Guía de transición a FIPS 140-3: Cómo cumplir con la normativa antes del 21 de septiembre de 2026. 

Respuesta rápida: La transición completa a FIPS 140-3 se desarrolla en cuatro fases: Descubrimiento (creación de la lista de materiales criptográficos), Corrección (seis procesos paralelos que abarcan algoritmos, HSM, modo FIPS, KMS en la nube, proveedores y documentación), Verificación (análisis posterior a la corrección y paquete de evidencia de cumplimiento) y Mantenimiento (el programa continuo que garantiza el cumplimiento). El marco funciona cuando el descubrimiento comienza de inmediato y los procesos que requieren mayor tiempo de ejecución, como el reemplazo de HSM y la escalada de problemas con los proveedores, se ejecutan desde el primer día.

Puntos clave

• Las partes 1 y 2 trataron sobre el qué y el por qué; esta es la forma: un marco de cuatro fases que lleva a una organización desde una postura criptográfica desconocida hasta un cumplimiento defendible y respaldado por evidencia.
• La Lista de materiales criptográficos La configuración de la Fase 1 determina todo lo demás. Los activos que se omiten, como TLS este-oeste, certificados en la sombra, niveles de KMS en la nube y plataformas SaaS, son aquellos que quedan fuera del alcance de la herramienta predeterminada.
• Las seis líneas de remediación deben comenzar simultáneamente, ya que los plazos de reemplazo del hardware HSM y los del CMVP del proveedor no pueden esperar a que finalicen las líneas más cortas.
• El cumplimiento solo se puede demostrar con pruebas: registros CMVP verificados en csrc.nist.gov, exportaciones de configuración, registros de ceremonias de claves, resultados de pruebas y políticas actualizadas.
• La lista de verificación de ocho puntos al final define cómo se ve realmente el trabajo bien hecho, confirmado mediante verificación directa, no asumido a partir de las afirmaciones del proveedor.

Esta es la tercera parte de una serie de tres partes. Parte 1 cubre lo que FIPS 140-3 requisitos y qué cambió con respecto a FIPS 140-2. Parte 2 cubre los ocho desafíos que descarrilan constantemente los programas de transición. Cada uno de esos desafíos, el retraso del CMVP, la brecha del modo FIPS, HSM Los plazos de entrega, la configuración predeterminada de KMS en la nube, la complejidad del ecosistema de proveedores y la existencia de una solución conocida son factores que varían entre las organizaciones. Lo que sí difiere no es si existen las soluciones, sino si cuentan con la estructura y el tiempo suficientes para implementarlas antes del 21 de septiembre de 2026.

Para las organizaciones que empiezan ahora, un plazo de aproximadamente catorce semanas es viable, pero no ofrece margen de maniobra. Deja de ser viable si las primeras semanas se dedican a decidir cómo empezar, si las actividades más difíciles se posponen hasta que se completen las más sencillas, o si la contratación de proveedores se retrasa hasta que finalice la evaluación interna. El marco de trabajo que funciona secuencia correctamente las actividades, ejecuta las tareas con mayor tiempo de entrega desde el primer día y trata todo el proceso como un programa coordinado en lugar de una lista de verificación secuencial.

¿Cómo es el marco de cuatro fases?

Fase	Sincronización	Lo que produce
1. Descubre	Semanas 1 a 4	Una lista completa de materiales criptográficos: cada activo criptográfico, su configuración, el estado de su certificado FIPS y su clasificación de riesgo.
2. Remediar	Semanas 3 a 12	Seis líneas de trabajo paralelas: corrección de algoritmos, actualizaciones de HSM, activación del modo FIPS, reconfiguración de KMS en la nube, escalamiento al proveedor y documentación.
3. Verificar	Semanas 11 a 14	Escaneo posterior a la remediación, pruebas internas, paquete de evidencia de cumplimiento y declaración formal de cumplimiento.
4. Sostener	Hasta proximo aviso	El programa operativo que mantiene el cumplimiento normativo de forma continua incluye: supervisión, actualizaciones seguras, aplicación de la normativa clave y auditoría anual.

Cada fase produce lo que necesita la siguiente, y dentro de la Fase 2, todas las líneas de producción se ejecutan en paralelo, porque las diferentes actividades tienen diferentes plazos de entrega y la única manera de que todo encaje en el plazo previsto es empezar todo a la vez.

Fase 1: ¿Cómo se elabora la lista de materiales criptográficos?

El CBOM es la base de todo lo demás. Su exhaustividad determina si el programa de remediación es realmente integral o si aborda las deficiencias visibles dejando sin atender las invisibles. Los activos que suelen pasarse por alto no son difíciles de detectar; simplemente quedan fuera del alcance de las herramientas que la mayoría de las organizaciones utilizan en primer lugar.

• Módulos de seguridad de hardware Se requiere la colaboración directa del proveedor para confirmar si la versión de firmware en ejecución cuenta con un certificado FIPS 140-3 vigente y, en caso contrario, si existe una ruta de actualización. Esta cuestión tiene las consecuencias más importantes a largo plazo, por lo que corresponde a la Fase 1, no a la Fase 2.
• Inventario de puntos finales TLS Es necesario abarcar el tráfico este-oeste entre las capas de la aplicación y las bases de datos, no solo los servicios perimetrales. Las conexiones internas negocian lo que la aplicación fue programada originalmente para negociar, y es precisamente en ellas donde se encuentran los hallazgos más significativos sobre algoritmos obsoletos.
• Registros de transparencia de certificados Son la fuente de descubrimiento menos utilizada disponible. Cada CA de confianza pública debe enviar cada certificado a los registros CT, que son de acceso público. Comparar la salida de los registros CT de sus dominios con su sistema de gestión de certificados revela todos los certificados sombra emitidos, los cuales están sujetos a la normativa, independientemente de si aparecen o no en su inventario gestionado.
• Configuraciones de KMS en la nube Es necesario examinar la configuración del punto final y la selección del nivel de clave, específicamente, no solo si se utiliza un sistema KMS en la nube. Como se explicó en la Parte 2, el cumplimiento de FIPS en la gestión de claves en la nube depende de opciones de configuración que no son las predeterminadas en ningún proveedor importante.
• Plataformas SaaS y aplicaciones personalizadas Se requieren cuestionarios estructurados para proveedores, con verificación directa del certificado CMVP como paso de validación. La autodeclaración no es suficiente; se deben solicitar números de certificado específicos y verificar cada uno en csrc.nist.gov.

Fase 2: ¿Cuáles son las seis vías de remediación?

Aquí es donde realmente se produce la transición. Las seis pistas comienzan juntas en las semanas 3 y 4, porque ese es el único horario que funciona dentro del plazo establecido.

• Programa de algoritmos (semanas 4-8): Eliminar Triple-DESSHA-1, RSA-1024, TLS 1.0 y TLS 1.1 desde cada ruta de cifrado activa. Reemita certificados SHA-1 a través de toda la cadena, desde la raíz hasta la hoja. Pruebe en un entorno que no sea de producción antes de la transición: las aplicaciones con referencias de algoritmos codificadas fallan cuando el módulo subyacente cambia a operación solo FIPS.
• Programa HSM (semanas 4-12): Para los HSM con rutas de actualización de firmware, coordine la actualización con las pruebas de no producción, la gestión de cambios y la verificación posterior a la actualización; presupueste un mínimo de cuatro a seis semanas. Para los HSM sin ruta de actualización, inicie la adquisición de reemplazo de inmediato: es un proceso de tres a seis meses, y si comienza en la semana 8, no finalizará antes del 21 de septiembre.
• Programa de activación del modo FIPS (semanas 5-10): Habilite el modo FIPS en todos los módulos incluidos en el alcance, verifique que las autopruebas se ejecuten correctamente, pruebe la compatibilidad de las aplicaciones dependientes y documente el estado de la configuración como evidencia de cumplimiento. Implementar el modo FIPS en producción sin realizar pruebas suele generar fallos de compatibilidad que retrasan todo el cronograma.
• Programa de Gestión del Conocimiento en la Nube (semanas 5-9): Migrar a puntos finales FIPS en AWS, niveles respaldados por HSM en Azure y anillos de claves Cloud HSM en GCPMapea las dependencias descendentes antes del cambio y actualiza todas las aplicaciones que llaman a los puntos finales estándar. Se trata de una migración con dependencias de aplicaciones, no de un cambio de configuración.
• Seguimiento del proveedor (semanas 3 a 12, desde el primer día): Exija los números de certificado CMVP a todos los proveedores con módulos incluidos en el alcance y verifique cada uno en csrc.nist.gov. Para los módulos en la cola, obtenga las fechas de finalización previstas y supervise la lista de módulos en proceso. Para los proveedores que no puedan certificarse antes de septiembre, tome una decisión con anticipación sobre el plan de contingencia: aceptación del riesgo con controles compensatorios para sistemas de bajo riesgo y reemplazo para sistemas con datos regulados.
• Itinerario de documentación (semanas 6-12): Actualizar las políticas criptográficas, los documentos de política de seguridad, los procedimientos de gestión de claves y los manuales operativos a medida que se realicen cambios, no después de que finalice la Fase 2. La documentación generada durante la implementación es precisa; la documentación generada posteriormente se reconstruye y las deficiencias se muestran durante el análisis.

Fase 3: ¿Cómo se verifica y demuestra el cumplimiento?

La remediación y la verificación son actividades distintas. Modificar una configuración no equivale a confirmar que produjo el resultado deseado. La fase 3 subsana esta deficiencia y genera el conjunto de pruebas que permite certificar el cumplimiento.

• Escaneo posterior a la remediación Se vuelve a ejecutar el análisis en todos los sistemas incluidos en el alcance y se confirma que los algoritmos obsoletos no están presentes en ninguna ruta de cifrado activa y que el modo FIPS está activado en todos los módulos. Estos resultados constituyen una prueba documental de que el programa alcanzó sus objetivos.
• Pruebas internas Se confirma que las autocomprobaciones se ejecutan al inicio y bajo condiciones específicas, el modo FIPS funciona según lo requiere la política de seguridad de cada módulo, y los módulos rechazan las solicitudes de algoritmos no aprobados en lugar de degradarse silenciosamente. Para los módulos de hardware de nivel 3 o superior, también se requiere la verificación de la seguridad física y la gestión de parámetros de seguridad sensibles.
• El paquete de evidencia de cumplimiento debe incluir registros de certificados CMVP con estado Activo confirmado en csrc.nist.gov, exportaciones de configuración que muestren el modo FIPS habilitado, registros de ceremonia de clave para CA Claves privadas y maestras, resultados de pruebas internas, documentación del proveedor y documentos de política actualizados. Esto es lo que se solicitará en una evaluación FedRAMP, una auditoría de la OCR, una revisión de un examinador financiero o una conversación sobre suscripción de seguros cibernéticos.

Fase 4: ¿Cómo mantener vivo el cumplimiento normativo?

Las organizaciones que se encuentran llevando a cabo este proceso cada pocos años tratan FIPS 140-3 como un proyecto. Las organizaciones que no lo tratan como un programa. La fase 4 es la diferencia.

• Supervisión de certificados: Realiza un seguimiento continuo del estado de CMVP para cada módulo de proveedor incluido en el alcance, no solo durante los ciclos de revisión anuales. Un módulo puede pasar de Activo a Histórico cuando se reemplaza una versión; un certificado puede ser revocado cuando se descubre un problema de seguridad. Estos eventos no se notifican automáticamente.
• Gestión segura de actualizaciones: Todas las actualizaciones de firmware y software para módulos criptográficos se someten a pruebas de compatibilidad en modo FIPS antes de su producción. El escenario de la cadena de suministro, donde un firmware malicioso compromete silenciosamente un módulo, es precisamente lo que abordan los requisitos de integridad del software de FIPS 140-3; verificar las actualizaciones antes de aplicarlas es el control operativo complementario.
• Aplicación de la normativa de gestión clave: Criptoperiodos, control dual para claves privadas y maestras de CA, almacenamiento de claves respaldado por HSM y borrado documentado aplicado de forma continua. Las prácticas de gestión de claves constituyen la deficiencia de cumplimiento de FIPS más frecuentemente identificada en entornos de producción, y tienden a reaparecer tras su corrección sin una aplicación activa.
• Auditoría criptográfica anual: Una revisión completa anual del CBOM (Ordenador de Gestión de Certificaciones Basado en la Competencia) que detecta las deficiencias introducidas por los cambios en el sistema, los nuevos productos de los proveedores, los cambios en el estado de los certificados y la evolución de las directrices del NIST (Instituto Nacional para la Seguridad y la Inspección).

Lista de verificación de cumplimiento: ¿cómo se ve realmente el resultado final?

Antes de que cualquier organización pueda afirmar de manera creíble el cumplimiento de la norma FIPS 140-3 ante un regulador, auditor o aseguradora, cada uno de los siguientes puntos debe ser verificablemente cierto, confirmado mediante verificación directa en lugar de asumirlo a partir de las afirmaciones del proveedor o la mera posesión de un certificado.

• Certificado CMVP FIPS 140-3 activo para cada módulo incluido en el ámbito de aplicación, verificado en csrc.nist.gov: estado activo, versión correcta del módulo que coincide con la implementada, nivel de seguridad apropiado para el caso de uso.
• El modo FIPS está habilitado activamente en producción, no solo es compatible con FIPS: se ejecutan autodiagnósticos, se aplican restricciones de algoritmos y se respeta el límite criptográfico según la política de seguridad de cada módulo.
• No se utilizan algoritmos obsoletos en ninguna ruta de cifrado activa: ni Triple-DES, ni SHA-1 en las nuevas implementaciones, ni RSA-1024, ni TLS 1.0 o 1.1 en ningún punto final activo.
• Cloud KMS configurado correctamente: puntos finales FIPS para AWS, niveles respaldados por HSM para Azure, anillos de claves Cloud HSM para GCP, verificado mediante pruebas de puntos finales en lugar de inferido a partir de la documentación del proveedor.
• Prácticas de gestión de claves que cumplen con la norma FIPS 140-3: generación dentro de HSM validados por FIPS, aplicación de criptoperiodos definidos, control dual para claves privadas de CA y claves maestras, y procedimientos de borrado documentados.
• Todos los proveedores han sido verificados mediante la verificación directa de CMVP; se han confirmado los números de certificado para cada módulo incluido en el alcance. La autodeclaración no es suficiente.
• Paquete de evidencia de cumplimiento recopilado y conservado: registros CMVP, exportaciones de configuración, registros de ceremonias clave, resultados de pruebas, documentación del proveedor, políticas actualizadas.
• Programa de cumplimiento continuo en funcionamiento: monitoreo de certificados, gestión de actualizaciones seguras, gestión de claves Aplicación de la normativa, auditoría criptográfica anual y planificación de la revalidación.

¿Qué errores hacen descarrilar los programas?

• Tratar esto como un proyecto de documentación: El cumplimiento de la norma FIPS 140-3 requiere un trabajo de ingeniería exhaustivo en las once áreas de seguridad. Las actualizaciones de políticas y la recopilación de certificados dejan sistemáticamente importantes deficiencias sin resolver.
• Comenzar el descubrimiento demasiado tarde para poder actuar en consecuencia: El reemplazo de HSM, las presentaciones CMVP de los proveedores y la reemisión de certificados tienen plazos de entrega que la urgencia no puede acortar. El proceso de investigación que comienza en julio no deja tiempo para actuar en función de los hallazgos.
• Aceptar la certificación del proveedor en lugar de la verificación CMVP: Un proveedor que afirma cumplir con la norma FIPS 140-3 sin proporcionar un número de certificado está haciendo una afirmación no verificable. Exija el número y verifíquelo.
• Delimitar la evaluación en torno a la infraestructura que ya conoce: Las plataformas SaaS, las aplicaciones personalizadas y los dispositivos conectados son las categorías que con mayor frecuencia se pasan por alto. Un CBOM completo requiere un esfuerzo deliberado para identificar las tres.
• Posponer las conversaciones con los proveedores hasta que se haya finalizado el trabajo interno: Los plazos de los proveedores están fuera de su control. Iniciar esas conversaciones en paralelo con la Fase 1 es la única manera de disponer de tiempo de contingencia en caso de que la respuesta resulte ser complicada.

Cómo puede ayudar Encryption Consulting

FIPS 140-3 de Encryption Consulting servicios de asesoría en cumplimiento Ofrecemos el programa completo descrito en esta publicación, desde el descubrimiento criptográfico inicial hasta la certificación de cumplimiento, con la experiencia criptográfica especializada que requiere la transición. Nuestros consultores cuentan con décadas de experiencia práctica en arquitectura PKI, implementación de HSM, diseño de programas de gestión de claves y cumplimiento criptográfico en entornos sanitarios, federales, financieros y empresariales.

• Evaluación de cumplimiento con FIPS 140-3: Análisis criptográfico completo que genera una lista de materiales criptográficos exhaustiva, con cada brecha clasificada por nivel de riesgo y cada módulo de proveedor verificado en csrc.nist.gov. El alcance se centra en detectar lo que no se suele tener en cuenta en las evaluaciones de infraestructura: plataformas SaaS, aplicaciones personalizadas, configuraciones KMS en la nube y dispositivos conectados.
• Análisis de brechas en las once áreas de seguridad: Integridad del software, seguridad no invasiva, gestión de parámetros de seguridad sensibles, garantía del ciclo de vida y configuración del modo FIPS, no solo las dos áreas que la mayoría de las evaluaciones revisan.
• Estrategia de transición a FIPS 140-3: Una hoja de ruta de remediación secuenciada y priorizada según el riesgo, que refleje las limitaciones reales de su entorno y esté ajustada a la fecha límite del 21 de septiembre de 2026.
• Asesoramiento y certificación de cumplimiento: Documentación de certificación e informes sobre el cumplimiento normativo a nivel ejecutivo, estructurada para resistir la revisión regulatoria, la evaluación FedRAMP, la auditoría de la OCR y la suscripción de seguros cibernéticos.

Preguntas frecuentes

¿Cuánto tiempo dura la transición a la norma FIPS 140-3?

Un programa estructurado dura aproximadamente de catorce a dieciséis semanas: de dos a cuatro semanas de descubrimiento, de dos a tres de análisis de deficiencias y de siete a diez de remediación y verificación paralelas. El reemplazo del hardware HSM, cuando sea necesario, se extiende de tres a seis meses, razón por la cual comienza en la Fase 1.

¿Qué es una lista de materiales criptográficos?

Un inventario completo y legible por máquina de todos los activos criptográficos del entorno: claves, certificados, algoritmos, protocolos y módulos, cada uno con su configuración, FIP Estado del certificado y clasificación de riesgos. Es la base sobre la que se sustenta toda decisión de remediación.

¿Qué pruebas debe contener el paquete de cumplimiento?

Registros de certificados CMVP con estado Activo verificado, exportaciones de configuración que demuestran el modo FIPS, registros de ceremonias de claves, resultados de pruebas internas, documentación del proveedor y documentos de políticas actualizados.

¿Por qué son importantes los registros CT para el cumplimiento de FIPS?

Los registros de Transparencia de Certificados (CT) documentan todos los certificados que las autoridades de certificación (CA) de confianza pública han emitido para sus dominios, incluidos los certificados sombra que nunca ingresaron a su sistema de administración. Todos ellos están sujetos a la normativa, y comparar la salida de CT con su inventario es la forma más rápida de encontrarlos.

¿Qué ocurrirá después del 21 de septiembre de 2026?

Los certificados FIPS 140-2 son históricos y marcos de cumplimiento que hacen referencia a la validación activa, la contratación federal, HIPAA Las expectativas de puerto seguro, y FedRAMP ya no las reconoce. La fase de mantenimiento de este marco mantiene la nueva postura actualizada, de modo que la próxima transición nunca se convierta en otra emergencia.

Conclusión

El 21 de septiembre de 2026 es una fecha fija. El marco de cuatro fases que se describe en esta publicación está diseñado para que cualquier organización pase de una postura criptográfica desconocida a un cumplimiento de FIPS 140-3 sólido y con respaldo empírico en las aproximadamente catorce semanas disponibles a partir de ahora. Funciona cuando la Fase 1 comienza de inmediato, la escalada de problemas con el proveedor se ejecuta desde el primer día y las seis vías de remediación se implementan simultáneamente una vez finalizado el análisis de brechas.

El cumplimiento criptográfico es seguridad a nivel de infraestructura: nadie lo nota cuando funciona, y todo el mundo lo nota cuando falla, en una investigación de violación de seguridad, una auditoría de OCR, una revisión de un contrato federal o una conversación de suscripción de riesgos. Se estimó que la migración de SHA-1 a SHA-256 tardaría cinco años y tardó más de diez. FIPS 140-3 La transición tiene una fecha límite; la migración post-cuántica no, y las organizaciones que la traten como la fuerza impulsora que realmente es estarán mejor posicionadas para todo lo que venga después.

¿Listo para comenzar? Contacto Consultoría de cifrado at [email protected] Para reservar su consulta personalizada, podemos tener lista su lista de materiales criptográficos y el análisis de brechas en cuatro semanas, tiempo suficiente para un programa de transición completo antes del 21 de septiembre de 2026.