Cumplimiento de la normativa ITAR: qué es, a quién se aplica y qué deben hacer los equipos de TI

Según el informe «State of the MSP» de Kaseya de 2026, el cumplimiento normativo y la presentación de informes figuran entre las diez principales necesidades de servicio de los clientes de los MSP en 2026, y para los del sector de la defensa, el cumplimiento de la normativa ITAR es imprescindible. Descarga el informe completo.

El ITAR (Reglamento sobre el Tráfico Internacional de Armas) es el marco de control de exportaciones de Estados Unidos que regula los artículos de defensa, los servicios de defensa y los datos técnicos relacionados incluidos en la Lista de Municiones de Estados Unidos (USML). Para los equipos de TI y los proveedores de servicios gestionados (MSP), el cumplimiento del ITAR es relevante siempre que manejen datos técnicos o presten servicios que entren dentro de su ámbito de aplicación, y las consecuencias de incumplirlo son graves.

A diferencia de la mayoría de los marcos normativos, en los que las sanciones son de carácter económico, las infracciones de la ITAR pueden dar lugar a acciones penales, a la inhabilitación para participar en licitaciones públicas y a la responsabilidad personal de los empleados. Es fundamental comprender si la ITAR es de aplicación y cuáles son sus requisitos antes de aceptar cualquier proyecto en el sector de la defensa. Las herramientas de cumplimiento normativo de Kaseya facilitan la gestión del cumplimiento de múltiples marcos normativos para los proveedores de servicios de gestión (MSP) que prestan servicios a contratistas de defensa y a clientes vinculados al ámbito federal.

¿Qué es el ITAR?

El ITAR es gestionado por la Dirección de Control del Comercio de Defensa (DDTC) del Departamento de Estado de los Estados Unidos. Se encarga de aplicar la Ley de Control de la Exportación de Armas, que regula la exportación e importación de materiales y servicios relacionados con la defensa para impedir que la tecnología militar sensible caiga en manos de adversarios.

El reglamento regula los artículos incluidos en la Lista de Material de Defensa de los Estados Unidos (USML), que abarca sistemas de armas, equipos electrónicos militares, naves espaciales, materiales nucleares, así como los datos técnicos y los servicios de defensa relacionados con dichos artículos. La USML cuenta con 21 categorías, y muchos artículos que no son «armas» en sentido estricto entran dentro de su ámbito de aplicación, como los simuladores de entrenamiento, determinados programas informáticos con aplicaciones militares y los datos técnicos sobre los artículos controlados.

La USML se revisó en septiembre de 2025, eliminando aquellos elementos que ya no se consideraban lo suficientemente sensibles como para justificar su control y añadiendo otros. Las organizaciones que anteriormente habían determinado que el ITAR no era aplicable a su actividad deberían revisar esa valoración si operan en los sectores aeroespacial, de tecnología espacial o de tecnologías emergentes que quedaban incluidos en el ámbito de aplicación de la revisión.

El ITAR es distinto, aunque está relacionado, con el EAR (Reglamento de Administración de Exportaciones), gestionado por el Departamento de Comercio, que regula los productos de doble uso: productos comerciales con posibles aplicaciones militares. Los productos que no figuran en la USML pero que revisten importancia en materia de control de exportaciones pueden estar sujetos al EAR.

A quiénes se aplica la normativa ITAR

El ITAR se aplica a las personas estadounidenses, los ciudadanos, los residentes permanentes y las entidades constituidas en Estados Unidos que fabriquen, exporten, importen temporalmente o actúen como intermediarios en la comercialización de artículos o servicios de defensa.

El término «exportación» en el marco del ITAR tiene un significado técnico más amplio de lo que la mayoría de la gente cree:

• Facilitar datos técnicos a un ciudadano extranjero que se encuentre en Estados Unidos se considera una «exportación presunta», que se trata como una exportación a su país de origen
• Permitir el acceso a datos técnicos sujetos a la normativa ITAR desde fuera de los Estados Unidos, incluso a través de servicios de almacenamiento en la nube accesibles desde el extranjero, constituye una exportación
• La transferencia de datos técnicos sujetos a la normativa ITAR a una entidad extranjera, o permitir el acceso a dichos datos a ciudadanos extranjeros, requiere autorización

Los requisitos del ITAR también se extienden a lo largo de la cadena de suministro. Los subcontratistas, los proveedores de herramientas y los proveedores de servicios que reciben, procesan o almacenan datos sujetos al ITAR deben garantizar ellos mismos el cumplimiento de la normativa. Un proveedor de servicios gestionados (MSP) que asume un contrato con un contratista del sector de la defensa no solo hereda la obligación de cumplimiento del cliente, sino que también asume la suya propia.

Para los equipos de TI y los proveedores de servicios gestionados (MSP), esto significa que cualquier proyecto que implique datos técnicos sujetos a la normativa ITAR requiere conocer la nacionalidad de todo el personal con acceso a ellos, la ubicación de cada sistema en el que se almacenen o a los que se pueda acceder, así como las autorizaciones de exportación aplicables.

¿Qué se considera «datos técnicos sujetos a la normativa ITAR»?

Según la normativa ITAR, se entiende por «datos técnicos» la información necesaria para el diseño, el desarrollo, la producción, la fabricación, el montaje, el funcionamiento, la reparación, las pruebas, el mantenimiento o la modificación de artículos de defensa. Esto incluye:

• Planos técnicos, especificaciones y documentos de diseño
• Software directamente relacionado con el hardware controlado por USML
• Procesos de fabricación de productos sujetos a la USML
• Especificaciones de rendimiento y datos de ensayo de los artículos de defensa

No todos los datos técnicos de los contratistas de defensa están sujetos a la normativa ITAR. La cuestión fundamental es si la información es necesaria para el desarrollo, la producción o el funcionamiento de un artículo incluido en la lista USML. Las empresas sujetas a la normativa ITAR deben contar con un programa formal de control tecnológico (TCP) que clasifique qué datos están sujetos a la normativa ITAR dentro de su entorno.

Un equipo de TI o un proveedor de servicios gestionados (MSP) que no consiga aclarar estos aspectos con un cliente del sector de la defensa no está en condiciones de asumir el proyecto con total seguridad. Antes de aceptar cualquier trabajo que afecte a los sistemas del sector de la defensa, es necesario obtener una confirmación por escrito de qué datos están clasificados como sujetos a la normativa ITAR y qué aspectos cubre el acuerdo de confidencialidad (TCP) del cliente.

El concepto de exportación y por qué los sistemas informáticos entran dentro de su ámbito de aplicación

El concepto de «exportación presunta» plantea el mayor reto en materia de cumplimiento normativo en el ámbito de las tecnologías de la información. Un sistema que almacene datos técnicos sujetos a la normativa ITAR podría considerarse una exportación si:

• Se puede acceder al sistema desde fuera de Estados Unidos, incluido el almacenamiento en la nube, sin restricciones geográficas
• Un ciudadano extranjero tiene acceso al sistema o a sus datos, incluidos los administradores de sistemas informáticos
• El sistema se gestiona o se accede a él de forma remota desde una ubicación externa

En lo que respecta específicamente al almacenamiento en la nube, el DDTC ha dejado claro que el almacenamiento de datos sujetos al ITAR en una infraestructura en la nube accesible desde ubicaciones extranjeras o gestionada en ellas requiere una autorización de exportación, o bien el uso de una infraestructura en la nube diseñada específicamente para cumplir con el ITAR. Esto implica que los datos deben residir exclusivamente en EE. UU., que deben aplicarse restricciones de acceso a personas estadounidenses y que deben existir controles contractuales y técnicos adecuados. Los niveles comerciales estándar de la nube en AWS, Microsoft 365 y Google Workspace no suelen cumplir estos requisitos sin una configuración específica. Los entornos diseñados específicamente, como AWS GovCloud y Microsoft Azure Government, están pensados para cargas de trabajo que cumplen los requisitos del ITAR.

También existe una preocupación creciente específica en relación con la inteligencia artificial y las herramientas de colaboración. Cuando el contenido sujeto a la normativa ITAR se procesa en plataformas de inteligencia artificial, se redacta en herramientas de colaboración o se transmite a través de espacios de trabajo compartidos, cada uno de esos flujos constituye un posible caso de exportación si una persona extranjera puede acceder a la herramienta o si los datos se transmiten a través de infraestructuras extranjeras.

Para los MSP, las consecuencias son directas. Si un MSP presta servicios informáticos a un contratista del sector de la defensa que maneja datos sujetos al ITAR, y entre los técnicos del MSP hay ciudadanos extranjeros, o si el MSP utiliza herramientas con asistencia técnica en el extranjero o acceso remoto, el MSP podría estar incurriendo en infracciones de exportación tanto en nombre de su cliente como por su propia cuenta.

Requisitos de la normativa ITAR para los sistemas informáticos y los proveedores de servicios gestionados (MSP)

No existe una lista de verificación de controles técnicos del ITAR comparable a la del PCI DSS o la HIPAA. El cumplimiento del ITAR en el ámbito de las tecnologías de la información consiste principalmente en controlar el acceso a los datos técnicos para que no lleguen a manos de personas o a lugares extranjeros sin la autorización correspondiente.

Localización de datos. Los datos técnicos sujetos a la normativa ITAR deben almacenarse en sistemas ubicados físicamente en los Estados Unidos y no deben ser accesibles desde fuera de los EE. UU. sin una autorización de exportación.

Control de acceso por nacionalidad. El acceso a los datos sujetos a la normativa ITAR debe limitarse a personas estadounidenses. Los ciudadanos extranjeros, incluido el personal informático, los contratistas y cualquier administrador de sistemas, no deben tener acceso a los sistemas o datos sujetos a la normativa ITAR sin una licencia de exportación específica o una exención aplicable.

Infraestructura en la nube exclusivamente en EE. UU. El almacenamiento en la nube de datos sujetos a la normativa ITAR requiere que los datos se mantengan exclusivamente en EE. UU. y que el acceso esté controlado por personas estadounidenses. Los principales proveedores de servicios en la nube ofrecen configuraciones que cumplen los requisitos de la ITAR a través de sus niveles de nube para el sector público. Los niveles comerciales estándar no suelen cumplir los requisitos de la ITAR.

Controles de acceso remoto. El acceso remoto a los sistemas sujetos a la normativa ITAR debe limitarse a personas estadounidenses que accedan desde el territorio de los Estados Unidos. Las soluciones de VPN o de acceso remoto que permiten conexiones desde cualquier ubicación geográfica no son adecuadas para los sistemas sujetos a la normativa ITAR sin controles adicionales.

Controles de subcontratistas y de la cadena de suministro. Los MSP que accedan a datos sujetos al ITAR deben asegurarse de que sus propios subcontratistas y proveedores de herramientas también controlen el acceso de forma adecuada. Un MSP que utilice un servicio de propiedad extranjera o con personal extranjero para cualquier función relacionada con clientes sujetos al ITAR podría estar incurriendo en infracciones, independientemente de su intención.

Programa de control tecnológico (TCP). Las directrices de la DDTC y las prácticas del sector exigen un TCP documentado: políticas y procedimientos que regulen cómo se identifican, almacenan, consultan y protegen los datos sujetos a la normativa ITAR. Para los equipos de TI y los proveedores de servicios gestionados (MSP) de este ámbito, el TCP es el equivalente, en materia de gobernanza, a un programa de seguridad de la HIPAA o a un plan de seguridad del sistema CMMC.

Relación con el CMMC. La mayoría de las organizaciones que manejan datos sujetos al ITAR también entran en el ámbito de aplicación de los trabajos del Departamento de Defensa, lo que significa que las obligaciones del ITAR se solapan con los requisitos de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC). Los datos técnicos controlados por el ITAR suelen considerarse información no clasificada controlada (CUI), lo que hace que se apliquen los requisitos del nivel 2 de la CMMC. Los MSP que prestan apoyo a contratistas de defensa deben tratar el ITAR y la CMMC como un programa de cumplimiento combinado, y no como líneas de trabajo separadas.

Consecuencias del incumplimiento

Las infracciones de la normativa ITAR se consideran delitos federales graves. En los últimos años, se han endurecido las medidas de control.

Sanciones civiles. La sanción civil máxima actual es de 1 271 078 dólares por infracción, o el doble del valor de la transacción, si esta cantidad es superior, con efecto a partir de enero de 2025. Cada divulgación o exportación no autorizada constituye una infracción independiente, y el importe total de la sanción puede multiplicarse rápidamente en caso de que se produzca un patrón de incumplimiento.

Sanciones penales. Hasta un millón de dólares por infracción y hasta 20 años de prisión en caso de infracciones deliberadas. La acción penal requiere demostrar que hubo conocimiento o intención deliberada, un umbral más elevado que en el ámbito civil.

Exclusión. Las organizaciones que hayan infringido el ITAR pueden ser excluidas de la contratación pública del Gobierno de los Estados Unidos, lo que supone, en la práctica, la pérdida de su derecho a participar en proyectos federales. El restablecimiento de los privilegios de exportación no es automático y requiere una solicitud formal dirigida al Departamento de Estado.

La aplicación de la ley se está intensificando. En octubre de 2024, RTX (antes Raytheon) acordó pagar más de 950 millones de dólares para resolver unas investigaciones que incluían infracciones del ITAR y de la Ley de Control de la Exportación de Armas, lo que supuso el mayor acuerdo extrajudicial relacionado con el ITAR de la historia. El caso puso de manifiesto que la aplicación de la ley es activa, que las sanciones son severas y que las consecuencias van mucho más allá de la multa inmediata, ya que incluyen una supervisión obligatoria del cumplimiento y un daño a la reputación.

Notificación voluntaria. La DDTC cuenta con un programa de notificación voluntaria que, por lo general, da lugar a una reducción de las sanciones para las organizaciones que comunican por iniciativa propia las infracciones cometidas. La notificación voluntaria suele ser preferible a esperar a que se adopten medidas coercitivas, y debería ser el primer paso cuando se detecta una posible infracción.

Lista de verificación práctica para el cumplimiento de la normativa ITAR

Para equipos de TI y proveedores de servicios gestionados (MSP) que evalúan o gestionan proyectos sujetos a la normativa ITAR:

• Confirme con el cliente qué datos están sujetos a la normativa ITAR y revise su programa de control tecnológico
• Compruebe que todo el personal y los contratistas con acceso a sistemas sujetos a la normativa ITAR sean ciudadanos estadounidenses
• Confirme que el almacenamiento en la nube utilizado para los datos sujetos a la ITAR se encuentra exclusivamente en territorio estadounidense y cuenta con controles de acceso limitados a personas estadounidenses
• Limitar el acceso remoto a los sistemas sujetos a la normativa ITAR a las personas estadounidenses que accedan desde el territorio de los Estados Unidos
• Revisar a todos los proveedores de herramientas y subcontratistas para detectar riesgos relacionados con el acceso de personas extranjeras
• Evaluar las herramientas de inteligencia artificial y colaboración para determinar el riesgo de exposición de datos según el ITAR
• Establecer las garantías contractuales adecuadas para cumplir con las obligaciones derivadas del ITAR
• Documentar todas las medidas de cumplimiento a efectos de auditoría
• Determinar si las obligaciones del CMMC se solapan con el ámbito de aplicación del ITAR y gestionarlas como un programa conjunto

Compliance Manager GRC Kaseya permite gestionar el cumplimiento normativo en múltiples marcos, incluidos el CMMC y los marcos relacionados con el ámbito federal que se solapan con las obligaciones del ITAR.