This is an info Alert.
  • Inicio
  • Manifiesto
  • Blog
  • Contacto

El Sistema Operativo Nativo de IA
para la Cadena de Suministro Aeroespacial y de Defensa.

HQ
Stanford Research Park
1881 Page Mill Rd Ste 127
Palo Alto CA 94304
United States
partos@partos.ai
2026 PARTOS INC.
SOC2 AICPASOC2 Vanta

PARTOS ES UNA MARCA REGISTRADA DE PARTOS INC,

CONFIANZAESTADOTÉRMINOSPRIVACIDADEULASUSCRIPCIÓNCOOKIES
LINKEDINX

ITAR en la era de Cloud e IA: el ajuste de cuentas del cumplimiento

2 de Mayo de 2026•8 min read

ITAR en la era de Cloud e IA: el ajuste de cuentas del cumplimiento

La Regulación de Tráfico Internacional de Armas cumple 50 años el próximo año. Cuando ITAR fue promulgado en 1976, los 'datos técnicos' regulados que gobernaba eran dibujos en papel en bóvedas, microfichas en archivos y conversaciones en SCIFs. El límite entre un dibujo controlado y una exportación no autorizada era físico: una cerca, una autorización, una carta de transmisión. En 2026, ese límite se ha vuelto funcionalmente sin sentido. Los datos técnicos viven en depósitos de nube esparcidos en zonas de disponibilidad global, en bases de datos de vectores respaldando asistentes de IA internos, y en los pesos de modelos fundamentales ajustados. El régimen de cumplimiento de ITAR, diseñado para un mundo analógico, se le pide que gobierne un mundo para el que nunca fue escrito.

La Dirección de Controles de Comercio de Defensa ha pasado los últimos 18 meses emitiendo un flujo constante de opiniones consultivas, actualizaciones de preguntas frecuentes y reglas de borrador intentando aplicar el estatuto existente a la nueva superficie tecnológica. Los contratistas de defensa que continúan tratando ITAR como una lista de verificación administrada por una función de asuntos regulatorios — en lugar de como una disciplina operativa diaria integrada en DevOps, MLOps y RRHH — están fallando auditorías a tasas récord.

Lo que cambió en 2025–2026

Tres acciones distintas de DDTC remodelan el perímetro de cumplimiento en 2026:

1. La exclusión de encriptación en la nube se hizo más estrecha

La 'exclusión de nube' de 2020 bajo §120.54 declaró que los datos técnicos encriptados de extremo a extremo, gestionados adecuadamente y no almacenados en destinos §126.1, no eran una exportación cuando transitaban infraestructura de nube (22 CFR §120.54, 2024). La aclaración de DDTC de 2025 estrecha esa exclusión de tres maneras importantes: la gestión de claves BYOK debe estar 'demostrablemente' bajo control estadounidense; el tránsito a través de nodos de borde CDN propiedad de China ahora se señala; y los proveedores de SaaS que actúan como 'procesadores' de datos técnicos de texto plano están explícitamente dentro del alcance (DDTC FAQ, 2025).

2. Los pesos del modelo de IA son datos técnicos

Una opinión consultiva de DDTC de noviembre de 2025 confirmó que los pesos de un modelo ajustado en datos técnicos controlados por USML son ellos mismos datos técnicos bajo §120.10 (opinión consultiva de DDTC, 2025). La implicación es barrida: cada contratista de defensa ejecutando canales internos de RAG o ajuste fino en dibujos controlados ha potencialmente producido un nuevo artefacto controlado por ITAR cuya divulgación está gobernada exactamente como los documentos fuente.

3. El acceso de ingenieros de nacionalidad extranjera se apretó

La doctrina de 'exportación reputada' — que la divulgación a una persona de nacionalidad extranjera en EE. UU. es una exportación al país de esa persona — ha estado en los libros desde 1995. Lo que cambió en 2025 es el alcance de ejecución: DDTC ha comenzado a confiscar rutinariamente registros de inicio de sesión único, controles de acceso a repositorio y menciones de plataforma de chat durante auditorías (Departamento de Justicia, 2025). Las empresas no pueden retroceder en 'los asignamos no para mirar'.

Por qué GovCloud solo no es suficiente

AWS GovCloud, Azure Government y Google Cloud Assured Workloads siguen siendo la base de cualquier postura ITAR defensable de nube. Pero los propios proveedores están claros en que GovCloud es necesario, no suficiente. El cliente es responsable de:

  • Límites de identidad: acceso exclusivo de personas estadounidenses a través de integración de registro de RRHH autorizada. La identidad federada de un directorio no-GovCloud crea atribución ambigua.
  • Integridad del pipeline de construcción: ejecutores CI/CD, registros de contenedores y cachés de dependencia deben vivir dentro del recinto controlado. Un único espejo PyPI fuera del límite puede re-exportar.
  • Enrutamiento de telemetría: datos de observabilidad (métricas, trazas, registros) a menudo predeterminados a regiones comerciales. Enviar pilas de software controlado a un inquilino comercial de Datadog es una exportación reputada.
  • Copia de seguridad y DR: los objetivos de replicación de instantánea deben permanecer en región. Una política de replicación entre regiones mal configurada envía tus datos a un ambiente no controlado.

La pila de cumplimiento de IA

Construir IA defensable en datos técnicos controlados exige una arquitectura en capas que no existía en el catálogo de ningún proveedor hace 18 meses. Los primeros de nivel medio que construyeron MVP en inquilinos comerciales de OpenAI en 2024 ahora se apresuran por reproducirlos en GovCloud Bedrock, Azure Government OpenAI o modelos de peso abierto completamente alojados automáticamente.

Elección del modelo fundamental

La lista corta actual para acceso LLM compatible con ITAR incluye Azure Government OpenAI (con ATOs FedRAMP High e IL5), AWS Bedrock en GovCloud (Anthropic Claude, Meta Llama, Amazon Titan) y modelos de peso abierto alojados automáticamente (Llama 3.1, Mistral, Qwen) ejecutándose en infraestructura autorizada por FedRAMP. Cada opción tiene implicaciones de control de exportación diferentes, especialmente para ajuste fino.

Ajuste fino y RAG

La Generación Aumentada de Recuperación que devuelve fragmentos de texto controlados por USML a un ingeniero de nacionalidad extranjera es una exportación reputada en el momento de la recuperación. Las empresas deben implementar control de acceso a nivel de documento todo el camino a través del almacén de incrustación. La mayoría de las bases de datos vectoriales actuales — incluidas implementaciones de Pinecone, Weaviate y Milvus — no fueron arquitectadas para esta granularidad. Los contratistas de defensa están construyendo cada vez más capas de recuperación personalizadas que aplicar la jurisdicción ITAR por documento antes de que el modelo vea el fragmento (Marco de Gestión de Riesgo de IA de NIST, 2024).

Lo que los primeros de nivel medio deben hacer ahora

  • Mapear el área de superficie de IA: cada RAG interno, cada implementación de Copilot, cada ajuste fino. La mayoría de las empresas descubren que tienen tres a cinco veces más integraciones de IA que el equipo de cumplimiento está rastreando.
  • Tratar pesos de modelo como artefactos: rastrearlos en almacenes de artefactos compatibles con CMMC con el mismo rigor que código y dibujos. Hacerles hash, versión y control de acceso.
  • Briefing y re-briefing de ingenieros de nacionalidad extranjera: IA ambiental expone nuevas superficies de divulgación (sugerencias de Copilot, código generado por IA, contexto RAG recuperado). Los briefings estándar 'no mires' no cubren esto.
  • Ejecutar auditorías de mesa: DDTC ya no audita como una instantánea. Camina por todo el ciclo de vida de datos — ingerir, incrustar, almacenar, recuperar, generar, registrar — y encuentra las fugas antes de que la auditoría lo haga.

Exportaciones reputadas y el problema del Copilot de IA

La superficie de cumplimiento más difícil para el contratista de defensa moderno es el asistente de codificación de IA estilo GitHub Copilot. Estas herramientas toman un contexto activo (el archivo que estás editando, la estructura del repositorio, archivos relacionados) y lo envían a un modelo fundamental que puede o no ejecutarse en un recinto controlado. El análisis tradicional de exportación reputada asumía una divulgación discreta e intencional a una persona de nacionalidad extranjera nombrada. Las herramientas estilo Copilot divulgan continuamente y ambientalmente a un modelo opaco cuya residencia de datos es responsabilidad del cliente.

La oferta GovCloud de Copilot de GitHub, AWS CodeWhisperer en GovCloud y varias integraciones de Azure Government AI Studio han comenzado a cerrar la brecha, pero la cobertura es desigual, y muchos equipos de ingeniería de defensa aún predeterminados a inquilinos comerciales de Copilot por razones de productividad. Una auditoría interna de 2025 en un prime de defensa grande — divulgada en una Carta de Seguridad Industrial de DCSA — encontró que más de 4,000 ingenieros en toda la empresa estaban usando herramientas comerciales de codificación de IA contra repositorios controlados por ITAR (DCSA, 2025). El costo de llevar esos flujos de trabajo al cumplimiento fue sustancial; el costo de estar fuera de cumplimiento fue mayor.

Riesgo de concentración de proveedor de nube

AWS GovCloud y Azure Government dominan las cargas de trabajo de nube aprobadas por ITAR, con Google Cloud Assured Workloads y huellas FedRAMP-High de Oracle llenando una participación significativa pero menor. La concentración no es en sí misma un problema de cumplimiento, pero es un problema de continuidad operativa que el Departamento ha comenzado a tratar como tal. Una revisión de GAO de 2025 señaló que 'la concentración del proveedor de nube en la base industrial de defensa ahora funcionalmente supera la concentración de cualquier integrador histórico de sistemas de defensa', planteando preocupaciones de continuidad operativa que los marcos de política histórica no contemplaron (Oficina de Responsabilidad del Gobierno, 2025).

La implicación práctica es que los contratistas ahora deben diseñar para degradación elegante en caso de una interrupción de proveedor de nube única o disrupción de cumplimiento — un nivel de resiliencia entre nubes que la mayoría de los primeros de nivel medio no han arquitectado.

Acceso de ingenieros de nacionalidad extranjera en 2026

Los controles de acceso de ingenieros de nacionalidad extranjera se han apretado de tres maneras concretas desde 2024. Primero, DDTC ha reducido las condiciones bajo las cuales un ingeniero residente permanente es tratado como una persona estadounidense para acceso de datos técnicos — los titulares de tarjeta verde de países §126.1 ahora requieren revisión adicional. Segundo, los registros de auditoría de nube confiscados durante investigaciones de DDTC ahora capturan rutinariamente no solo acceso directo a archivos sino también recuperación mediada por modelo, finalizaciones de código e historial de chat. Tercero, el Servicio de Ciudadanía e Inmigración de EE. UU. ha acelerado el intercambio de información con DDTC en cambios de estado de visa que afectan el acceso ITAR.

Las empresas de defensa con poblaciones de ingeniería de nacionalidad extranjera significativas — y muchas tienen, particularmente en disciplinas de ingeniería de software — ahora operan sistemas de control de acceso que deben actualizarse dentro de horas de un cambio de estado de visa, no días. La integración HR-IT-seguridad requerida para hacer esto de manera confiable es significativa; las consecuencias de no hacerlo son suspensión de programa.

El ajuste de cuentas del cumplimiento ha comenzado

ITAR fue escrito en una era de papel y bóvedas. No será sustancialmente reescrito pronto. Lo que se está reescribiendo — a velocidad, y en gran parte a través de acciones de ejecución y opiniones consultivas en lugar de reglamentación formal — es lo que el cumplimiento se parece dentro del contratista de defensa moderno. Los primeros de nivel medio que tengan éxito en los próximos tres años serán los que traten ITAR como una restricción de diseño de software, no como una pila de carpetas. Los que no lo hagan serán aquellos cuyos programas se suspendan, cuyos ingenieros ya no pueden tocar un dibujo, y cuyos clientes encuentren otro proveedor.

25 de Abril de 2026•8 min de lectura
TecnologíaGestión de Proveedores
Drones a escala: por qué la segunda ola de Replicator romperá la base de proveedores
Cuando la vicepresidenta de Defensa Kathleen Hicks anunció por primera vez la iniciativa Replicator en agosto de 2023, el número principal — miles de sistemas autónomos atribuibles para agosto de 2025 — fue una provocación deliberada dirigida a una máquina de adquisición del Pentágono optimizada para entregar docenas de plataformas exquisitas durante décadas.
9 de Mayo de 2026•7 min de lectura
Logística GlobalRiesgo y Resiliencia
La brecha de refinación de tierras raras: por qué la minería no es suficiente
El malentendido más costoso en la política de minerales críticos de EE. UU. es la suposición de que la minería es el cuello de botella. No lo es. El cuello de botella es lo que sucede al mineral después de que sale del pozo: separación, extracción con solvente, producción de óxido, reducción de metal y la producción de aleaciones e imanes de alta pureza.