzas del orden.
  • Privacidad: Los números de Seguro Social, números de cuentas financieras, datos biométricos y HIPAA cubiertos por información de salud se manejan bajo categorías de CUI relacionadas con la privacidad/salud.
  • Infraestructura crítica: La información sobre vulnerabilidades relacionadas con el terrorismo químico, la información sobre infraestructura energética crítica y la información sobre vulnerabilidades de sistemas de información aparecen bajo las categorías de infraestructura crítica.

Estos ejemplos son representativos, no definitivos. Siempre valide la categoría específica, la autoridad y las marcas requeridas en el Registro CUI y el lenguaje de su contrato antes de establecer las reglas de manejo.

Requisitos clave para la protección de CUI

Proteger la CUI no se trata solo de bloquear archivos. Incluye el marcado, la protección física y digital, y el control de quién puede acceder y compartir información. Cada una de estas áreas tiene requisitos federales específicos, y una brecha en cualquiera de ellas puede comprometer toda su postura de cumplimiento. Esto es lo que debe hacer bien en los tres pilares principales de protección.

Marcado y etiquetado de CUI

Las marcas inconsistentes son una de las formas más rápidas de fallar una evaluación de cumplimiento. Las marcas impulsan toda la cadena de manejo de CUI: indican a los titulares autorizados quién puede acceder a la información, cómo se puede compartir y qué protecciones se aplican.

Ejemplos estándar de marcado:

  • CUI básico sin categoría: CUI
  • CUI especificado: CUI//SP-CTI
  • CUI especificado con control de difusión: CUI//SP-SGI//FEDONLY

En la práctica, las marcas precisas en los banners junto con un etiquetado coherente en etapas posteriores (asuntos de correos electrónicos, encabezados de archivos, hojas de portada y repositorios) son lo que evita que la CUI se filtre a canales no controlados.

Cada documento CUI debe incluir un indicador de designación que identifique la agencia controladora. Las directrices también recomiendan aplicar marcas de banner CUI en las líneas de asunto y en el cuerpo de los mensajes de correo electrónico cuando estos contienen CUI.

Entornos protegidos y controlados

La CUI debe manejarse en entornos controlados con controles de acceso y protecciones contra la visualización o escucha no autorizadas.

NIST SP 800-171 Rev. 1 estableció la línea base: el valor del impacto en la confidencialidad para CUI no es inferior a FIPS 199 moderado. Según FIPS 199, moderado significa que la pérdida de confidencialidad "podría esperarse que tenga un efecto adverso grave en las operaciones organizativas, los activos organizativos o las personas."

Las organizaciones deben describir el límite de su sistema CUI en un Plan de Seguridad del Sistema (SSP), incluyendo el entorno operativo, cómo se implementan los requisitos y las conexiones con otros sistemas.

Los requisitos de seguridad física incluyen limitar el acceso a personas autorizadas, acompañar a los visitantes, mantener registros de auditoría de acceso y aplicar medidas de protección en sitios de trabajo alternativos.

Control de acceso y controles de difusión

El acceso a CUI sigue un principio claro: solo los usuarios autorizados con una necesidad legítima de conocer y la formación adecuada pueden acceder a él.

NIST SP 800-171 Rev. 3 fortaleció la gestión de cuentas para requerir la definición de tipos de cuentas permitidas, la autorización de acceso basada en la necesidad válida y el uso previsto, y la supervisión continua del uso de cuentas del sistema.

Según 32 CFR 2002.16, la difusión debe cumplir con las leyes que establecieron la categoría CUI, promover un propósito gubernamental legal y no estar restringida por un control de difusión limitada autorizado.

Antes de compartir CUI con partes externas, verifique que el destinatario tenga una necesidad legítima de conocer la información, comprenda los requisitos de CUI y pueda proteger la información adecuadamente.

La formación también importa aquí. La regla FAR CUI de enero de 2025 establece que los contratistas no pueden permitir que ningún empleado maneje CUI a menos que ese empleado haya completado la formación adecuada, y los contratistas deben proporcionar evidencia de la formación cuando se solicite.

CUI y marcos de ciberseguridad

Las obligaciones de protección de CUI no existen en el vacío. Se encuentran dentro de una pila en capas de marcos federales de ciberseguridad que traducen los requisitos de políticas en controles de seguridad específicos y auditables.

Comprender cómo se conectan estos marcos es esencial para construir un entorno conforme, especialmente cuando diferentes contratos hacen referencia a distintas revisiones o líneas base.

NIST SP 800-171 y CUI

NIST SP 800-171 traduce las obligaciones de protección CUI en requisitos de seguridad específicos para sistemas no federales. La versión actual, Rev. 3, contiene 97 requisitos de seguridad en 17 familias de controles. La Rev. 2 tenía 110 requisitos en 14 familias.

Los dominios clave que afectan directamente el manejo de CUI incluyen:

  • Control de acceso: gestión de cuentas, mínimo privilegio, separación de funciones, control del flujo de información
  • Auditoría y responsabilidad: registros de auditoría que capturan tipo de evento, momento, fuente, resultado e identidad; retención alineada a los requisitos de la organización y del contrato
  • Respuesta a incidentes: capacidad operativa de manejo, seguimiento y pruebas con la frecuencia definida por la organización
  • Protección de medios: saneamiento antes de la eliminación, protección criptográfica durante el transporte

En conjunto, estos dominios definen los controles operativos diarios que los auditores buscan cuando evalúan si el manejo de CUI se aplica realmente, no solo si está documentado.

Niveles de impacto FIPS 199 y CUI

La cascada de cumplimiento funciona así: FIPS 199 categoriza los niveles de impacto, FIPS 200 establece los requisitos mínimos de seguridad y la selección de controles se basa en las líneas base de control de seguridad de NIST. Esas líneas base se adaptan luego en NIST SP 800-171 para organizaciones no federales que manejan CUI.

Las implicaciones prácticas son significativas:

  • Alojamiento en la nube: Para los sistemas CUI en entornos en la nube, FedRAMP Moderate se considera ampliamente como la línea base mínima adecuada para sistemas de información de impacto moderado.
  • Cifrado: Los módulos criptográficos deben estar validados según FIPS 140-2, no solo usar algoritmos aprobados por FIPS. La guía CMVP de NIST también señala que la criptografía no validada se considera que no proporciona protección.
  • Protecciones de red: La línea base moderada abarca el control de acceso, la protección de límites, la segregación de red, la confidencialidad e integridad de la transmisión y la monitorización de la red.

Para CUI asociado con programas críticos o High Value Assets, NIST SP 800-172 proporciona requisitos de seguridad mejorados, pero estos solo se aplican cuando se designan explícitamente en el lenguaje del contrato.

Mejores prácticas para manejar CUI de forma segura

Las siguientes mejores prácticas traducen las obligaciones de cumplimiento de CUI en pasos concretos que su equipo puede llevar a cabo, desde el descubrimiento inicial de datos hasta la gobernanza de acceso, el cifrado y la respuesta a incidentes.

1. Identificar y clasificar CUI con precisión

Solo las agencias federales pueden designar la información como CUI. Cuando los contratistas encuentren CUI potencialmente sin marcar, deben reportarlo al oficial de contratos para una determinación oficial, no marcarlo ellos mismos. La regla FAR CUI requiere reportar el descubrimiento de CUI potencial dentro de las ocho horas.

Comience con una revisión contrato por contrato. Mapée las categorías CUI especificadas en cada contrato con sus flujos de información reales. Las fallas comunes en el alcance incluyen:

  • Sistemas faltantes: pasando por alto sistemas que procesan CUI fuera de su entorno principal
  • Puntos ciegos de terceros: no tener en cuenta a los proveedores de servicios que manejan CUI en su nombre
  • Shadow IT: olvidando las herramientas de colaboración y los servicios en la nube, donde puede terminar la CUI

La formación es igualmente importante y debe realizarse en tres niveles:

  • Conciencia universal: para cualquiera que pueda encontrarse con CUI
  • Capacitación específica por rol: para empleados que manejan regularmente CUI
  • Formación técnica avanzada: para administradores de sistemas que gestionan entornos CUI

Esta inversión en formación es fundamental porque el factor humano sigue siendo una de las principales vulnerabilidades; según el Netwrix 2024 Hybrid Security Trends Report, el 47 % de los profesionales de TI citan los errores y la negligencia de los empleados como uno de los principales desafíos de seguridad.

El desafío del descubrimiento es igualmente generalizado; una encuesta de 2025 SANS Attack Surface Management (ASM) Survey patrocinada por Netwrix reveló que solo el 28 % de las organizaciones cree que sus plataformas ASM identifican eficazmente archivos sensibles, mientras que otro 41 % dice que lo hacen solo parcialmente.

Aquí es donde las herramientas marcan una verdadera diferencia. Por ejemplo, First National Bank Minnesota utilizó Netwrix Auditor y Netwrix Data Classification para descubrir, clasificar y mover datos sensibles a ubicaciones seguras, y completó una reconstrucción de Active Directory en 3 semanas en lugar de 6 meses.

2. Gestionar el acceso a nivel de objeto

Los permisos a nivel de carpeta y sitio no son lo suficientemente granulares para CUI. NIST SP 800-171 reconoce que los mecanismos de aplicación de acceso pueden implementarse a nivel de aplicación y servicio para aumentar la protección de CUI.

El control de acceso basado en atributos (ABAC), según lo definido en NIST SP 800-162, evalúa los atributos del usuario, los datos y el entorno contra las reglas de política definidas en cada solicitud de acceso. La ventaja para CUI es el mínimo privilegio dinámico:

  • Cambios de rol: cuando cambia la asignación de misión de alguien, su acceso a CUI que ya no se necesita se revoca automáticamente mediante atributos de sujeto actualizados
  • Cambios en la clasificación: cuando la clasificación de datos cambia, las restricciones de acceso se ajustan para todos los usuarios afectados sin necesidad de reconfiguración manual

3. Encripte la CUI en tránsito y en reposo

NIST SP 800-171 requiere cifrado para CUI transmitida o almacenada fuera de entornos controlados. Dentro de entornos protegidos, otras salvaguardas pueden satisfacer el requisito, pero cualquier CUI que salga de ese límite debe estar cifrada

El requisito crítico es que los módulos de cifrado deben estar validados según FIPS 140-2, con los números de certificado documentados. Simplemente usar AES-256 no es suficiente si el módulo específico no ha pasado por el Programa de Validación de Módulos Criptográficos de NIST.

La gestión de claves merece la misma atención, por lo que debe tratarse como una infraestructura fundamental, no como una idea secundaria.

4. Supervisar, registrar y responder a incidentes

NIST SP 800-171 requiere registros de auditoría que capturen el tipo de evento, el momento, la ubicación, la fuente, el resultado y la identidad asociada. Las acciones individuales de los usuarios deben ser rastreables de manera única, y la retención de los registros de auditoría debe alinearse con los requisitos definidos por la organización y por contrato.

En la respuesta a incidentes, los plazos se están acortando. Se aplican diferentes obligaciones de reporte según su sector:

  • Regla FAR CUI: un plazo de ocho horas para reportar incidentes sospechosos o confirmados de CUI
  • DFARS 252.204-7012: Los contratistas del DoD informan a través de DIBNet
  • CIRCIA: las entidades de infraestructura crítica informan a CISA dentro de las 72 horas

Cumplir con estos plazos exige capacidades forenses y procedimientos de investigación preestablecidos, no solo detección.

Correlacionar los datos de actividad con los permisos de acceso da sus frutos aquí. En el mundo real, incluso un solo pico sospechoso en los cambios de archivos puede convertirse en una carrera de varios días si su equipo tiene que unir respuestas de registros desconectados.

Cómo Netwrix ayuda a las organizaciones a proteger la CUI

Ningún proceso o lista de verificación única hace que el cumplimiento de CUI ocurra de la noche a la mañana. El desafío para los contratistas es conectar los puntos entre el descubrimiento de datos, la gobernanza de acceso y la preparación para auditorías, sin unir herramientas desconectadas que dejen brechas que un evaluador pueda encontrar.

Si su entorno funciona con infraestructura de Microsoft con una combinación de servidores de archivos locales, Active Directory y Microsoft 365, necesita una plataforma que cubra todo eso desde un solo lugar.

La plataforma 1Secure proporciona descubrimiento automatizado en sistemas de archivos, bases de datos, plataformas de colaboración y almacenamiento en la nube, para que pueda encontrar datos relevantes de CUI antes que un evaluador.

Puede poner en cuarentena archivos sensibles en ubicaciones inseguras, moverlos a áreas seguras, eliminar permisos excesivos e insertar etiquetas de clasificación en los archivos, convirtiendo semanas de inventario manual en un proceso automatizado y repetible.

Pero solo descubrir no es suficiente. La pregunta más difícil es: ¿quién puede acceder a esos datos, es ese acceso apropiado y puedes demostrarlo? La plataforma 1Secure informa sobre objetos de datos sensibles sobreexpuestos, estructuras detalladas de permisos en contenido clasificado y actividad relacionada con archivos y carpetas sensibles.

Eso significa que puede identificar dónde se encuentra CUI con permisos excesivos y remediar antes de que se convierta en un hallazgo de auditoría.

Netwrix Endpoint Protector extiende esa cobertura a la capa de endpoint, evitando que CUI salga de entornos controlados a través de canales no autorizados. Bloquea las transferencias a dispositivos USB no aprobados, supervisa y controla las cargas a través de navegadores, clientes de correo electrónico y aplicaciones de almacenamiento en la nube. También aplica cifrado en medios extraíbles aprobados, abordando directamente los riesgos de exfiltración que los requisitos de manejo de CUI están diseñados para prevenir.

Los informes de cumplimiento predefinidos muestran quién accedió a los datos, qué cambió y cuándo, mientras que la búsqueda interactiva te ayuda a responder las preguntas de los auditores en minutos en lugar de días.

Solicite una demostración de Netwrix para ver cómo una plataforma le ayuda a descubrir, proteger y demostrar el cumplimiento de CUI en su entorno híbrido.

Preguntas frecuentes sobre la protección de CUI

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Netwrix Team

Aprende más sobre este tema

Las 7 mejores soluciones de DSPM para 2026

Diez comandos de PowerShell más útiles para Office 365

Cómo copiar una configuración en ejecución de Cisco a la configuración de inicio para preservar los cambios de configuración

Cómo implementar cualquier script con MS Intune

RBAC frente a ABAC: ¿Cuál elegir?

Últimos blogs

Un doble triunfo en los Cas d'Or 2026: cómo es el éxito de la gobernanza de identidad en el sector público

Las 7 mejores herramientas para descubrir datos sensibles en 2026

Mitos y el costo de atacar

Gestión de sesiones privilegiadas (PSM): definición, capacidades y beneficios de seguridad

UEBA (User and Entity Behavior Analytics): guía completa sobre detección, casos de uso e implementación

Gestionando el ciclo de vida de la identidad no humana en entornos modernos

Niveles de cumplimiento PCI DSS: qué significan y cómo calificar

Qué es shadow data y cómo protegerlo

NIST CSF 2.0: Qué hay de nuevo en el Cybersecurity Framework

Netwrix obtiene la certificación OPSWAT Gold para cifrado en Windows, macOS y Linux

Nuestros artículos más destacados

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Descargue e instale PowerShell 7

Variables de entorno de PowerShell

Una visión general del ciberataque MGM

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Powershell Delete File If Exists

Cómo ejecutar un script de PowerShell

Tipos comunes de dispositivos de red y sus funciones

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

¿Qué es SPN y cuál es su papel en Active Directory y la seguridad?