Cumplimiento de la norma FIPS: cómo reforzar su infraestructura antes de la fecha límite de 2026

Los plazos federales para las normas criptográficas ya no son algo abstracto. Con la transición al CMVP prevista para septiembre de 2026 y unos costes medios por violación de datos de 5,12 millones de dólares, las organizaciones que manejan datos regulados necesitan contar con un plan de migración claro ya, no en el tercer trimestre.

Qué significa realmente el cumplimiento de la norma FIPS para tu entorno tecnológico

El cumplimiento de la norma FIPS implica cumplir con las Normas Federales de Procesamiento de la Información establecidas por el Instituto Nacional de Estándares y Tecnología (NIST) para los módulos criptográficos utilizados en sistemas federales y sectores regulados. Si su organización maneja datos gubernamentales, está tramitando la autorización del FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) o está trabajando para obtener la certificación CMMC 2.0 (Certificación del Modelo de Madurez de Ciberseguridad), el cumplimiento de la norma FIPS es un requisito técnico y legal imprescindible.

Qué cambia realmente la norma FIPS 140-3

La norma FIPS 140-3 es la vigente y sustituye a la FIPS 140-2. El 21 de septiembre de 2026, el Programa de Validación de Módulos Criptográficos (CMVP) dejará de aceptar nuevas solicitudes de validación según la norma FIPS 140-2. Los módulos ya validados no dejarán de cumplir con la normativa a partir de esa fecha, pero cualquier módulo nuevo que se presente después de esa fecha deberá cumplir los requisitos de la norma FIPS 140-3. Empezar ahora con la migración te da tiempo de sobra para probarlo todo, asegurarte de que todo funciona bien y llevar un registro de lo que has hecho antes de que se cumpla el plazo.

¿Qué son los entornos sin disco y cómo contribuyen al cumplimiento de la norma FIPS?

Una imagen de contenedor sin distribución contiene únicamente la aplicación y sus dependencias de ejecución. Se excluyen los entornos de línea de comandos, los gestores de paquetes y las utilidades del sistema que se encuentran en las distribuciones estándar de Linux. Los atacantes que consiguen acceder a un contenedor suelen recurrir a esas herramientas integradas para desplazarse lateralmente o escalar privilegios. Sin ellas, sus opciones se reducen considerablemente.

El uso de imágenes de contenedor que cumplen con la norma FIPS elimina este riesgo a nivel de imagen. Minimus, un proveedor de imágenes sin distribución, señala que al eliminar estos componentes se suprimen más de 1.000 archivos innecesarios de un contenedor típico. Un menor número de archivos se traduce en una superficie de auditoría más reducida y en un proceso más rápido para verificar el inventario de bibliotecas criptográficas.

Las imágenes sin distribuciones son una práctica de seguridad recomendada, pero no constituyen en sí mismas un requisito de la norma FIPS 140-3. El cumplimiento de la norma FIPS se centra en si los módulos criptográficos que utiliza su aplicación cuentan con una validación activa del NIST. El punto de conexión entre ambos aspectos es la auditabilidad. Una imagen más ligera facilita la tarea de confirmar exactamente qué bibliotecas están presentes, cotejarlas con la base de datos del CMVP en csrc.nist.gov y detectar los módulos no aprobados antes de que lleguen a producción.

¿Cuáles son los riesgos financieros de incumplir el plazo de cumplimiento de la normativa FIPS?

El 21 de septiembre de 2026 marca la fecha límite para la aceptación de nuevas solicitudes conforme a la norma FIPS 140-2. A partir de esa fecha, todas las nuevas solicitudes deberán cumplir con la norma FIPS 140-3. Mientras que la norma FIPS 140-2 dejaba en gran medida sin definir las pruebas de ataques de canal lateral, la norma FIPS 140-3 las hace obligatorias. Los ataques de canal lateral funcionan leyendo señales físicas del hardware, como el consumo de energía y la sincronización, para extraer claves criptográficas de sistemas que, de otro modo, serían seguros. La nueva norma también se corresponde directamente con la ISO/IEC 19790, lo cual es importante para las organizaciones que operan en jurisdicciones internacionales.

El uso de módulos criptográficos no validados aumenta el riesgo de sufrir una filtración de datos debido a fallos en las auditorías y a la pérdida de la autorización para operar en sectores regulados. Tanto el CMMC 2.0 como el FedRAMP exigen el uso de cifrado validado según la norma FIPS 140-3 para los datos confidenciales, y las sanciones por incumplimiento superan con creces los costes directos de la reparación de una filtración.

¿Cómo compruebas el cumplimiento de la norma FIPS en tu proceso de desarrollo?

Según un estudio de principios de 2026, las pruebas automatizadas de configuración de seguridad son aproximadamente un 35 % más eficaces que las revisiones manuales a la hora de detectar errores. Esa diferencia no es sorprendente si se tiene en cuenta lo que realmente pasan por alto las comprobaciones manuales. Un ingeniero que revisa la documentación ve las bibliotecas que se suponía que debían incluirse. El escaneo automatizado detecta lo que realmente se está ejecutando. Esas dos listas difieren con más frecuencia de lo que los equipos esperan, y el culpable habitual es una actualización rutinaria de dependencias que, sin que nadie se diera cuenta, incorporó silenciosamente algo no validado. La revisión manual sigue siendo necesaria para el trabajo de documentación y políticas, pero basarse en ella como principal método de verificación crea puntos ciegos en cualquier entorno con implementaciones regulares.

La comprobación periódica de las campañas de correo electrónico es una obligación independiente, aunque paralela, para los equipos de los sectores regulados. DMARC (Domain-based Message Authentication, Reporting, and Conformance), SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) son protocolos de autenticación que funcionan con independencia de la validación del módulo FIPS. Se trata de ámbitos de cumplimiento distintos y deben documentarse y gestionarse por separado. Cabe destacar que tanto FedRAMP como CMMC 2.0 incluyen DMARC en sus requisitos de cumplimiento, por lo que no es algo que los equipos regulados puedan posponer. El Cybersecurity Ventures 2025 Almanac registró un aumento del 14 % en los incidentes de suplantación de dominio a principios de 2025, siendo las configuraciones erróneas de los encabezados de autenticación las principales responsables de los daños. Una política DMARC débil rara vez resulta evidente hasta que una campaña de phishing la aprovecha o su correo legítimo empieza a acabar en la carpeta de spam, momento en el que el impacto en la reputación ya se ha puesto en marcha.

Mejora de la cadena de suministro: una guía paso a paso

La seguridad de la cadena de suministro para el cumplimiento de la norma FIPS implica verificar que todos los componentes de su pila, incluidas las bibliotecas de terceros, las imágenes base de contenedores y las dependencias transitivas, cuenten con una validación activa del NIST. Si un módulo no aparece en la base de datos del CMVP con una validación vigente, los auditores lo considerarán no validado, independientemente de cómo haya llegado a su entorno.

Si lo dividimos en etapas, el camino desde tu situación actual hasta una pila totalmente validada es sencillo:

• Realiza un inventario de todos los módulos criptográficos que se estén utilizando, incluidos aquellos que se encuentren integrados en dependencias de terceros.
• Comprueba cada módulo en la base de datos CMVP de csrc.nist.gov: lo que tú das por hecho que está validado y lo que realmente cuenta con una certificación vigente a veces son cosas diferentes.
• Identifica todos los módulos que solo cuenten con la certificación FIPS 140-2 y establece plazos de sustitución realistas de cara a la fecha límite de septiembre de 2026.
• Sustitúyalas por alternativas validadas según la norma FIPS 140-3, actualice sus imágenes de contenedor y compruebe que no haya quedado ninguna biblioteca no validada tras la transición.
• Incorpora comprobaciones automatizadas en cada fase de compilación, ya que una sola actualización de una dependencia puede echar por tierra, sin que nos demos cuenta, semanas de trabajo de validación.
• Documenta todo el proceso para los auditores y programa revisiones periódicas, de modo que cualquier desviación se detecte antes de que se agrave.

¿Cómo se aplica el cumplimiento de la norma FIPS a la seguridad de la cadena de suministro?

La seguridad de la cadena de suministro para el cumplimiento de la norma FIPS implica verificar que todos los componentes de su pila, incluidas las bibliotecas de terceros y las imágenes base de contenedores, cuenten con una validación activa del NIST. Esto incluye las dependencias que no haya seleccionado directamente. Si un módulo no aparece en la base de datos del CMVP con una validación activa, los auditores lo considerarán no validado, independientemente de cómo haya llegado a su entorno.

Pasar de su situación actual a una pila totalmente validada es sencillo si se divide en etapas. Empiece por elaborar un inventario completo de todos los módulos criptográficos en uso, incluyendo cualquier elemento oculto en las dependencias de terceros. Compruebe cada uno de ellos con la base de datos del CMVP, ya que lo que usted suponía que estaba validado y lo que realmente cuenta con una certificación vigente a veces son cosas diferentes. A partir de ahí, marque cualquier módulo que solo cuente con la validación FIPS 140-2 y elabore plazos de sustitución realistas antes de la fecha límite de septiembre de 2026. Sustitúyalos por alternativas validadas según FIPS 140-3, actualice sus imágenes de contenedor en consecuencia y verifique que ninguna biblioteca no validada haya sobrevivido a la transición.

A partir de ese momento, las comprobaciones automáticas del proceso en cada fase de compilación son las que garantizan la fiabilidad del inventario, ya que una sola actualización de una dependencia puede echar por tierra, sin que nos demos cuenta, semanas de trabajo de validación. Cierra el ciclo documentando todo para los auditores e incorporando revisiones periódicas, de modo que las desviaciones se detecten antes de que se agraven.

Tus próximos 90 días: del inventario a la preparación para la auditoría

El cumplimiento de las normas FIPS no es algo que se resuelva de una vez y se deje de lado. Tu pila de aplicaciones cambiará, las dependencias se actualizarán y cada cambio supone una oportunidad para que se cuele un módulo no validado.

Empiece por realizar un inventario criptográfico completo y verifique cada módulo en csrc.nist.gov. Si los contenedores «distroless» forman parte de su estrategia de refuerzo de la seguridad, solicite una auditoría de contenedores a Minimus para identificar qué bibliotecas están presentes en sus imágenes y si cumplen los requisitos de validación que exigen sus organismos reguladores. El plazo de septiembre de 2026 deja menos tiempo del que la mayoría de los equipos prevé.

• Acerca de
• Últimas publicaciones

Milena Baghdasaryan

Especialista en contenidos de PowerDMARC

Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.

Últimos mensajes de Milena Baghdasaryan (ver todos)

• Cumplimiento de la norma FIPS: cómo reforzar su infraestructura antes de la fecha límite de 2026 - 20 de abril de 2026
• Seguridad en las actividades de captación de clientes: 5 formas de evitar que tu equipo de ventas parezca un grupo de phishing - 14 de abril de 2026
• ¿Gmail está filtrando tus correos electrónicos? Causas, síntomas y soluciones - 7 de abril de 2026